Intervento di Maurizio Pastore al Security Summit Milano 2019. Responsabile del GDPR Competence Center di Liguria Digitale, Maurizio Pastore è dirigente e da anni si occupa di Privacy. Nel 2005 ha conseguito un Master ANORC sulla conservazione digitale e la Privacy, diventando poi a sua volta docente, e ha seguito l’iter di formazione del GDPR, partecipando ai gruppi di lavoro Oracle Community for Security ed Europrivacy. Dal 2017 è il Product Manager dell’applicazione Privacy Web e servizi GDPR. È DPO per diversi enti pubblici.

1. Gestione Rischi GDPR
Sanità e Cloud
Maurizio Pastore, Liguria Digitale
m.pastore@liguriadigitale.it

2. Argomenti
• Cloud in sanità
• Gestione del rischio:
GDPR vs ISO 27001/27005
• Strumenti

3. Sanità: esternalizzazioni pervasive
Le ASL e AO da anni hanno importantissime funzioni «nella rete»
1. IT «Classico»:
1. Mail/messaggistica/videoconferenza
2. Proprie applicazioni: sito web, gestione intramoenia, distretto
2. Applicazioni «Nazionali»:
1. Sistema TS
2. Conservazione documentale
3. Fascicolo Sanitario Elettronico
4. SPID
5. PAGO PA
3. Applicazioni Regionali
1. CUP/Sovracup
2. Anagrafe assistiti
4. Sperimentazioni cliniche: case farmaceutiche (e-CRF)

4. Sanità: sotto il materasso c’è la rete
Esperienza di DPO:
1. Percorsi Diagnostico Terapeutici Assistenziali (PDTA)
2. Diagnostica:
– Manutenzione
– Gestione cronicità (pacemaker, TAO, etc.)
3. Dietro a forniture di beni si nasconde il Cloud
– Trasporto pazienti
– Gestione cartelle cliniche cartacee
– Fornitura di gas medicali
– Fornitura di materassi (antidecubito)

5. Risk Management ISO 31000

6. Nella pratica ISO 27001
• SOA: se va bene tutta l’azienda
• Obiettivo: massimizzare la probabilità di guadagno (non perdere)
• Minacce: si valutano quelle che incidono sul business e si esprimo
in Euro (o US dollar). Annualized Loss Expectancy (ALE)
• Beni: quelli aziendali e quelli dei clienti, eventualmente degli utenti
• Processi: i servizi erogati
• Gli utenti solo in quanto possono richiedere danni (art. 82
GDPR)
• Focus: bilanciamento CAPEX e OPEX di sicurezza con quelli del
business

7. Articolo 32 GDPR:
sicurezza del trattamento
1. Tenendo conto dello stato dell'arte e dei costi di attuazione,
nonché della natura, dell'oggetto, del contesto e delle finalità del
trattamento, come anche del rischio di varia probabilità e gravità per
i diritti e le libertà delle persone fisiche, il titolare del trattamento e il
responsabile del trattamento mettono in atto misure tecniche e
organizzative adeguate per garantire un livello di sicurezza
adeguato al rischio

8. Articolo 35 GDPR: Valutazione
d'impatto sulla protezione dei dati
1. Quando un tipo di trattamento, allorché prevede in particolare l'uso di
nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità
del trattamento, può presentare un rischio elevato per i diritti e le
libertà delle persone fisiche, il titolare del trattamento effettua, prima
di procedere al trattamento, una valutazione dell'impatto dei
trattamenti

9. Cons. 4 GDPR
Il trattamento dei dati personali dovrebbe essere al servizio
dell'uomo. Il diritto alla protezione dei dati di carattere personale non è
una prerogativa assoluta, ma va considerato alla luce della sua
funzione sociale e va contemperato con altri diritti fondamentali, in
ossequio al principio di proporzionalità. Il presente regolamento
rispetta tutti i diritti fondamentali e osserva le libertà e i principi
riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto
della vita privata e familiare, del domicilio e delle comunicazioni, la
protezione dei dati personali, la libertà di pensiero, di coscienza e
di religione, la libertà di espressione e d'informazione, la libertà
d'impresa, il diritto a un ricorso effettivo e a un giudice imparziale,
nonché la diversità culturale, religiosa e linguistica.

10. Diritti fondamentali: dignità e libertà
1. Dignità Umana
2. Diritto alla vita
3. Diritto all’integrità della persona
4. Proibizione della tortura e delle pene o trattamenti inumani o degradanti
5. Proibizione della schiavitù e del lavoro forzato
6. Diritto alla libertà e alla sicurezza
7. Rispetto della vita privata e della vita familiare
8. Protezione dei dati di carattere personale
9. Diritto di sposarsi e di costituire una famiglia
10. Libertà di pensiero, di coscienza e di religione
11. Libertà di espressione e d’informazione
12. Libertà di riunione e di associazione
13. Libertà delle arti e delle scienze
14. Diritto all’istruzione
15. Libertà professionale e diritto di lavorare
16. Libertà d’impresa
17. Diritto di proprietà
18. Diritto di asilo
19. Protezione in caso di allontanamento, di espulsione e di estradizione

11. Diritti fondamentali: uguaglianza e solidarietà
20. Uguaglianza davanti alla legge
21. Non discriminazione
22. Diversità culturale, religiosa e linguistica
23. Parità tra uomini e donne
24. Diritti del bambino
25. Diritti degli anziani
26. Inserimento dei disabili
27. Diritto dei lavoratori all’informazione e alla consultazione nell’ambito dell’impresa
28. Diritto di negoziazione e di azioni collettive
29. Diritto di accesso ai servizi di collocamento
30. Tutela in caso di licenziamento ingiustificato
31. Condizioni di lavoro giuste ed eque
32. Divieto del lavoro minorile e protezione dei giovani sul luogo di lavoro
33. Vita familiare e vita professionale
34. Sicurezza sociale e assistenza sociale
35. Protezione della salute
36. Accesso ai servizi d’interesse economico generale
37. Tutela dell’ambiente
38. Protezione dei consumatori

12. Diritti fondamentali: cittadinanza e giustizia
39. Diritto di voto e di eleggibilità alle elezioni del Parlamento europeo
40. Diritto di voto e di eleggibilità alle elezioni comunali
41. Diritto ad una buona amministrazione
42. Diritto d’accesso ai documenti
43. Mediatore
44. Diritto di petizione
45. Libertà di circolazione e di soggiorno
46. Tutela diplomatica e consolare
47. Diritto a un ricorso effettivo e a un giudice imparziale
48. Presunzione di innocenza e diritti della difesa
49. Principi della legalità e della proporzionalità dei reati e delle pene
50. Diritto di non essere giudicato o punito due volte per lo stesso reato

13. Gestione Rischi GDPR
• Focus sulla proporzionalità/bilanciamento tra diritti
• Diritti fondamentali e quindi non negoziabili: come valuto
l’impatto e come lo confronto ai costi?
• Diritti e libertà delle persone fisiche: non solo degli interessati.
Idealmente tutti gli esseri umani che si trovano nello SEE
• Il concetto di larga scala collegato a quanti diritti e di
quante persone sono in gioco

14. Caratteristiche Gestione Rischi
GDPR
• SOA: idealmente lo SEE
• Obiettivo: rispetto bilanciato dei diritti fondamentali
• Minacce: si valutano quelle che incidono sui diritti delle persone
fisiche, in primis gli interessati e i congiunti
• Beni: quelli aziendali e quelli dei clienti, eventualmente degli utenti
• Processi: i trattamenti (compresi quelli dei clienti e dei fornitori)
• Focus: diritti bilanciati e poi bilancio CAPEX e OPEX di sicurezza
con quelli del business

15. Riassumendo

16. Come si può governare tutto questo?
Strumenti organizzativi
Fare squadra:
1. Ampio supporto della Direzione
2. Superare i tradizionali silos della PA
3. Team multidisciplinari:
1. Esperti Privacy
2. Esperti sanitari (Direzione sanitaria, Risk Manager)
3. ICT
4. Ingegneria clinica
5. Logistica
6. Approvvigionamenti

17. Come vi possiamo aiutare?
1. Consulenza specifica di chi conosce anche il dominio verticale
2. Strumento di compliance GDPR e Risk Management
1. Un’organizzazione complessa non può pensare di fare e MANTENERE in
PDCA una tale complessità con tabelle Excel
• Registro trattamenti (finalità, interessati, dati)
• Relazione trattamenti-supporti e Responsabili (fornitori)
• Principi e diritti (accesso, cancellazione, etc.)
• Rischi e Misure
2. Necessità di continua evoluzione dello strumento
1. Novità normative (art. 2 septies)
2. Codici di condotta e meccanismi di certificazione
3. Strumento in Cloud

18. Gestione Rischi GDPR
Sanità e Cloud
Maurizio Pastore, Liguria Digitale
m.pastore@liguriadigitale.it