UN SETTORE NEL MIRINO DEL CYBERCRIME 

La sanità è oggi uno dei principali bersagli del cybercrime. Governare la sanità digitale significa quindi, in primo luogo, conoscere gli strumenti tecnici ed organizzativi adeguati a proteggere efficacemente i dati sanitari.

In questo settore più che in altri, infatti:

• gli attacchi hanno una percentuale di successo molto elevata, determinata da criticità strutturali quali l’obsolescenza delle infrastrutture IT, la carenza di investimenti in cybersecurity e formazione, etc.
• le ripercussioni degli attacchi sono molto gravi, in considerazione del fatto che i dati sanitari rappresentano un asset di alto valore economico nel dark web.

Proprio per questi fattori le minacce provengono in gran parte dall’esterno e si caratterizzano da un elevato livello di sofisticazione, anche in termini di social engineering.

I DPO sono quindi chiamati a rafforzare il dialogo con i responsabili IT dell’organizzazione (in primis con il Chief Information Security Officer) e a promuovere misure di sicurezza efficaci, come la cifratura dei dati, la segmentazione delle reti e piani strutturati di risposta agli incidenti. Il DPO può proporre l’integrazione di strumenti SIEM (Security Information and Event Management), sistemi di endpoint protection con rilevamento comportamentale, ma anche logiche di micro-segmentazione delle reti e applicazione sistematica del principio del privilegio minimo negli accessi ai dati sanitari. In questo articolo abbiamo analizzato le vulnerabilità del settore e le contromisure tecnico-organizzative essenziali da considerare.

IL QUADRO NORMATIVO DI RIFERIMENTO

Al contempo, per governare efficacemente la sanità digitale, e quindi supportare efficacemente le organizzazioni operanti in questo delicato settore, è necessario considerare l’ampio corpus normativo in materia e gli impatti in termini di compliance aziendale. Il perimetro regolatorio in ambito sanitario, infatti, è particolarmente articolato. A titolo esemplificativo riassumiamo a seguire alcune delle principali fonti.

• A livello comunitario, oltre al Regolamento (UE) 2016/679 (GDPR), il 26 marzo 2025 è entrato in vigore il Regolamento (UE) 2025/327 sullo Spazio Europeo dei Dati Sanitari (European Health Data Space – EHDS), che mira a promuovere la condivisione transfrontaliera dei dati sanitari per finalità di cura e a disciplinare gli utilizzi secondari delle informazioni cliniche (ad esempio, per fini di ricerca scientifica, politica sanitaria o innovazione).
• A livello nazionale, al Codice in materia di protezione dei dati personali (D.Lgs. 196/2003, come modificato dal D.Lgs. 101/2018) si affiancano diverse fonti primarie settoriali, tra cui: il D.L. 34/2020 (conv. in L. 77/2020), che ha avviato il potenziamento digitale del SSN; il D.L. 4/2022 (conv. in L. 25/2022); nonché i Decreti del Ministro della Salute del 7 settembre 2023 e del 31 dicembre 2024, che hanno istituito rispettivamente il Fascicolo Sanitario Elettronico 2.0 (FSE 2.0) e l’Ecosistema dei Dati Sanitari (EDS).
• Completano il quadro normativo una vasta gamma di fonti di soft law, tra cui provvedimenti, pareri, FAQ, linee guida e chiarimenti interpretativi emessi da Autorità e organismi competenti come il Garante per la protezione dei dati personali, l’European Data Protection Board (EDPB), l’European Data Protection Supervisor (EDPS), l’Agenzia per la Cybersicurezza Nazionale (ACN) e l’ENISA.

L’ATTIVITÀ DEL GARANTE E DEI DPO: SUPPORTO ALL’INNOVAZIONE 

Concentrandoci, in particolare, sull’attività del Garante per la protezione dei dati personali, l’approccio al tema della sanità digitale è stato ed è caratterizzato da un costante richiamo ai principi cardine di privacy by design e by default, come dimostrano i pareri preventivi con cui l’Autorità ha imposto a diverse strutture sanitarie l’adozione di misure tecniche e organizzative in grado di compensare la fragilità strutturale di sistemi informativi datati ma ancora attivi. L’azione dell’Autorità si è dunque configurata non solo come funzione di controllo, ma anche di accompagnamento dei processi di digitalizzazione della sanità, in un contesto segnato da forti disomogeneità tecnologiche, organizzative e giuridiche.

In modo analogo, i Data Protection Officer sono chiamati a svolgere un ruolo di supporto strategico e consulenziale nei confronti dei titolari del trattamento, contribuendo a garantire che l’innovazione digitale non comprometta i diritti e le libertà fondamentali degli interessati.

PRESIDIARE I TRATTAMENTI ULTERIORI RISPETTO ALLE FINALITÀ DI CURA

La fase di enforcement delle norme rappresenta un ulteriore punto critico per i DPO. In questo caso le potenziali criticità derivano, in particolare, dagli usi “secondari” dei dati, ossia quelli effettuati per finalità ulteriori rispetto alla cura e alle attività amministrative ad essa direttamente collegate.

Come precisato nei “Chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario” del 7 marzo 2019 del Garante, i trattamenti per fini di refertazione online, utilizzo di app mediche, costituzione del dossier sanitario, fidelizzazione della clientela, per fini promozionali o commerciali, nonché per finalità elettorali, richiedono un consenso specifico. Più di recente, nel corso dell’evento “La Privacy in Salute” dell’11 giugno 2025, l’Autorità ha ribadito ulteriormente quali sono i trattamenti compresi nell’ambito della “finalità di cura” e chiarito se tale concetto debba essere interpretato in senso restrittivo o se, diversamente, si possa adottare un’interpretazione più estensiva (tale da includere i trattamenti accessori/ancillari). In tale occasione il Garante si è soffermato, in particolare, su tre aspetti che necessitano un attento presidio di conformità:

1. la gestione dei ruoli in ambito sanitario;
2. la telemedicina;
3. le metodologie predittive e le applicazioni dell’Intelligenza Artificiale.

1. La gestione dei ruoli in ambito sanitario

Rispetto al tema e ruoli privacy in sanità, nel corso dell’evento di giugno il Garante ha chiarito che “risulta difficile seguire e perseguire la stessa soluzione con una impostazione privacy aprioristica e preconfezionata cristallizzando i ruoli in via generale”. I ruoli e le responsabilità in materia di protezione dei dati personali devono essere definiti, nel rispetto del principio di accountability, sulla base di una valutazione sostanziale e non formale dei trattamenti, da svolgersi caso per caso.

Ciò considerato, l’Autorità ha illustrato alcuni scenari frequenti e fornito indicazioni rispetto al ruolo delle Regioni quando mettono a disposizione piattaforme/sistemi informativi, al ruolo delle società in house che sviluppano servizi di natura tecnica, nonché ai diversi ruoli privacy che si configurano nell’ambito delle aggregazioni funzionali territoriali (AFT) tra medici di medicina generale/pediatri di libera scelta, farmacie, etc. Il percorso formativo “La Privacy in salute” riprenderà a settembre.

2. La telemedicina

Il ricorso a visite da remoto, monitoraggio a distanza e consulti online, pur offrendo vantaggi evidenti in termini di accessibilità e continuità delle cure, comporta rischi specifici per la protezione dei dati personali. In diverse occasioni il Garante ha richiamato la necessità di assicurare:

• l’identificazione certa del paziente e del professionista sanitario,
• la cifratura dei dati trasmessi, la valutazione dell’infrastruttura sotto il profilo della resilienza e della protezione delle informazioni in transito,
• la valutazione della conformità dei sistemi di videoconferenza,
• la tracciabilità degli accessi,
• la conservazione sicura delle registrazioni (laddove previste),
• la predisposizione di una DPIA specifica per gli strumenti scelti, la tecnologia impiegata, i canali di comunicazione previsti e i rischi emergenti.

3. Le applicazioni dell’intelligenza artificiale in sanità

L’Intelligenza Artificiale (AI) è già realtà nel settore sanitario: dalla diagnostica assistita alle piattaforme predittive per la gestione delle emergenze, dall’utilizzo di chatbot sanitari per il triage dei pazienti fino al supporto decisionale nei percorsi terapeutici. Come ricordato dal Garante nella Relazione annuale presentata a luglio di quest’anno, l’innovazione tecnologica deve essere armonizzata con la tutela della persona e della sua dignità, affinché l’AI rimanga al servizio dell’individuo e non viceversa. I rischi più evidenti includono l’opacità degli algoritmi, bias e possibili discriminazioni derivanti da dataset incompleti o distorti, nonché la concentrazione massiva di dati sanitari raccolti tramite strumenti tecnologici, spesso molto diversi fra loro, forniti da terze parti.

Per i DPO, questo significa assumere un ruolo attivo nel dialogo con i fornitori tecnologici, nella verifica della conformità degli stessi, nella verifica della qualità dei dati di input, nella valutazione delle misure di sicurezza implementate, nell’adozione di protocolli per audit e controllo sugli output dell’intelligenza artificiale.

IL RUOLO DEL DPO TRA INNOVAZIONE, REGOLAZIONE E RESPONSABILITÀ

Il DPO che opera nel settore sanitario digitale deve muoversi come un coordinatore, capace di connettere compliance normativa, progettazione tecnologica e sensibilità etica. L’approccio deve essere strategico e trasversale, volto a costruire una cultura della protezione dei dati come prerequisito essenziale per l’innovazione in sanità.

Per approfondire questi temi — in particolare il tema dell’Intelligenza Artificiale come risorsa e rischio — invitiamo tutti i colleghi DPO a partecipare al Congresso annuale dell’Associazione ASSO DPO: un’intera sessione è dedicata ad approfondire queste sfide emergenti e a fornire ai DPO strumenti concettuali per difendere i dati nell’era dell’AI. Clicca qui per ulteriori informazioni e per iscriverti.