Cloud computing sanitario e compliance normativa - Criteri legali per l'adozione di cloud computing nella sanità in Italia

Cloud computing sanitario e
   compliance normativa

   Criteri legali per l'adozione di cloud
       computing nella sanità in Italia

Punti chiave di
                     compliance normativa

- Continuità operativa e Disaster recovery
- Utilizzo dei dati personali soltanto per le finalità dichiarate
- Interoperabilità
- Portabilità dei dati
- Chiara suddivisione dei ruoli privacy
- Elevata capacità tecnica e professionale e alta affidabilità

Fonti normative


    Nella valutazione di conformità normativa vanno tenuti
    in considerazione sia atti normativi italiani e stranieri
    sia documenti giuridici di carattere interpretativo o
    procedurale

    Le fonti di riferimento possono essere suddivise in
    “fonti privacy” e in “fonti amministrative”

Fonti normative

                    Principali “fonti privacy”
   Codice privacy (d.lgs. 196/2003)
   Allegato B al Codice privacy
   Provvedimento 27 novembre 2008, doc. web n. 1577499 sugli amministratori di
    sistema
   Direttiva 95/46/CE
   Commissione Europea, Standard contractual clauses versione processor,
    2010/87/EU;

Principali studi e lavori scientifici sulla privacy

   Gruppo di lavoro ex art. 29, opinione 5/2012 sul cloud computing
   Cloud computing - proteggere i dati per non cadere dalle nuvole - La guida del
    Garante della Privacy per imprese e pubblica amministrazione”, 24 maggio 2012
   Garante privacy, Cloud computing: indicazioni per l’utilizzo consapevole dei
    servizi 23 giugno 2011
   Garante privacy, Linee guida in tema di Fascicolo sanitario elettronico (Fse) e di
    dossier sanitario – 16 luglio 2009
   Gruppo di lavoro ex art. 29, Working Document on the processing of personal
    data relating to health in electronic health records (EHR), 15 febbraio 2007

Principali “fonti amministrative”

   Codice dell'amministrazione digitale (d.lgs. 82/2005)
   Codice degli appalti pubblici (d.lgs. 163/2006)
     
       D.P.R. 207/2010
   D.lgs. 39/1993

Principali Studi e lavori scientifici in area
                  amministrativistica

   DigitPA, Linee guida per il disaster recovery delle Pubbliche
    amministrazioni. Ai sensi del comma 3, lettera b) dell'articolo 50-bis del
    DLgs. n. 82/2005 e s.m.i
   Cnipa – Linee Guida per la qualità dei beni e dei servizi ICT nella
    Pubblica amministrazione (2007 – 2009)
   Consip, Cloud Security: una sfida per il futuro, in Quaderni Consip, n.
    II/2011
   DigitPA, Raccomandazioni e proposte sull'utilizzo del cloud computing
    nella Pubblica Amministrazione
   Carta di Castelfranco

Il cloud: scelta di efficienza


    DigitPA, Raccomandazioni e proposte sull’utilizzo del cloud computing nella
    pubblica amministrazione, p. 18: “Dai dati della PA centrale, possiamo
    valutare l’abbattimento approssimativo tra i costi di infrastrutture (hardware,
    software, reti) ed i costi dei servizi (che comprendono i costi di supporto e
    gestione delle applicazioni esistenti e i costi di sviluppo di nuove
    applicazioni). L’ambiente cloud ha un effetto su tutte e due le aree. I
    risparmi per la fornitura e per la gestione della domanda riguardano
    principalmente la parte dell’infrastruttura, che allo stato attuale comprende
    oltre il 70% della spesa complessiva, mentre la parte servizi (che
    comprende lo sviluppo di nuove applicazioni) riguarda meno del 30% della
    spesa”.

Il cloud: scelta di efficienza


    DigitPA, Raccomandazioni e proposte sull’utilizzo del cloud computing nella
    pubblica amministrazione, p. 18: “Gli aspetti economici descritti avranno un
    impatto profondo sull’IT. Molti responsabili dei sistemi informativi delle
    pubbliche amministrazioni devono attualmente scontrarsi con il fatto che il
    70% del budget viene speso per mantenere le infrastrutture esistenti.
    Rimangono quindi poche risorse non solo per introdurre l’innovazione nei
    data center ma anche soltanto per adeguarne la capacità. Il cloud
    computing libererà importanti risorse, sia nell’area delle infrastrutture che
    in quella dei servizi, che possono essere destinate all’innovazione”.

Scegliere un cloud provider di qualità


    Garante privacy, Cloud computing: indicazioni per l’uso consapevole dei
    servizi, p. 14: “Gli utenti dovrebbero valutare... la stabilità societaria del
    fornitore, le referenze, le garanzie offerte in ordine alla confidenzialità dei
    dati e alle misure adottate per garantire la continuità operativa a fronte di
    eventuali e imprevisti malfunzionamenti”

La rilevanza delle certificazioni (ISO, BS, ecc.)


    Importanza della certificazione in base a standard internazionali. WP29,
    Opinion 5/2012, p. 22: “Independent verification or certification by a
    reputable third party can be a credible means for cloud providers to
    demonstrate their compliance with their obligations as specified in this
    Opinion... The adoption of privacy-specific standards and certifications
    is central to the establishment of a trustworthy relationship between
    cloud providers, controllers and data subjects.


    ISO 27001 è espressamente indicata nel Manuale DigitPA, Ricognizione di
    alcune Best Practice applicabili ai contratti ICT, § 7.

Necessaria garanzia di interoperabilità,
portabilità dei dati, assenza di vendor lock-in


    Garante, Cloud computing: indicazioni per l’utilizzo consapevole dei servizi,
    p. 14: “Privilegiare i servizi che favoriscono la portabilità dei dati - E’
    consigliabile ricorrere a servizi di cloud computing nelle modalità SaaS,
    PaaS o IaaS in un'ottica lungimirante, vale a dire privilegiando servizi basati
    su formati e standard aperti, che facilitino la transizione da un sistema cloud
    ad un altro, anche se gestiti da fornitori diversi”


    WP29, Opinion 5/2012, p. 26: “Both interoperability and data portability are
    indeed key factors for the development of cloud-based technology as well
    as in order to enable full exercise of the data protection rights vested in data
    subjects”

Continuità operativa e disaster recovery


    La ridondanza dei dati, la struttura articolata su più data center e l'elevata
    qualità delle misure di sicurezza garantiscono livelli estremamente elevati di
    continuità operativa e di misure di disaster recovery


    Cloud provider seri forniscono appositi SLA che permettono al cliente di
    disporre di un chiaro dato numerico circa il livello di garanzia dei servizi
    forniti

Conoscere la localizzazione dei dati


    E' indispensabile conoscere dove si trovano i dati. WP29, Opinion 5/2012, p.
    20: “Clients should be informed about all locations in which data may be
    stored or processed by the cloud provider and/or its subcontractors”

    I dati di FSE e DSE non possono essere trasferiti fuori dalla UE senza il
    consenso dell'interessato

    Gli altri dati possono uscire dalla UE senza consenso ma solo a certe
    condizioni: WP29, Opinion 5/2012, p. 21: “Transfers of data to non-adequate
    third countries require specific safeguards via the use of Safe Harbor
    arrangements, standard contractual clauses (SCC) or binding corporate
    rules (BCR) as appropriate”

Trasparenza sulla lista dei subcontractor

  WP29, Opinion 5/2012, p. 20: “clients should be
 informed about all subcontractors contributing to
    the provision of the respective cloud service”

 Attenzione, in Italia non è ancora possibile che il
responsabile esterno del trattamento di dati intra-UE
      nomini sub-responsabili del trattamento

Attenzione ai principi generali: rispetto delle
           finalità di trattamento

   Il principio della pertinenza e non eccedenza del
   trattamento rispetto alle finalità di raccolta del dato
    personale è di portata generale. Cfr., in materia di
      cloud computing, WP29, Opinion 5/2012, p. 20:
    “Purpose specification and limitation (3.4.1.2): the
       client should ensure compliance with purpose
  specification and limitation principles and ensure that
   no data is processed for further purposes by the
               provider or any subcontractors.”

Dati sicuri con log degli accessi

Garante privacy, provv. 27 novembre 2008: “Devono essere
  adottati sistemi idonei alla registrazione degli accessi logici
 (autenticazione informatica) ai sistemi di elaborazione e agli
 archivi elettronici da parte degli amministratori di sistema. Le
    registrazioni (access log) devono avere caratteristiche di
completezza, inalterabilità e possibilità di verifica della loro
integrità adeguate al raggiungimento dello scopo per cui sono
  richieste. Le registrazioni devono comprendere i riferimenti
  temporali e la descrizione dell'evento che le ha generate e
     devono essere conservate per un congruo periodo, non
                        inferiore a sei mesi”

Dati sensibili

Art. 4, co. 1, lett. d) Codice privacy: “i dati personali idonei a rivelare l'origine
   razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le
         opinioni politiche, l'adesione a partiti, sindacati, associazioni od
 organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i
       dati personali idonei a rivelare lo stato di salute e la vita sessuale”
Tutti i dati contenuti nel Fascicolo Sanitario Elettronico (FSE o EHR) sono
   dati sensibili. WP29, Opinion 5/2012, p. 21: “the members of the Working
 Party are of the opinion that all data contained in medical documentation, in
  electronic health records and in EHR systems should be considered to be
  “sensitive personal data” -->> Repetita iuvant: consenso per trasferimento
                                      estero

Necessità di crittografia per i dati sensibili


    Art. 22, co. 6 Codice privacy: “I dati sensibili e giudiziari... sono trattati con
    tecniche di cifratura o mediante l'utilizzazione di codici identificativi o di altre
    soluzioni che, considerato il numero e la natura dei dati trattati, li rendono
    temporaneamente inintelligibili anche a chi è autorizzato ad accedervi e
    permettono di identificare gli interessati solo in caso di necessità”

    Art. 34, co. 1, lett. h): “adozione di tecniche di cifratura o di codici
    identificativi per determinati trattamenti di dati idonei a rivelare lo stato di
    salute o la vita sessuale effettuati da organismi sanitari”

    Garante privacy, Linee guida FSE: “..applicazione anche parziale di
    tecnologie crittografiche a file system o database, oppure... adozione di
    altre misure di protezione che rendano i dati inintelligibili ai soggetti non
    legittimati”.

Possibili criticità

  No trattamento di dati genetici (difficile verificare la strong
    authentication anche biometrica nei data center cloud)
      No FSE extra-UE senza consenso dell'interessato
Audit non mediante ispezione fisica: comunque bene report e
 controlli di terze parti indipendenti come naturale per il public
                           cloud computing
No uso public cloud per attività sanitarie “mission critical” (sì a
         soluzioni ibride o di private cloud computing)
       Attenzione alle “filiere” di subfornitori tecnologici

Riepilogo dei punti rilevanti


    Abbattimento dei costi fissi per la PA e maggiori investimenti per l'innovazione

    Localizzazione sicura dei paesi in cui si trovano i dati

    Trasparenza sui subfornitori

    Doppio livello di adeguatezza nei trasferimenti di dati extra UE

    Qualità e solidità del fornitore di cloud

    Certificazione ISO 27001 e altre certificazioni di qualità

    Interoperabilità, portabilità, no lock-in dei dati

    Sistemi di log a norma di legge

    Gestione dei dati sensibili (anche in ambito sanitario ma attenzione a FSE)

Per domande e approfondimenti:

lucabolognini@istitutoitalianoprivacy.it

luca.bolognini@ictlegalconsulting.com