Per celebrare il Data Protection Day, ENISA (acronimo di European Union Agency for Cybersecurity) ha pubblicato il rapporto Engineering Personal Data Sharing finalizzato a descrivere le modalità con cui le tecnologie e le tecniche di sicurezza informatica possono supportare l’attuazione dei principi generali enunciati dal GDPR nella delicata fase di condivisione dei dati personali.
Relativamente a detta tematica, il direttore esecutiva di ENISA, Johan Lepassaar, ha dichiarato: “In un mondo sempre più connesso, proteggere i dati condivisi è essenziale se vogliamo generare fiducia nei servizi digitali. Dobbiamo quindi fare affidamento sulle tecnologie a disposizione per affrontare i rischi emergenti e quindi trovare le soluzioni per proteggere al meglio i diritti e le libertà delle persone in tutta l’UE.”
Come riportato nel comunicato stampa reso dall’Agenzia, essendo i dati al centro delle nostre vite, e rappresentando un elemento fondamentale della nostra economia, al pari di una vera e propria valuta, risulta essenziale garantirne la sicurezza.
“Al giorno d’oggi”, afferma l’agenzia, “nessuna transazione o attività può essere eseguita online senza lo scambio e la condivisione di dati. Le organizzazioni condividono informazioni con partner, piattaforme analitiche, organizzazioni pubbliche o altre organizzazioni private e l’ecosistema degli azionisti sta aumentando in modo esponenziale. Sebbene vediamo che i dati vengono prelevati da dispositivi o da organizzazioni per essere condivisi con parti esterne al fine di facilitare le transazioni commerciali, la sicurezza e la protezione dei dati dovrebbero rimanere una priorità assoluta e dovrebbero essere implementate adeguate soluzioni a tal fine”.
Sulla scorta di dette premesse, il rapporto si pone l’obiettivo, come detto, di fornire una dimostrazione pratica di come i principi di protezione dei dati – e le garanzie di tutela per i diritti degli interessati – possono essere applicati, utilizzando soluzioni tecnologiche fondate su tecniche di crittografia dei dati avanzata.
Particolare attenzione, ovviamente, è data al flusso dei dati tra diversi soggetti/organizzazioni, in quanto spesso il dato personale transita da più canali/entità prima di raggiungere il destinatario finale.
Armonizzare le regole UE per una cibersicurezza fondata sulla privacy
Indice degli argomenti
Il contesto di riferimento
Come evidenziato nell’incipit del rapporto, negli ultimi vent’anni si è assistito ad un incremento repentino e costante della quantità di dati generati ed elaborati. Allo stato attuale, sussiste una vera e propria tendenza naturale all’estrazione dei dati, e alla condivisione degli stessi tra diverse parti, allo scopo di creare nuovo valore o di ridurre i costi operativi.
Gli stessi legislatori europei, nel corso degli ultimi anni, hanno manifestato il proprio interesse alla condivisione dei dati, purché questa avvenga in modo sicuro e non comporti un pregiudizio per gli interessati. Uno dei pilastri fondamentali della strategia europea per i dati è proprio quello di rendere disponibili quantità maggiori di dati, e facilitarne la condivisione non solo tra diversi settori, ma anche tra diversi paesi dell’UE, al fine di sfruttare il potenziale dei dati a vantaggio dei cittadini e delle imprese europee.
Il Data Governance Act a tal fine introduce dei meccanismi per aumentare la disponibilità dei dati nel settore pubblico e superare gli ostacoli tecnici connessi al riutilizzo dei dati nell’interesse pubblico. Detti meccanismi sono supportati, nel regolamento, da una serie di misure tecniche che facilitano la condivisione dei dati, quali l’istituzione di intermediari di dati affidabili, la creazione di ambienti di elaborazione sicuri soggetti a supervisione pubblica.
Secondo quanto previsto dal Data Act, poi, i dati possono essere messi a disposizione per la loro condivisione tra imprese, cittadini e pubbliche amministrazioni, anche qui solo a seguito dell’adozione di misure specifiche che mirano ad aumentare la certezza del diritto, prevenire l’abuso di squilibri contrattuali e fornire l’accesso ai dati per gli enti del settore pubblico.
ENISA, svolte queste brevi premesse, ritiene opportuno specificare cosa s’intende con il termine condivisione dei dati all’interno del report: “la condivisione dei dati”, si legge, “può essere considerata come la divulgazione di dati a terzi al di fuori dell’organizzazione al fine di raggiungere uno scopo specifico. Tale condivisione può essere eseguita come parte di un’operazione di elaborazione o durante il tentativo di fornire un’utilità aggiuntiva ai dati esistenti. Le recenti iniziative legislative dell’UE che promuovono la condivisione dei dati sono strumenti settoriali e intersettoriali che mirano a rendere disponibili i dati regolamentando il riutilizzo dei dati detenuti pubblicamente e privatamente, compresi i dati personali. Facilitano inoltre la condivisione dei dati attraverso la creazione di nuovi intermediari e ambienti di condivisione in cui le parti coinvolte possono mettere in comune dati e strutture in modo affidabile e sicuro.”.
In detto contesto, il rapporto esamina da vicino una serie di specifici casi d’uso relativi proprio alla condivisione dei dati personali, con particolare attenzione agli episodi di condivisione dati che si verificano nel settore sanitario, esaminando come alcune specifiche tecnologie possano supportare i soggetti che operano sui dati a raggiungere elevati standard di sicurezza e protezione.
Lo stesso Comitato europeo per la protezione dei dati (EDPB) nelle sue linee guida sulla protezione dei dati fin dalla progettazione e per impostazione predefinita ha evidenziato come in un mondo sempre più digitale, l’adesione alla protezione dei dati by design svolge un ruolo cruciale nella promozione della privacy e della protezione dei dati.
È fondamentale, dunque, che i titolari dei dati comprendano i principi in materia di protezione dei dati e i diritti e le libertà degli interessati e attuino misure adeguate e le garanzie necessarie per rafforzare tali principi e consentire l’esercizio di tali diritti.
È quindi necessaria, afferma ENISA, una particolare attenzione all’identificazione dei principali paradigmi di ingegneria della protezione dei dati, al fine di comprendere quali tipi di salvaguardie performano meglio in vari possibili scenari, che ENISA sintetizza nel proprio report.
Di seguito, si andranno ad approfondire, in particolare, gli scenari elaborati in relazione al settore sanitario.
La condivisione dei dati nel settore sanitario
Focus del documento, come anticipato in premessa, è l’analisi di possibili soluzioni tecniche da adottarsi nel settore sanitario per una condivisione dei dati sicura. Il COVID-19, in particolare, ha dimostrato quanta differenza può fare nel campo della ricerca una efficace e tempestiva condivisione dei dati: per questo, si rende necessario rafforzare il coordinamento e la collaborazione tra gli enti sanitari, sia pubblici che privati.
Tuttavia, nell’alveo dei dati sanitari rientrano varie categorie di dati personali, tutti sensibili: dati biomedici, cartelle cloniche elettroniche, dati generati dagli individui mediante, ad esempio, dispositivi indossabili.
Questi dati devono essere raccolti ed elaborati secondo alcuni principi cardine ulteriori a quelli della minimizzazione, la trasparenza nei confronti dell’interessato e la sicurezza dei dati:
- i dati per la diagnosi e il trattamento di un paziente devono essere identificabili;
- gli stessi dati, ove riferiti ad una larga platea di interessati, devono essere adeguatamente pseudonimizzati, ove destinati alla ricerca, al fine di assicurare che la re-identificazione del soggetto cui si riferiscono non sia possibile da parte del ricercatore;
- deve essere garantita la possibilità di gestire più fonti diverse di dati dei pazienti, inclusi dispositivi indossabili e app di monitoraggio dello stato di salute.
Occorre rilevare come la condivisione dei dati nel settore sanitario presenti anche importanti dimensioni transfrontaliere, ai sensi di quanto previsto dalla direttiva sull’assistenza sanitaria transfrontaliera e dalla proposta avanzata dall’UE di creazione di uno spazio unico di dati sanitari.
Condivisione controllata: più potere all’utente
Secondo quanto riportato da ENISA, un primo approccio base per garantire la trasparenza nei confronti dell’interessato è quella di controllare chi avrà accesso ai suoi dati, nonché per quanto tempo vi avrà accesso e quale parte dei suoi dati sarò condivisa.
Il ruolo attivo dell’utente viene dunque visto come una prima salvaguardia a garanzia dell’adempimento dei requisiti previsti dalla normativa europea in materia di protezione dei dati personali.
!Dal punto di vista della base giuridica del trattamento”, afferma ENISA, “questo approccio è un modo per implementare la condivisione dei dati con il consenso esplicito dell’utente in un modo che non può essere superato; nessuna entità sarebbe autorizzata ad accedere ai dati sanitari dell’utente a meno che l’utente non conceda esplicitamente l’accesso”.
Al fine di esplicare meglio la tesi, si considera uno scenario in cui un utente invii dei dati mediante un dispositivo indossabile per il monitoraggio sistematico del glucosio, che si occupa anche si monitorare dati come pressione sanguigna, livelli di caffeina e livelli di lattato. Il dispositivo, nel caso preso in esame, carica i flussi di dati direttamente in un cloud, affinché questi medesimi dati possano essere visualizzati ed elaborati dall’interessato o da soggetti autorizzati (familiari, medici ecc.).
ENISA ipotizza che l’utente possa essere autorizzato a condividere anche solo determinate categorie di dati, sulla base di parametri come il tempo o la natura del dato, tramite l’uso della crittografia asimmetrica: detta tecnica consente all’utente di crittografare i dati con la propria chiave o con quella specifica del destinatario.
Questo approccio, tuttavia, per quanto utile, presenta alcuni limiti in termini di praticità ed efficienza. “Se gli stessi dati devono essere condivisi con più entità, l’utente deve condividere gli stessi dati più volte, ciascuno crittografato con la chiave pubblica dell’entità interessata.
Ciò porta inevitabilmente alla ridondanza, che diventa un problema predominante soprattutto nei casi di elevati volumi di dati che vengono costantemente prodotti. Inoltre, i possibili destinatari potrebbero non essere necessariamente noti in anticipo e di conseguenza, per ogni nuovo accesso che si vuole concedere, sarebbe necessaria una nuova cifratura”.
Una diversa tecnica che potrebbe essere usata è quella della c.d. Attribute Based Encryption: trattasi di una tecnica crittografica asimmetrica che consente, contrariamente alla cifratura a chiave pubblica classica, di utilizzare più chiavi di decrittazione, generate dalla chiave principale (che rimane segreta), ognuna delle quali legata a piccoli pezzi di informazioni aggiuntive relative ai dati (dette informazioni sono chiamati attributi).
Utilizzando chiavi ABE i dati dell’utente sarebbero crittografati con chiavi specifiche suddivise in base ai diversi attributi, e caricati nel cloud. Nel momento in cui una terza parte richiede l’accesso ai dati dell’utente, l’utente può dunque creare una policy di accesso dedicata, che specifica quali proprietà del dato, in base agli attributi definiti a monte, devono essere soddisfatte. Così facendo, il medico che richiede l’accesso ai dati potrà beneficiare di una chiave di decrittazione dedicata.
Ancora, potrebbe essere utilizzata la tecnica della ricrittografia proxy: trattasi di una tecnologia crittografica avanzata che consente la ricrittografia di un set di dati già crittografato da una chiave pubblica ad un’altra, senza che il proxy abbia accesso al set di dati non crittografato. In questo modo potrà essere applicata una seconda crittografia dedicata nel momento in cui si decide di delegare l’accesso a terzi.
Detta soluzione è considerata ottimale quando non è noto, al momento della crittografia o della condivisione iniziale, chi potranno essere i soggetti con cui i dati sono condivisi, o si utilizzano infrastrutture non attendibili (come, appunto, le infrastrutture cloud).
Cura e ricerca: la condivisione dei dati dagli operatori
Il secondo scenario tipico, in materia di dati sanitari, riguarda la gestione delle cartelle cliniche elettroniche da parte degli operatori sanitari. Si tratta di database che contengono, in formato digitale, tutta la storia medica di un paziente ed i dati medici chiave relativi alle sue condizioni (risultati di esami medici, trattamenti, farmaci, diagnosi ecc.).
Dette cartelle sono generalmente gestite in un archivio centrale a livello nazionale e gli utenti possono autorizzare l’accesso ai propri dati ai medici curanti o alle istituzioni sanitarie. Durante la pandemia è diventata ancora più evidente la necessità di stimolare progetti di raccolta dati su larga scala, nel tentativo di supportare non solo la cura dei pazienti ma anche la ricerca scientifica e la prognosi.
A tal fine, ENISA rende alcuni esempi di applicazione delle tecniche crittografiche, che consentano di garantire che solo i fornitori di servizi sanitari autorizzati abbiano accesso ad informazioni personalizzate, permettendo, al contempo, nel caso in cui i dati debbano essere condivisi con ricercatori (interni o esterni) per scopi di ricerca sanitaria, la pseudonimizzazione del dato per evitare la divulgazione dell’identità del paziente.
La soluzione individuata da ENISA prevede l’utilizzo della c.d. crittografia polimorfica, unitamente alle tecniche di pseudonimizzazione (si parla di tecnologie PEP). “La proprietà principale della crittografia polimorfica è che i dati personali possono essere crittografati in modo tale che non sia necessario stabilire a priori chi può decrittografare i dati.
Questo può essere deciso in seguito tramite trasformazioni del testo cifrato che consentono di eseguire la decrittazione tramite diverse chiavi crittografiche. La trasformazione può essere eseguita in modo “cieco” senza che la parte che esegue questa operazione, il transcryptor, sia in grado di accedere al set di dati non crittografato.
Pertanto, il set di dati crittografato viene “trasformato” dal transcryptor in un’altra versione in modo che solo questo destinatario possa decrittografare”.
Il transcryptor, continua l’Agenzia, “può essere un’entità all’interno dell’organizzazione (ad esempio il centro medico o l’ospedale) o all’esterno dell’organizzazione, ad esempio un fornitore di servizi cloud”.
Per quanto riguarda la pseudonimizzazione, poi, la tecnologia PEP “utilizza il transcryptor anche come entità di pseudonimizzazione […]. A ciascun individuo vengono assegnati pseudonimi diversi per ciascuna terza parte che richiede l’accesso ai dati dell’individuo, impedendo così il collegamento di pseudonimi tra più terze parti”.
Riassumendo, dunque, ad ogni paziente viene assegnato un identificatore univoco, poi trasformato dal transcryptor in diversi pseudonimi, in base al tipo di destinatario, di contesto o di scopo per il quale si condividono i dati. Ciascuno pseudonimo viene comunicato allo specifico destinatario, insieme ai dati cifrati polimorfici.
Poiché per ogni destinatario lo pseudonimo cambia, quest’ultimo non potrà collegare i dati che visualizza ad uno specifico paziente, preservando la riservatezza dei dati di quest’ultimo. Nel caso in cui il destinatario sia un medico, il transcryptor crittografa nuovamente i dati sanitari del paziente e li trasmette al relativo medico.
