Nel Data Protection Day è stato pubblicato il Personal Data Sharing

Nel Data Protection Day è stato pubblicato il Personal Data Sharing
“Il destino guida colui che vuole lasciarsi guidare e trascina colui che non vuole” sentenziava Seneca nell’Epistole a Lucilio in uno dei più antichi e importanti manoscritti.

L’umanità conosce questa massima da più di 2000 anni, eppure dinanzi a ciò che prende le sembianze del destino, ci sono ancora timori e preoccupazioni che limitano l’evoluzione.

L’innovazione tecnologica che ha stravolto usi, costumi e processi produttivi non sempre è accolta nella giusta maniera, ma chi la rifiuta viene inevitabilmente travolto da una società che corre veloce verso un’altra direzione.

Non occorre però solamente positività e apertura mentale, è necessario conoscere rischi e benefici per sfruttare al massimo il potenziale e limitare gli eventuali effetti collaterali.

Evoluzione tecnologica fa rima con maggior condivisione di dati 

Nessuna transazione o attività può essere eseguita online senza lo scambio e la condivisione di dati". Le organizzazioni condividono informazioni con partner, piattaforme analitiche, organizzazioni pubbliche o altre organizzazioni private e l’ecosistema degli azionisti sta aumentando in modo esponenziale.

Sebbene vediamo che i dati vengono prelevati da dispositivi o da organizzazioni per essere condivisi con parti esterne al fine di facilitare le transazioni commerciali, la sicurezza e la protezione dei dati dovrebbero rimanere una priorità assoluta e dovrebbero essere implementate adeguate soluzioni a tal fine”.

Queste le parole del direttore esecutivo dell'Agenzia dell'UE per la sicurezza informatica, Juhan Lepassaar, che ha commentato così il costante aumento della quantità di dati generati ed elaborati, alla loro estrazione e condivisione per creare valore e ridurre costi operativi.

“In un mondo sempre più connesso, proteggere i dati condivisi è essenziale se vogliamo generare fiducia nei servizi digitali. Dobbiamo quindi fare affidamento sulle tecnologie a disposizione per affrontare i rischi emergenti e quindi trovare le soluzioni per proteggere al meglio i diritti e le libertà delle persone in tutta l’UE” ha concluso Lepassaar.

I regolamenti che tutelano e disciplinano la condivisione di dati

Il Data Governance Act introduce dei meccanismi per aumentare la disponibilità dei dati nel settore pubblico e una serie di misure tecniche che facilitano la condivisione dei dati (come l’introduzione di intermediari di dati affidabili, la creazione di ambienti di elaborazione sicuri e soggetti a supervisione pubblica).

Tutto questo per aumentare la certezza del diritto, prevenire l’abuso di squilibri contrattuali e fornire l’accesso ai dati per gli enti del settore pubblico.

In occasione del Data Protection Day, ENISA (European Union Agency for Cybersecurity) ha condiviso il rapporto Engineering Personal Data Sharing che descrive le modalità con cui le tecnologie e le tecniche di sicurezza informatica possono supportare l’attuazione del GDPR durante la fase di condivisione dei dati personali.

Personal Data Sharing con focus sul settore sanitario

Inevitabilmente il focus del report è stato l’ambito sanitario e in particolare quali soluzioni tecniche vanno adottate per una condivisione di dati sicura e necessaria, come avvenuto per contrastare il COVID-19 dove coordinamento e collaborazione tra enti sanitari ha fatto la differenza.

Oltre ai principi cardine del GDPR, per il trattamento dei dati sanitari ne vanno applicati anche altri:

  • Identificazione dei dati per la diagnosi e il trattamento di un paziente;
  • Pseudonimizzazione dei dati destinati alla ricerca, in modo da escludere la re-identificazione del soggetto;
  • Gestione di più fonti diverse di dati dei pazienti, inclusi dispositivi indossabili e app di monitoraggio dello stato di salute.

Il controllo dei dati dell’interessato: chi, per quanto e quali?

L’utente avrà un ruolo attivo, garante della prima salvaguardia all’adempimento dei requisiti introdotti dal GDPR: “nessuna entità sarà autorizzata ad accedere ai dati sanitari dell’utente a meno che l’utente non conceda esplicitamente l’accesso” afferma ENISA.

Come esempio si può prendere il caso in cui l’utente invia dati mediante un dispositivo indossabile per il monitoraggio sistematico del glucosio, che monitora anche altri dati come pressione sanguigna, livelli di caffeina e livelli di lattato.

Il dispositivo carica i flussi di dati direttamente in un Cloud, affinché questi medesimi dati possano essere visualizzati ed elaborati dall’interessato o da soggetti autorizzati (familiari, medici ecc.).

Metodologia “Crittografia asimmetrica”

L’utente può condividere anche solo determinate categorie di dati, sulla base di parametri come il tempo o la natura del dato a solo specifici destinatari tramite l’uso della crittografia asimmetrica.

I limiti di questa metodologia riguardano la praticità e l’efficienza che determinano ridondanza visto che l’utente dovrà condividere gli stessi dati più volte, ciascuno crittografato con la chiave pubblica dell’entità interessata.

La proposta “Attribute Based Encryption”

L’Attribute Based Encryption è una tecnica di crittografia asimmetrica che permette di utilizzare più chiavi di decrittazione (generate dalla chiave principale segreta), ognuna legata a piccoli pezzi di informazioni aggiuntive relative ai dati.

Nel momento in cui una terza parte richiede l’accesso ai dati dell’utente, l’utente può dunque creare una policy di accesso dedicata, che specifica quali proprietà del dato, in base agli attributi definiti a monte, devono essere soddisfatte.

La soluzione “Ri-Crittografia Proxy”

Quando si parla di Ri-crittografia Proxy si intende la tecnologia crittografica avanzata che consente la Ri-crittografia di un set di dati già crittografato da una chiave pubblica ad un’altra, senza che il proxy abbia accesso al set di dati non crittografato.

Soluzione perfetta se al momento della crittografia o condivisione iniziale non si conoscono ancora i soggetti con cui verranno condivise le informazioni.

La gestione della cartella clinica

La gestione delle cartelle cliniche elettroniche da parte degli operatori sanitari avviene tramite archivio centrale a livello nazionale.

Si tratta di database digitali che contengono la storia medica di un paziente ed i dati medici chiave relativi alle sue condizioni e vengono condivise con i medici curanti o le istituzioni sanitarie.

La crittografia poliformica suggerita da ENISA limita l’accesso al database solamente a fornitori di servizi sanitari autorizzati e allo stesso tempo permette la condivisione con ricercatori tramite pseudonimizzazione del dato.

Ad ogni paziente viene assegnato un identificatore univoco, poi trasformato in differenti pseudonimi personalizzati in base al tipo di destinatario, di contesto o di scopo per il quale si condividono i dati.

Ogni pseudonimo viene comunicato allo specifico destinatario, insieme ai dati cifrati polimorfici in modo da rendere impossibile il collegamento e preservare la riservatezza dei dati.

Iscriviti alla Newsletter di UTOPIA.

Iscriviti alla Newsletter per ricevere il Privacy Digest che include un riepilogo bisettimanale degli ultimi articoli del Blog e le ultime novità di UTOPIA.

Iscrizione avvenuta con successo!
Ops! Qualcosa è andato storto. Ricarica la pagina e riprova...
 SCOPRI TUTTE LE NEWS SUL GDPR

Leggi il nostro blog

Unisciti ad altri appassionati di privacy e ricevi subito l’Infografica sull’Accountability documentale, oltre alle novità sul mondo dei dati personali direttamente nella tua e-mail. Una volta al mese, niente SPAM.

Grazie per esserti iscritto alla nostra newsletter.
Presto riceverai una mail con l'Infografica sull'Accountability documentale! 👈🏼
Ops! Qualcosa è anadato storto durante l'invio della richiesta.