La sanità deve fare a meno dei dati personali
Segnalo questi due articoli di Christian Bernieri riguardo al tema del FSE 2.0 e alla possibilità di opporsi all'alimentazione automatica dei dati pre-2020. https://bernieri.blogspot.com/2024/05/la-sanita-deve-fare-meno-dei-dati.html (leggibile anche come PDF qui (https://ransomfeed.it/index.php?page=blog&postID=03) https://bernieri.blogspot.com/2024/06/dark-pattern-di-stato.html B.J.
Buongiorno, benjuade via nexa <nexa@server-nexa.polito.it> writes:
Segnalo questi due articoli di Christian Bernieri riguardo al tema del FSE 2.0 e alla possibilità di opporsi all'alimentazione automatica dei dati pre-2020.
https://bernieri.blogspot.com/2024/05/la-sanita-deve-fare-meno-dei-dati.html
Ai fini archivistici e di eventuale discussione, siccome merita, aggiungo ampi stralci dell'articolo (licenza Creative Commons CC BY, grazie Bernieri!) «Il Pensatoio: La sanità deve fare a meno dei dati personali.» <https://bernieri.blogspot.com/2024/05/la-sanita-deve-fare-meno-dei-dati.html> --8<---------------cut here---------------start------------->8--- 1.1 Premessa ──────────── [...] I dati personali non sono tutti uguali e questo vale anche per i data breach. Certi data breach sono senza rimedio, in particolare lo sono quelli che riguardano i dati relativi alla salute, alla vita sessuale o all'orientamento sessuale. Questi dati particolari, questi dati sensibili, ci rendono particolarmente vulnerabili in modi che spesso non sappiamo prevedere e che dipendono da chi li avrà a disposizione e dall'uso malizioso/deteriore/deprecabile che saprà escogitare. Siamo tutti bravi ragazzi e mediamente poco abili nell'uso degli strumenti informatici; per questo facciamo fatica a immaginare che ci siano persone malvagie e capaci di fare miracoli con un computer, ma la realtà è questa. 1.2 Un caso immaginario, ma non troppo ────────────────────────────────────── [...] Quando i dati sensibili di Ingenuolo saranno nelle mani di un criminale informatico, inizierà quello che, in gergo, si chiama “Pig Butchering”: la macellazione del porco. Rende l'idea? Ingenuolo sarà devastato in tutti i modi possibili, con totale noncuranza di ogni conseguenza. L'unico obiettivo sarà spolparlo fino all'ultimo brandello di valore. [...] Una malattia invalidante, in molti Paesi, è discriminante per il datore di lavoro. [...] Essere portatori di una patologia particolare può minare autostima e produttività, finanche diventare motivo di bullismo o mobbing. Ingenuolo dovrà pagare per non far arrivare alle sue assicurazioni la documentazione che annullerà ogni copertura. Stipulare una polizza assicurativa senza dichiarare di soffrire di una certa malattia, costituisce anche un reato e pregiudica qualsiasi tipo di copertura. Presente, futura e, spesso, anche passata. Ingenuolo dovrà cambiare casa perché non gli è stato rinnovato l'affitto. Pare che il proprietario non gradisca affittare a persone con un particolare orientamento sessuale che, adesso, tutti conoscono. Purtroppo la banca non approverà mai il mutuo che è stato chiesto perché Ingenuolo non è un cliente come gli altri, è completamente trasparente a chi deve valutare il rischio connesso alla restituzione del denaro. [...] Ingenuolo si era anche candidato in un partito che professa posizioni radicali rispetto ad alcuni trattamenti sanitari. Ingenuolo dovrà rinunciare perché i criminali hanno venduto al partito avversario informazioni e documenti che testimoniano il suo ricorso a quelle stesse pratiche mediche che pubblicamente avversa. Ingenuolo potrà essere ricattato in modi che solo una mente perversa può immaginare e che lo sorprenderanno. Non si capaciterà di quanto possa essere cattivo un essere umano. [...] Ah, naturalmente, mentre Ingenuolo si interfaccerà con i suoi macellai, si esporrà anche ad invisibili attacchi diretti e, senza accorgersene, il suo computer verrà compromesso, le sue password saranno note ai criminali, i suoi account saranno a lui preclusi e nelle mani dei cattivi, il contenuto del suo hard disk verrà copiato e poi bloccato. A questo punto Ingenuolo potrebbe cominciare a capire come funzionano gli ingranaggi di questa arancia meccanica digitale e immaginare che domani, appena i criminali avranno setacciato bene i dati rubati, troveranno le foto porno che ha scaricato da internet, la sua cronologia su quei siti molto espliciti e molto particolari, le chat private in cui ha chiamato la moglie “troia”, la figlia “stronza” e il capo “coglione” … e intuirà che cosa lo aspetta. Ingenuolo vorrà smettere di esistere perché capirà che, purtroppo, non c'è altro modo per liberarsi di questo invincibile e spietato nemico invisibile. [...] 1.4 “Don't look up”. ──────────────────── È profetico e parla di noi, clienti e utenti di aziende travolte dalla propria cialtronaggine. Noi, inermi vittime di data breach che hanno compromesso ciò che di più caro abbiamo: i nostri dati sensibili, affidati a soggetti incapaci di tutelarli come meritano e nel modo richiesto dalla legge. I data breach sono tragedie collettive e devono essere valutati con i freddi parametri previsti dalla legge. Questi stessi eventi, a livello individuale, vengono percepiti da ciascuno in modo molto diverso, a seconda delle ragioni che hanno portato i nostri dati a confluire nei database compromessi. 1.5 “Mannaggia a me”. ───────────────────── molti hanno deciso di fare prevenzione con un test diagnostico, di sottoporsi a cure volontarie o non strettamente necessarie. Hanno quindi deciso liberamente di registrarsi: fornire nome, cognome, dare l'assenso per essere inseriti in un database, nel gestionale di una clinica, tra i file di un dermatologo, ecc. Chiunque si trovi in questa situazione dovrebbe biasimare se stesso, tuttavia siamo inclini a non farlo. [...] una fitta schiera di lavoratori, di assicurati che hanno denunciato un sinistro, di sportivi agonisti e di altre persone nella medesima situazione hanno dovuto fare visite e accertamenti, non per scelta, ma per obbligo di legge. Molti lavoratori non hanno scelta e si devono sottoporre periodicamente a visite ed esami, spesso in centri medici o cliniche. Fa parte del lavoro ed è una misura di prevenzione obbligatoria. Ogni rimborso assicurativo comporta la verifica di cartelle cliniche, referti medici, esami, a volte anche visite di controllo. [...] a volte non c'è scelta e ci si deve curare. [...] I dati sanitari ci sono e crescono di anno in anno, ciascuno li alimenta con le piccole e grandi cose della vita e ogni informazione viene registrata. [...] 1.9 Tsunami ─────────── A prescindere dalla percezione individuale, mettendo per un attimo da parte considerazioni del tenore di “io non l'ho mai visto” e “a me non è mai capitato”, l'entità del fenomeno deve fare spavento. Alla mia famigerata memoria viene in soccorso Ransomfeed che tutto registra e documenta. Questi sono i data breach occorsi negli ultimi mesi [ OMISSIS, che merita un messaggio a parte ] 1.10 La dura verità ─────────────────── La verità, purtroppo, è che dietro ad ogni data breach c'è solo la spietata legge dei grandi numeri. Siamo tanti, tantissimi, siamo troppi da gestire con le scarse risorse che abbiamo a disposizione. I grandi numeri richiedono logiche di analisi, efficientamento e razionalizzazione che di umano conservano ben poco e che richiedono molti dati, anzi, TUTTI i dati. La gestione della spesa sanitaria è governata dall'analisi dei dati. I protocolli di cura sono fortemente condizionati dai dati. L'organizzazione stessa delle risorse è basata sui dati. Gli unici investimenti che vengono realizzati riguardano proprio gli strumenti di acquisizione, condivisione e analisi dei dati sanitari, prima ancora che le risorse necessarie per l'erogazione delle cure. Questo perché la legge dei grandi numeri implica la necessità di ottenere il massimo risultato con il minimo sforzo. Oggi, in tutto questo, la protezione dei dati non è affatto contemplata. Ma tutto ciò è anche una precisa scelta politica e, quindi, può cambiare. La complessità dei sistemi, la quantità di dati sia a livello periferico che centralizzato, la loro condivisione tra soggetti variamente affidabili, la cialtronaggine che, per natura, si incontra lungo la propria strada, la scarsità di risorse investite nella protezione e il costante, sempiterno primato dell'approccio reattivo, a danno dell'approccio preventivo, completano il quadro della catastrofe introducendo ogni possibile vulnerabilità nota all'uomo.. e infinite altre, non ancora rivelate. 1.11 Criminali dal cuore d'oro ────────────────────────────── Come se questo non bastasse, nemmeno le vulnerabilità sono tutte uguali. Alcune sono peggiori di altre, alcune meno note di altre, alcune più recenti di altre e ve ne sono alcune, talmente costose da gestire, che ci si rifiuta persino di volerle prendere in considerazione. Purtroppo, la solidità di un sistema è pari al suo anello più debole e, quindi, sarà sempre la peggiore tra le vulnerabilità, la più trascurata a mettere in crisi tutti i dati personali contenuti nei sistemi della sanità pubblica e privata. Di solito, questa vulnerabilità coincide con il “fattore umano”. [...] 1.12 La grande abbuffata ──────────────────────── Per non soccombere è necessario un cambio radicale di prospettiva: è necessario che ogni server ed ogni computer aggredito sia vuoto o che esponga al rischio solo un contenuto minimale. I dati, semplicemente, non ci devono essere. Oggi facciamo il contrario e abbiamo una bulimia di dati, così abbondanti che il solo quantificarli richiederebbe calcoli quantici. 1.13 Un esempio per tutti ───────────────────────── Poco tempo fa, mia moglie è stata ricoverata in ospedale per il parto di nostra figlia. All'accettazione la zelante signorina ci ha accolto con le domande di rito. [...] /“Ma sì, signora, qui c'è la sua scheda, vede? Dimessa il 1 gennaio 1975, peso 2,050 chilogrammi…“/ /“Signora, guardi che è quando sono nata.”/ Ecco, non sarà un po' troppo? È veramente necessario che dati come questi siano nel server, immediatamente disponibili, accessibili e in linea dopo 40 anni? Che fine ha fatto il principio della minimizzazione dei dati previsto dall'art 5 del GDPR? [...] Dobbiamo smettere di pensare che le macchine ci possano tutelare meglio di quanto possiamo fare noi. I nostri dati devono essere in casa nostra, in una cartellina. Possono essere anche in ospedale, ma sempre in una cartellina o in un sistema di archiviazione segregato e distinto da quelli in produzione. Minimizzare i rischi significa fare in modo che, se c'è un furto di dati, ne vengano rubati il meno possibile. Esporre al rischio TUTTI i dati è una follia perché qualsiasi danno scala ad un livello collettivo. Pensare che un software, un gestionale o un server possa proteggere i nostri dati in modo adeguato significa non rendersi conto che quel programma e quella macchina rispondono a logiche differenti, che sono stati predisposti da persone con obiettivi differenti [...] [...] Perchè chi ci stampa i referti deve poter vedere anche i referti precedenti? Perché nella nostra area utente del fighissimo portale online, per scaricare i referti in autonomia, possiamo vedere più informazioni su di noi di quelle che conosce nostra madre? Perchè all'accettazione vedono la cartella clinica di quando è nata mia moglie? [...] Iniziamo oggi. Iniziamo negando il consenso. Sempre e comunque. [...] Quando le persone cominceranno a manifestare consapevolezza su questi temi, a comportarsi in modo più attento, quando le autorità di controllo faranno il loro lavoro (creando cultura della protezione dei dati personali, sanzionando chi non rispetta i principi del GDPR e orientando l'attività legislativa), quando “la privacy” diventerà una figata, un valore da tutelare, allora le aziende inizieranno a vendere privacy e garantiranno maggiori standard di protezione dei dati personali. Prosit --8<---------------cut here---------------end--------------->8--- Saluti, 380° -- 380° (Giovanni Biscuolo public alter ego) «Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.
380° <g380@biscuolo.net> writes: [...]
«Il Pensatoio: La sanità deve fare a meno dei dati personali.» <https://bernieri.blogspot.com/2024/05/la-sanita-deve-fare-meno-dei-dati.html>
[...]
Alla mia famigerata memoria viene in soccorso Ransomfeed che tutto registra e documenta. Questi sono i data breach occorsi negli ultimi mesi
per dare una /vaga/ idea del _disastro_ EPOCALE che coinvolge l'ottavo nano, Ingenuolo (cioè ciascuno di noi), vale la pena riportare qui l'elenco completo dei 22 (ventidue) "data leaks sanitari" (quali dati sarebbero stati esfiltrati?!?) avvenuto solo negli ultimi due anni e mezzo, citati da Bernieri: --8<---------------cut here---------------start------------->8--- 1.9.1 Synlab, 04.05.2024 ╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌ <https://ransomfeed.it/index.php?page=post_details&id_post=15161> Uno dei peggiori della storia, ancora in corso nel momento della scrittura di questo pezzo. I criminali informatici (Blackbasta) hanno copiato 1,5 TERABYTE di dati per la consueta estorsione (paga o li pubblichiamo) e hanno messo KO tutti i sistemi informatici dell'azienda. Per alcune settimane, non ha funzionato nulla, computer, server, sito web, centralino, sistemi di posta… niente. Non hanno risparmiato niente. Non possiamo prevedere come si svilupperà questo data breach ma una cosa è certa: in quei 1.500 Gigabyte di dati, ci sono i dati sensibili di centinaia di migliaia di persone, forse milioni. 1.9.2 Croce Rossa, presunto aprile 2024 ╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌ <https://breachforums.st/Thread-Italian-Red-Cross-Breach> Un data breach interno ad una sezione della Croce Rossa che ha esposto tutti i dati contenuti in un computer accessibile dall'esterno. Password banali, utilizzate identiche su vari sistemi, protezioni assenti. Non si può nemmeno parlare di violazione dei sistemi: sono praticamente aperti su internet, basta entrare. 1.9.3 Farmacia Ettore Florio, 08.04.2024 ╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌ <https://ransomfeed.it/index.php?page=post_details&id_post=14162> A livello locale, una farmacia colleziona i dati di un'intera città. Tutti ci passano, acquistano, prenotano farmaci, accedono a servizi, attivano tessere a punti, prenotano esami. Su scala locale, una tragedia e, in questo caso, una tragedia ancora più estesa dato che la farmacia colpita ha una intensa attività di vendita online: 300 Gigabyte di dati personali sensibili. 1.9.4 Associazione Veterinari ed Igienisti Italiani, 19.02.2024 ╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌ <https://ransomfeed.it/index.php?page=post_details&id_post=13363> Un database di cui non si sa molto ma collegato al mondo della sanità. Un'associazione di categoria del settore. 1.9.5 Azienda Sanitaria Locale Basilicata, 15.02.2024 ╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌ <https://ransomfeed.it/index.php?page=post_details&id_post=13301> Una bomba atomica sulla sanità della Basilicata ed una delle pagine più tristi della comunicazione di crisi. In pochi istanti, la sanità regionale è tornata all'età della pietra, senza alcuna infrastruttura funzionante. Niente più email, niente agenda, niente prenotazioni, niente cartelle cliniche, niente di niente. I dati (circa mezzo terabyte) sono stati compromessi, copiati ed è scattata l'estorsione per non pubblicarli. 1.9.6 Azienda Sanitaria Locale Modena, 11.12.2023 ╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌ <https://ransomfeed.it/index.php?page=post_details&id_post=12315> Altra incredibile pagina di mistificazione collettiva: enti ed istituzioni che hanno fatto di tutto per minimizzare, per rassicurare e per negare l'esistenza di un rischio. In questa situazione, le persone coinvolte, le vere vittime, non meritavano di essere prese in giro da dichiarazioni e comunicati stampa raccapriccianti. Anche in questo caso, sistemi bloccati per settimane, dati rubati e pubblicati. 1.9.7 Centro Ortopedico Il Quadrante, Ospedale COQ, 05.11.2023 ╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌ <https://ransomfeed.it/index.php?page=post_details&id_post=11682> Piccolo centro ospedaliero che, a livello locale, raggruppa i dati relativi alla salute di ogni persona della valle. 1.9.8 ASL Verona, Ottobre 2023 ╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌ <https://www.larena.it/news/veneto/attacco-hacker-ospedale-verona-1.10348922> Blocco di ogni sistema, accessibilità dei servizi online e all'interno delle strutture, settimane di lavoro per recuperare operatività. 1.9.9 Ordine degli Psicologi della Lombardia, 10.10.2023 ╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌ <https://ransomfeed.it/index.php?page=post_details&id_post=11269> Da uscire di testa: 5 gigabyte di dati rubati e relativi ai professionisti iscritti all'Ordine. 1.9.10 Istituto Prosperius, 26.09.2023 ╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌ <https://ransomfeed.it/index.php?page=post_details&id_post=11084> Rubati e venduti online i dati del noto centro medico, di lavoratori e pazienti. 1.9.11 Clear MediCare, 26.06.2023 ╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌ <https://ransomfeed.it/index.php?page=post_details&id_post=8552> Data breach nel settore privato che, sebbene meno colpito, non è decisamente immune. 1.9.12 Azienda Sanitaria Locale Avezzano, Sulmona L'Aquila 1, 03.05.2023 ╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌ <https://ransomfeed.it/index.php?page=post_details&id_post=7658> Uno dei data breach più eclatanti e più discussi: 500 Gigabyte di dati di utenti e pazienti, praticamente tutta la sanità regionale compromessa. Tutti i dati sono stati pubblicati nonostante l'intervento di ogni possibile autorità pubblica. Anche in questo caso la ASL ha minimizzato, anzi, nascosto gli eventi, al punto da richiedere un intervento diretto del Garante per obbligare i dirigenti a informare le persone coinvolte del fatto. 1.9.13 Gruppo MultiMedica, 27.04.2023 ╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌ <https://ransomfeed.it/index.php?page=post_details&id_post=7559> Grande azienda che gestisce ambulatori e centri ospedalieri, centinaia di migliaia di utenti coinvolti e dati pubblicati online. Una tragedia. 1.9.14 Hospital Service, 14.02.2023 ╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌ <https://ransomfeed.it/index.php?page=post_details&id_post=6049> 50 gigabyte di dati rubati ad un grande centro della sanità romana. 1.9.15 Azienda Ospedaliera di Alessandria, 28.12.2022 ╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌ <https://ransomfeed.it/index.php?page=post_details&id_post=5625> 1 TERABYTE (1000 Gigabyte) di dati rubati all'Azienda Ospedaliera. 1.9.16 Ospedale Macedonio Melloni, 21.06.2022 ╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌ <https://ransomfeed.it/index.php?page=post_details&id_post=4058> Grande ospedale nel cuore di Milano, dati 1.9.17 Azienda Sanitaria di Messina, 21.04.2022 ╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌ <https://ransomfeed.it/index.php?page=post_details&id_post=3441> 1.9.18 ASL Cosenza, Febbraio 2022 ╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌ <https://www.asp.cosenza.it/?p=articoli&id=1943-a-tutti-i-dipendenti-asp-cose...> Disservizi, blocchi e dati rubati. Periodaccio per le ASL. 1.9.19 Farmacia Statuto, 10.04.2022 ╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌ <https://ransomfeed.it/index.php?page=post_details&id_post=3293> 1.9.20 Unità Locale Socio Sanitaria di Padova, 24.01.2022 ╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌ <https://ransomfeed.it/index.php?page=post_details&id_post=2490> 1.9.21 Azienda Sanitaria Locale Napoli 3, 14.01.2022 ╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌ <https://ransomfeed.it/index.php?page=post_details&id_post=2490> 1.9.22 Azienda Sanitaria Locale Veneto 6, 01.01.2022 ╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌ <https://ransomfeed.it/index.php?page=post_details&id_post=2490> E via perdendosi nella notte dei tempi. --8<---------------cut here---------------end--------------->8--- [...] -- 380° (Giovanni Biscuolo public alter ego) «Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.
380° <g380@biscuolo.net> writes: [...]
«Il Pensatoio: La sanità deve fare a meno dei dati personali.» <https://bernieri.blogspot.com/2024/05/la-sanita-deve-fare-meno-dei-dati.html>
e ora un paio di commenti di carattere... psico-sociologico [...]
Questi dati particolari, questi dati sensibili, ci rendono particolarmente vulnerabili in modi che spesso non sappiamo prevedere e che dipendono da chi li avrà a disposizione e dall'uso malizioso/deteriore/deprecabile che saprà escogitare.
è esattamente per questo che i dati sensibili, anche prima del GDPR, erano _oggetto_ di specifiche e stringenti norme che obbligano chiunque li tratti ad adottare adeguati mezzi per PROTEGGERLI è ovvio che _considerati i risultati_ tutta la baracca assomiglia sempre di più a un circo [...]
Quando i dati sensibili di Ingenuolo
chi non è Ingenuolo alzi la mano, ma faccia attenzione perché rischia figuracce
[...] Una malattia invalidante, in molti Paesi, è discriminante per il datore di lavoro.
in Italia i datori di lavoro sono obbligati a nominare un medico del lavoro quando ci sono attività lavorative rischiose per la salute dei lavoratori poi credo che il livello di discriminazione - sul lavoro o in generale - per motivi di salute sia inversamente proporzionale al livello di civiltà
[...] Essere portatori di una patologia particolare può minare autostima e produttività, finanche diventare motivo di bullismo o mobbing.
quindi chi è senza compassione: i criminali informatici o il resto della società?
Ingenuolo dovrà pagare per non far arrivare alle sue assicurazioni la documentazione che annullerà ogni copertura.
vorrei almeno uno, solo uno, ne basta uno, caso del genere avvenuto _nel_mondo_: esiste? Esiste un caso nel quale una assicurazione, anche in tribunale, è arrivata con un certificato medico rubato e lo ha usato per annullare il contratto?
Stipulare una polizza assicurativa senza dichiarare di soffrire di una certa malattia, costituisce anche un reato e pregiudica qualsiasi tipo di copertura. Presente, futura e, spesso, anche passata.
Sì e per ottenere il contratto di assicurazione occorre fornire il proprio consenso al trattamento dei dati, anche sanitari nel caso in cui la polizza assicuri per eventi legati allo stato di salute dell'assicurato: no consenso? No party! ... sbaglio?
Ingenuolo dovrà cambiare casa perché non gli è stato rinnovato l'affitto. Pare che il proprietario non gradisca affittare a persone con un particolare orientamento sessuale che, adesso, tutti conoscono.
Se l'affittuario dovesse riuscire a dimostrare il nesso causale (e non, per esempio, che il contratto scade e il proprietario vuole semplicemente vendere) si tratterebbe di discriminazione bella e buona e io mi aspetterei che in uno stato civile la cosa sia pesantemente sanzionata; non bastano 10000 gay-pride per dirsi civili
Purtroppo la banca non approverà mai il mutuo che è stato chiesto perché Ingenuolo non è un cliente come gli altri, è completamente trasparente a chi deve valutare il rischio connesso alla restituzione del denaro. [...]
Vale più o meno quello che vale per le assicurazioni ...e comunque Ingenuolo è già disoccupato perché il suo datore di lavoro ha scoperto che ha una grave malattia immunodepressiva e per quello lo ha licenziato, quindi non può neanche _iniziare_ a chiedere un mutuo
Ingenuolo si era anche candidato in un partito che professa posizioni radicali rispetto ad alcuni trattamenti sanitari. Ingenuolo dovrà rinunciare perché i criminali hanno venduto al partito avversario informazioni e documenti che testimoniano il suo ricorso a quelle stesse pratiche mediche che pubblicamente avversa.
già, perché i fottuti criminali trovano sempre qualche rispettabile /dossieratore/ a cui vendere informazioni scottanti per rimpolpare il dossier e fare in modo che tutti i politici siano più o meno _ricattabili_ quindi chi è senza compassione: i criminali informatici o i /dossieratori/ di politici? [...]
[...] Ah, naturalmente, mentre Ingenuolo si interfaccerà con i suoi macellai, si esporrà anche ad invisibili attacchi diretti e, senza accorgersene, il suo computer verrà compromesso,
sì perché Ingenuolo non ha mai pensato a quanto faccia letteralmente schifo la sicurezza del suo computer, dopotutto a lui basta saper usare quattro fogli Excel, due Word e navigare tra il serio e il faceto sul web ...ma gli stronzi sono i criminali che rubano i dati, non quelli che gli vendono i computer coi sistemi bacati (e lui che non ne vuole sapere nulla di sicurezza informatica) [...]
A questo punto Ingenuolo potrebbe cominciare a capire come funzionano gli ingranaggi di questa arancia meccanica digitale
[...]
Ingenuolo vorrà smettere di esistere perché capirà che, purtroppo, non c'è altro modo per liberarsi di questo invincibile e spietato nemico invisibile.
ecco, direi che con questa metafora kubrichiana Ingenuolo può anche decidere che è spacciato e /digitalmente/ spararsi un colpo in testa, per anticipare il nemico invisibile [...]
i nostri dati sensibili, affidati a soggetti incapaci di tutelarli come meritano e nel modo richiesto dalla legge.
e a questi INCAPACI cosa succede, in punta di diritto?!? [...]
molti hanno deciso di fare prevenzione con un test diagnostico, di sottoporsi a cure volontarie o non strettamente necessarie. Hanno quindi deciso liberamente di registrarsi: fornire nome, cognome, dare l'assenso per essere inseriti in un database, nel gestionale di una clinica, tra i file di un dermatologo, ecc.
Chiunque si trovi in questa situazione dovrebbe biasimare se stesso, tuttavia siamo inclini a non farlo. [...]
pensa che cretino 'sto Ingenuolo che pensava ci fosse qualcuno che avrebbe pensato a farlo rispettare il GDPR! ...e invece no: è colpa tua, Ingenuolo! Tu sei da biasimare perché hai dato il consenso; il /consenso/ è il tuo "peccato originale", quindi "vivrai con dolore"...
una fitta schiera di lavoratori, di assicurati che hanno denunciato un sinistro, di sportivi agonisti e di altre persone nella medesima situazione hanno dovuto fare visite e accertamenti, non per scelta, ma per obbligo di legge.
anche il rispetto del GDPR è un obbligo di legge
Molti lavoratori non hanno scelta e si devono sottoporre periodicamente a visite ed esami, spesso in centri medici o cliniche. Fa parte del lavoro ed è una misura di prevenzione obbligatoria.
idem come sopra: anche il GDPR [...]
La verità, purtroppo, è che dietro ad ogni data breach c'è solo la spietata legge dei grandi numeri.
Siamo tanti, tantissimi, siamo troppi da gestire con le scarse risorse che abbiamo a disposizione.
questo modus cogitandi puzza di neo-malthusianesimo lontano un chilometro, ma soprassediamo
I grandi numeri richiedono logiche di analisi, efficientamento e razionalizzazione che di umano conservano ben poco e che richiedono molti dati, anzi, TUTTI i dati.
no dati? no malthus-party!
La gestione della spesa sanitaria è governata dall'analisi dei dati.
mettendo per un attimo da parte il malthusianesimo dell'azione governativa siffatta: dati non anonimizzati? [...]
Oggi, in tutto questo, la protezione dei dati non è affatto contemplata.
quindi il GDPR è SOLO "legal washing": la legge l'avemo fatta, tutt'apposto!
Ma tutto ciò è anche una precisa scelta politica e, quindi, può cambiare.
tipo che chi di dovere (chi è?!?) potrebbe iniziare a applicare il GDPR? non ci credo :-D
La complessità dei sistemi, la quantità di dati sia a livello periferico che centralizzato, la loro condivisione tra soggetti variamente affidabili, la cialtronaggine che, per natura, si incontra lungo la propria strada, la scarsità di risorse investite nella protezione e il costante, sempiterno primato dell'approccio reattivo, a danno dell'approccio preventivo
la diagnosi è impeccabile, ci vorrebbe una prognosi... [...]
/“Ma sì, signora, qui c'è la sua scheda, vede? Dimessa il 1 gennaio 1975, peso 2,050 chilogrammi…“/
/“Signora, guardi che è quando sono nata.”/
E il signor Menoingenuolo, che oltretutto è esperto in materia, cosa ha potuto fare per "sanare" la malefatta?
Ecco, non sarà un po' troppo?
È veramente necessario che dati come questi siano nel server, immediatamente disponibili, accessibili e in linea dopo 40 anni? Che fine ha fatto il principio della minimizzazione dei dati previsto dall'art 5 del GDPR?
no no: che fine ha fatto proprio TUTTO il GDPR? [...]
Dobbiamo smettere di pensare che le macchine ci possano tutelare meglio di quanto possiamo fare noi.
questa è bella, me la devo incorniciare :-)
I nostri dati devono essere in casa nostra, in una cartellina.
Mi raccomando: una _cartellina_ in carta e ossa! ...altrimenti poi Windows Recall la fotografa e la salva nel database che i crininali riescono a rubare a Ingenuolo come le caramelle ai bambini
Possono essere anche in ospedale, ma sempre in una cartellina o in un sistema di archiviazione segregato e distinto da quelli in produzione.
Bingo! ...magari in un database di archiviazione che preveda la crittografia asimmetrica per determinati dati sensibili [2] e archivi di documenti altrettanto crittografati "on rest" Possible che certi accorgimenti di progettazione NON siano applicati nei sistemi che trattano dati sensibili?!?!?!? Possibile che la qualità del lavoro - in questo caso IT - sia arrivata a livelli così infimi? Aggià: dobbiamo massimizzare i risultati col minimo delle risorse! (soprattutto neuronali)
Minimizzare i rischi significa fare in modo che, se c'è un furto di dati, ne vengano rubati il meno possibile.
Sì certo: minimizzare i dati al massimo ...ma anche: quei pochi che dovessero essere rubati sono inservibili perché crittografati [...]
Pensare che un software, un gestionale o un server possa proteggere i nostri dati in modo adeguato significa non rendersi conto che quel programma e quella macchina rispondono a logiche differenti, che sono stati predisposti da persone con obiettivi differenti [...]
no no: non ci siamo proprio la protezione dei dati è l'obiettivo primario di chi progetta, implementa e gestisce sistemi di immagazzinamento dati (database) e "server" in generale... altrimenti che ci stanno a fare? ...oppure "basta che vadi" e fatti li **221 tua?!? non parlo di /teoria/, ma di _pratica_: da decenni i progettisti e i sistemisti seri - per fare un esempio - non memorizzano MAI in chiaro le password degli utenti nei database, ormai è banale: perché non dovrebbe essere così anche con altri "dati sensibili"? perché non è un obbligo di legge memorizzare i dati sensibili in modo crittografato? [...]
Perché nella nostra area utente del fighissimo portale online, per scaricare i referti in autonomia, possiamo vedere più informazioni su di noi di quelle che conosce nostra madre?
perché invece di avere un portale online, cioè il nostro fascicolo sanitario regionale (con i dati e i documenti "in chiaro"???), non possiamo avere un programma installato sul nostro computer al quale vengono inviati messaggi _crittografati_ contenenti referti, analisi et al? chessò una roba tipo GNUnet [3] + MyGNUHealth [4]? possibile che siamo ancora all'età della pietra? [...] saluti da Ingenuolo. [1] https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:02016R0679-20... [2] https://www.postgresql.org/docs/current/encryption-options.html [3] https://www.gnunet.org/en/ [4] https://docs.gnuhealth.org//mygnuhealth/ -- 380° (Giovanni Biscuolo public alter ego) «Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.
participants (2)
-
380° -
benjuade