Buongiorno, benjuade via nexa <nexa@server-nexa.polito.it> writes:
> Segnalo questi due articoli di Christian Bernieri riguardo al tema del > FSE 2.0 e alla possibilità di opporsi all'alimentazione automatica dei > dati pre-2020. > > https://bernieri.blogspot.com/2024/05/la-sanita-deve-fare-meno-dei-dati.html Ai fini archivistici e di eventuale discussione, siccome merita, aggiungo ampi stralci dell'articolo (licenza Creative Commons CC BY, grazie Bernieri!) «Il Pensatoio: La sanità deve fare a meno dei dati personali.» <https://bernieri.blogspot.com/2024/05/la-sanita-deve-fare-meno-dei-dati.html> --8<---------------cut here---------------start------------->8--- 1.1 Premessa ──────────── [...] I dati personali non sono tutti uguali e questo vale anche per i data breach. Certi data breach sono senza rimedio, in particolare lo sono quelli che riguardano i dati relativi alla salute, alla vita sessuale o all'orientamento sessuale. Questi dati particolari, questi dati sensibili, ci rendono particolarmente vulnerabili in modi che spesso non sappiamo prevedere e che dipendono da chi li avrà a disposizione e dall'uso malizioso/deteriore/deprecabile che saprà escogitare. Siamo tutti bravi ragazzi e mediamente poco abili nell'uso degli strumenti informatici; per questo facciamo fatica a immaginare che ci siano persone malvagie e capaci di fare miracoli con un computer, ma la realtà è questa. 1.2 Un caso immaginario, ma non troppo ────────────────────────────────────── [...] Quando i dati sensibili di Ingenuolo saranno nelle mani di un criminale informatico, inizierà quello che, in gergo, si chiama “Pig Butchering”: la macellazione del porco. Rende l'idea? Ingenuolo sarà devastato in tutti i modi possibili, con totale noncuranza di ogni conseguenza. L'unico obiettivo sarà spolparlo fino all'ultimo brandello di valore. [...] Una malattia invalidante, in molti Paesi, è discriminante per il datore di lavoro. [...] Essere portatori di una patologia particolare può minare autostima e produttività, finanche diventare motivo di bullismo o mobbing. Ingenuolo dovrà pagare per non far arrivare alle sue assicurazioni la documentazione che annullerà ogni copertura. Stipulare una polizza assicurativa senza dichiarare di soffrire di una certa malattia, costituisce anche un reato e pregiudica qualsiasi tipo di copertura. Presente, futura e, spesso, anche passata. Ingenuolo dovrà cambiare casa perché non gli è stato rinnovato l'affitto. Pare che il proprietario non gradisca affittare a persone con un particolare orientamento sessuale che, adesso, tutti conoscono. Purtroppo la banca non approverà mai il mutuo che è stato chiesto perché Ingenuolo non è un cliente come gli altri, è completamente trasparente a chi deve valutare il rischio connesso alla restituzione del denaro. [...] Ingenuolo si era anche candidato in un partito che professa posizioni radicali rispetto ad alcuni trattamenti sanitari. Ingenuolo dovrà rinunciare perché i criminali hanno venduto al partito avversario informazioni e documenti che testimoniano il suo ricorso a quelle stesse pratiche mediche che pubblicamente avversa. Ingenuolo potrà essere ricattato in modi che solo una mente perversa può immaginare e che lo sorprenderanno. Non si capaciterà di quanto possa essere cattivo un essere umano. [...] Ah, naturalmente, mentre Ingenuolo si interfaccerà con i suoi macellai, si esporrà anche ad invisibili attacchi diretti e, senza accorgersene, il suo computer verrà compromesso, le sue password saranno note ai criminali, i suoi account saranno a lui preclusi e nelle mani dei cattivi, il contenuto del suo hard disk verrà copiato e poi bloccato. A questo punto Ingenuolo potrebbe cominciare a capire come funzionano gli ingranaggi di questa arancia meccanica digitale e immaginare che domani, appena i criminali avranno setacciato bene i dati rubati, troveranno le foto porno che ha scaricato da internet, la sua cronologia su quei siti molto espliciti e molto particolari, le chat private in cui ha chiamato la moglie “troia”, la figlia “stronza” e il capo “coglione” … e intuirà che cosa lo aspetta. Ingenuolo vorrà smettere di esistere perché capirà che, purtroppo, non c'è altro modo per liberarsi di questo invincibile e spietato nemico invisibile. [...] 1.4 “Don't look up”. ──────────────────── È profetico e parla di noi, clienti e utenti di aziende travolte dalla propria cialtronaggine. Noi, inermi vittime di data breach che hanno compromesso ciò che di più caro abbiamo: i nostri dati sensibili, affidati a soggetti incapaci di tutelarli come meritano e nel modo richiesto dalla legge. I data breach sono tragedie collettive e devono essere valutati con i freddi parametri previsti dalla legge. Questi stessi eventi, a livello individuale, vengono percepiti da ciascuno in modo molto diverso, a seconda delle ragioni che hanno portato i nostri dati a confluire nei database compromessi. 1.5 “Mannaggia a me”. ───────────────────── molti hanno deciso di fare prevenzione con un test diagnostico, di sottoporsi a cure volontarie o non strettamente necessarie. Hanno quindi deciso liberamente di registrarsi: fornire nome, cognome, dare l'assenso per essere inseriti in un database, nel gestionale di una clinica, tra i file di un dermatologo, ecc. Chiunque si trovi in questa situazione dovrebbe biasimare se stesso, tuttavia siamo inclini a non farlo. [...] una fitta schiera di lavoratori, di assicurati che hanno denunciato un sinistro, di sportivi agonisti e di altre persone nella medesima situazione hanno dovuto fare visite e accertamenti, non per scelta, ma per obbligo di legge. Molti lavoratori non hanno scelta e si devono sottoporre periodicamente a visite ed esami, spesso in centri medici o cliniche. Fa parte del lavoro ed è una misura di prevenzione obbligatoria. Ogni rimborso assicurativo comporta la verifica di cartelle cliniche, referti medici, esami, a volte anche visite di controllo. [...] a volte non c'è scelta e ci si deve curare. [...] I dati sanitari ci sono e crescono di anno in anno, ciascuno li alimenta con le piccole e grandi cose della vita e ogni informazione viene registrata. [...] 1.9 Tsunami ─────────── A prescindere dalla percezione individuale, mettendo per un attimo da parte considerazioni del tenore di “io non l'ho mai visto” e “a me non è mai capitato”, l'entità del fenomeno deve fare spavento. Alla mia famigerata memoria viene in soccorso Ransomfeed che tutto registra e documenta. Questi sono i data breach occorsi negli ultimi mesi [ OMISSIS, che merita un messaggio a parte ] 1.10 La dura verità ─────────────────── La verità, purtroppo, è che dietro ad ogni data breach c'è solo la spietata legge dei grandi numeri. Siamo tanti, tantissimi, siamo troppi da gestire con le scarse risorse che abbiamo a disposizione. I grandi numeri richiedono logiche di analisi, efficientamento e razionalizzazione che di umano conservano ben poco e che richiedono molti dati, anzi, TUTTI i dati. La gestione della spesa sanitaria è governata dall'analisi dei dati. I protocolli di cura sono fortemente condizionati dai dati. L'organizzazione stessa delle risorse è basata sui dati. Gli unici investimenti che vengono realizzati riguardano proprio gli strumenti di acquisizione, condivisione e analisi dei dati sanitari, prima ancora che le risorse necessarie per l'erogazione delle cure. Questo perché la legge dei grandi numeri implica la necessità di ottenere il massimo risultato con il minimo sforzo. Oggi, in tutto questo, la protezione dei dati non è affatto contemplata. Ma tutto ciò è anche una precisa scelta politica e, quindi, può cambiare. La complessità dei sistemi, la quantità di dati sia a livello periferico che centralizzato, la loro condivisione tra soggetti variamente affidabili, la cialtronaggine che, per natura, si incontra lungo la propria strada, la scarsità di risorse investite nella protezione e il costante, sempiterno primato dell'approccio reattivo, a danno dell'approccio preventivo, completano il quadro della catastrofe introducendo ogni possibile vulnerabilità nota all'uomo.. e infinite altre, non ancora rivelate. 1.11 Criminali dal cuore d'oro ────────────────────────────── Come se questo non bastasse, nemmeno le vulnerabilità sono tutte uguali. Alcune sono peggiori di altre, alcune meno note di altre, alcune più recenti di altre e ve ne sono alcune, talmente costose da gestire, che ci si rifiuta persino di volerle prendere in considerazione. Purtroppo, la solidità di un sistema è pari al suo anello più debole e, quindi, sarà sempre la peggiore tra le vulnerabilità, la più trascurata a mettere in crisi tutti i dati personali contenuti nei sistemi della sanità pubblica e privata. Di solito, questa vulnerabilità coincide con il “fattore umano”. [...] 1.12 La grande abbuffata ──────────────────────── Per non soccombere è necessario un cambio radicale di prospettiva: è necessario che ogni server ed ogni computer aggredito sia vuoto o che esponga al rischio solo un contenuto minimale. I dati, semplicemente, non ci devono essere. Oggi facciamo il contrario e abbiamo una bulimia di dati, così abbondanti che il solo quantificarli richiederebbe calcoli quantici. 1.13 Un esempio per tutti ───────────────────────── Poco tempo fa, mia moglie è stata ricoverata in ospedale per il parto di nostra figlia. All'accettazione la zelante signorina ci ha accolto con le domande di rito. [...] /“Ma sì, signora, qui c'è la sua scheda, vede? Dimessa il 1 gennaio 1975, peso 2,050 chilogrammi…“/ /“Signora, guardi che è quando sono nata.”/ Ecco, non sarà un po' troppo? È veramente necessario che dati come questi siano nel server, immediatamente disponibili, accessibili e in linea dopo 40 anni? Che fine ha fatto il principio della minimizzazione dei dati previsto dall'art 5 del GDPR? [...] Dobbiamo smettere di pensare che le macchine ci possano tutelare meglio di quanto possiamo fare noi. I nostri dati devono essere in casa nostra, in una cartellina. Possono essere anche in ospedale, ma sempre in una cartellina o in un sistema di archiviazione segregato e distinto da quelli in produzione. Minimizzare i rischi significa fare in modo che, se c'è un furto di dati, ne vengano rubati il meno possibile. Esporre al rischio TUTTI i dati è una follia perché qualsiasi danno scala ad un livello collettivo. Pensare che un software, un gestionale o un server possa proteggere i nostri dati in modo adeguato significa non rendersi conto che quel programma e quella macchina rispondono a logiche differenti, che sono stati predisposti da persone con obiettivi differenti [...] [...] Perchè chi ci stampa i referti deve poter vedere anche i referti precedenti? Perché nella nostra area utente del fighissimo portale online, per scaricare i referti in autonomia, possiamo vedere più informazioni su di noi di quelle che conosce nostra madre? Perchè all'accettazione vedono la cartella clinica di quando è nata mia moglie? [...] Iniziamo oggi. Iniziamo negando il consenso. Sempre e comunque. [...] Quando le persone cominceranno a manifestare consapevolezza su questi temi, a comportarsi in modo più attento, quando le autorità di controllo faranno il loro lavoro (creando cultura della protezione dei dati personali, sanzionando chi non rispetta i principi del GDPR e orientando l'attività legislativa), quando “la privacy” diventerà una figata, un valore da tutelare, allora le aziende inizieranno a vendere privacy e garantiranno maggiori standard di protezione dei dati personali. Prosit --8<---------------cut here---------------end--------------->8--- Saluti, 380° -- 380° (Giovanni Biscuolo public alter ego) «Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.
signature.asc
Description: PGP signature
