380° <g...@biscuolo.net> writes: [...]
> «Il Pensatoio: La sanità deve fare a meno dei dati personali.» > <https://bernieri.blogspot.com/2024/05/la-sanita-deve-fare-meno-dei-dati.html> e ora un paio di commenti di carattere... psico-sociologico [...] > Questi dati particolari, questi dati sensibili, ci rendono > particolarmente vulnerabili in modi che spesso non sappiamo prevedere e > che dipendono da chi li avrà a disposizione e dall'uso > malizioso/deteriore/deprecabile che saprà escogitare. è esattamente per questo che i dati sensibili, anche prima del GDPR, erano _oggetto_ di specifiche e stringenti norme che obbligano chiunque li tratti ad adottare adeguati mezzi per PROTEGGERLI è ovvio che _considerati i risultati_ tutta la baracca assomiglia sempre di più a un circo [...] > Quando i dati sensibili di Ingenuolo chi non è Ingenuolo alzi la mano, ma faccia attenzione perché rischia figuracce > [...] Una malattia invalidante, in molti Paesi, è discriminante per il > datore di lavoro. in Italia i datori di lavoro sono obbligati a nominare un medico del lavoro quando ci sono attività lavorative rischiose per la salute dei lavoratori poi credo che il livello di discriminazione - sul lavoro o in generale - per motivi di salute sia inversamente proporzionale al livello di civiltà > [...] Essere portatori di una patologia particolare può minare > autostima e produttività, finanche diventare motivo di bullismo o > mobbing. quindi chi è senza compassione: i criminali informatici o il resto della società? > Ingenuolo dovrà pagare per non far arrivare alle sue assicurazioni la > documentazione che annullerà ogni copertura. vorrei almeno uno, solo uno, ne basta uno, caso del genere avvenuto _nel_mondo_: esiste? Esiste un caso nel quale una assicurazione, anche in tribunale, è arrivata con un certificato medico rubato e lo ha usato per annullare il contratto? > Stipulare una polizza assicurativa senza dichiarare di soffrire di una > certa malattia, costituisce anche un reato e pregiudica qualsiasi tipo > di copertura. Presente, futura e, spesso, anche passata. Sì e per ottenere il contratto di assicurazione occorre fornire il proprio consenso al trattamento dei dati, anche sanitari nel caso in cui la polizza assicuri per eventi legati allo stato di salute dell'assicurato: no consenso? No party! ... sbaglio? > Ingenuolo dovrà cambiare casa perché non gli è stato rinnovato > l'affitto. Pare che il proprietario non gradisca affittare a persone > con un particolare orientamento sessuale che, adesso, tutti > conoscono. Se l'affittuario dovesse riuscire a dimostrare il nesso causale (e non, per esempio, che il contratto scade e il proprietario vuole semplicemente vendere) si tratterebbe di discriminazione bella e buona e io mi aspetterei che in uno stato civile la cosa sia pesantemente sanzionata; non bastano 10000 gay-pride per dirsi civili > Purtroppo la banca non approverà mai il mutuo che è stato chiesto > perché Ingenuolo non è un cliente come gli altri, è completamente > trasparente a chi deve valutare il rischio connesso alla restituzione > del denaro. [...] Vale più o meno quello che vale per le assicurazioni ...e comunque Ingenuolo è già disoccupato perché il suo datore di lavoro ha scoperto che ha una grave malattia immunodepressiva e per quello lo ha licenziato, quindi non può neanche _iniziare_ a chiedere un mutuo > Ingenuolo si era anche candidato in un partito che professa posizioni > radicali rispetto ad alcuni trattamenti sanitari. Ingenuolo dovrà > rinunciare perché i criminali hanno venduto al partito avversario > informazioni e documenti che testimoniano il suo ricorso a quelle > stesse pratiche mediche che pubblicamente avversa. già, perché i fottuti criminali trovano sempre qualche rispettabile /dossieratore/ a cui vendere informazioni scottanti per rimpolpare il dossier e fare in modo che tutti i politici siano più o meno _ricattabili_ quindi chi è senza compassione: i criminali informatici o i /dossieratori/ di politici? [...] > [...] Ah, naturalmente, mentre Ingenuolo si interfaccerà con i suoi > macellai, si esporrà anche ad invisibili attacchi diretti e, senza > accorgersene, il suo computer verrà compromesso, sì perché Ingenuolo non ha mai pensato a quanto faccia letteralmente schifo la sicurezza del suo computer, dopotutto a lui basta saper usare quattro fogli Excel, due Word e navigare tra il serio e il faceto sul web ...ma gli stronzi sono i criminali che rubano i dati, non quelli che gli vendono i computer coi sistemi bacati (e lui che non ne vuole sapere nulla di sicurezza informatica) [...] > A questo punto Ingenuolo potrebbe cominciare a capire come funzionano > gli ingranaggi di questa arancia meccanica digitale [...] > Ingenuolo vorrà smettere di esistere perché capirà che, purtroppo, non > c'è altro modo per liberarsi di questo invincibile e spietato nemico > invisibile. ecco, direi che con questa metafora kubrichiana Ingenuolo può anche decidere che è spacciato e /digitalmente/ spararsi un colpo in testa, per anticipare il nemico invisibile [...] > i nostri dati sensibili, affidati a soggetti incapaci di tutelarli > come meritano e nel modo richiesto dalla legge. e a questi INCAPACI cosa succede, in punta di diritto?!? [...] > molti hanno deciso di fare prevenzione con un test diagnostico, di > sottoporsi a cure volontarie o non strettamente necessarie. Hanno > quindi deciso liberamente di registrarsi: fornire nome, cognome, dare > l'assenso per essere inseriti in un database, nel gestionale di una > clinica, tra i file di un dermatologo, ecc. > > Chiunque si trovi in questa situazione dovrebbe biasimare se stesso, > tuttavia siamo inclini a non farlo. [...] pensa che cretino 'sto Ingenuolo che pensava ci fosse qualcuno che avrebbe pensato a farlo rispettare il GDPR! ...e invece no: è colpa tua, Ingenuolo! Tu sei da biasimare perché hai dato il consenso; il /consenso/ è il tuo "peccato originale", quindi "vivrai con dolore"... > una fitta schiera di lavoratori, di assicurati che hanno denunciato un > sinistro, di sportivi agonisti e di altre persone nella medesima > situazione hanno dovuto fare visite e accertamenti, non per scelta, ma > per obbligo di legge. anche il rispetto del GDPR è un obbligo di legge > Molti lavoratori non hanno scelta e si devono sottoporre periodicamente > a visite ed esami, spesso in centri medici o cliniche. Fa parte del > lavoro ed è una misura di prevenzione obbligatoria. idem come sopra: anche il GDPR [...] > La verità, purtroppo, è che dietro ad ogni data breach c'è solo la > spietata legge dei grandi numeri. > > Siamo tanti, tantissimi, siamo troppi da gestire con le scarse risorse > che abbiamo a disposizione. questo modus cogitandi puzza di neo-malthusianesimo lontano un chilometro, ma soprassediamo > I grandi numeri richiedono logiche di analisi, efficientamento e > razionalizzazione che di umano conservano ben poco e che richiedono > molti dati, anzi, TUTTI i dati. no dati? no malthus-party! > La gestione della spesa sanitaria è governata dall'analisi dei dati. mettendo per un attimo da parte il malthusianesimo dell'azione governativa siffatta: dati non anonimizzati? [...] > Oggi, in tutto questo, la protezione dei dati non è affatto > contemplata. quindi il GDPR è SOLO "legal washing": la legge l'avemo fatta, tutt'apposto! > Ma tutto ciò è anche una precisa scelta politica e, quindi, può > cambiare. tipo che chi di dovere (chi è?!?) potrebbe iniziare a applicare il GDPR? non ci credo :-D > La complessità dei sistemi, la quantità di dati sia a livello > periferico che centralizzato, la loro condivisione tra soggetti > variamente affidabili, la cialtronaggine che, per natura, si incontra > lungo la propria strada, la scarsità di risorse investite nella > protezione e il costante, sempiterno primato dell'approccio reattivo, > a danno dell'approccio preventivo la diagnosi è impeccabile, ci vorrebbe una prognosi... [...] > /“Ma sì, signora, qui c'è la sua scheda, vede? Dimessa il 1 gennaio > 1975, peso 2,050 chilogrammi…“/ > > /“Signora, guardi che è quando sono nata.”/ E il signor Menoingenuolo, che oltretutto è esperto in materia, cosa ha potuto fare per "sanare" la malefatta? > Ecco, non sarà un po' troppo? > > È veramente necessario che dati come questi siano nel server, > immediatamente disponibili, accessibili e in linea dopo 40 anni? Che > fine ha fatto il principio della minimizzazione dei dati previsto > dall'art 5 del GDPR? no no: che fine ha fatto proprio TUTTO il GDPR? [...] > Dobbiamo smettere di pensare che le macchine ci possano tutelare > meglio di quanto possiamo fare noi. questa è bella, me la devo incorniciare :-) > I nostri dati devono essere in casa nostra, in una cartellina. Mi raccomando: una _cartellina_ in carta e ossa! ...altrimenti poi Windows Recall la fotografa e la salva nel database che i crininali riescono a rubare a Ingenuolo come le caramelle ai bambini > Possono essere anche in ospedale, ma sempre in una cartellina o in un > sistema di archiviazione segregato e distinto da quelli in produzione. Bingo! ...magari in un database di archiviazione che preveda la crittografia asimmetrica per determinati dati sensibili [2] e archivi di documenti altrettanto crittografati "on rest" Possible che certi accorgimenti di progettazione NON siano applicati nei sistemi che trattano dati sensibili?!?!?!? Possibile che la qualità del lavoro - in questo caso IT - sia arrivata a livelli così infimi? Aggià: dobbiamo massimizzare i risultati col minimo delle risorse! (soprattutto neuronali) > Minimizzare i rischi significa fare in modo che, se c'è un furto di > dati, ne vengano rubati il meno possibile. Sì certo: minimizzare i dati al massimo ...ma anche: quei pochi che dovessero essere rubati sono inservibili perché crittografati [...] > Pensare che un software, un gestionale o un server possa proteggere i > nostri dati in modo adeguato significa non rendersi conto che quel > programma e quella macchina rispondono a logiche differenti, che sono > stati predisposti da persone con obiettivi differenti [...] no no: non ci siamo proprio la protezione dei dati è l'obiettivo primario di chi progetta, implementa e gestisce sistemi di immagazzinamento dati (database) e "server" in generale... altrimenti che ci stanno a fare? ...oppure "basta che vadi" e fatti li **221 tua?!? non parlo di /teoria/, ma di _pratica_: da decenni i progettisti e i sistemisti seri - per fare un esempio - non memorizzano MAI in chiaro le password degli utenti nei database, ormai è banale: perché non dovrebbe essere così anche con altri "dati sensibili"? perché non è un obbligo di legge memorizzare i dati sensibili in modo crittografato? [...] > Perché nella nostra area utente del fighissimo portale online, per > scaricare i referti in autonomia, possiamo vedere più informazioni su > di noi di quelle che conosce nostra madre? perché invece di avere un portale online, cioè il nostro fascicolo sanitario regionale (con i dati e i documenti "in chiaro"???), non possiamo avere un programma installato sul nostro computer al quale vengono inviati messaggi _crittografati_ contenenti referti, analisi et al? chessò una roba tipo GNUnet [3] + MyGNUHealth [4]? possibile che siamo ancora all'età della pietra? [...] saluti da Ingenuolo. [1] https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:02016R0679-20160504&qid=1718722335508#tocId13 [2] https://www.postgresql.org/docs/current/encryption-options.html [3] https://www.gnunet.org/en/ [4] https://docs.gnuhealth.org//mygnuhealth/ -- 380° (Giovanni Biscuolo public alter ego) «Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.
signature.asc
Description: PGP signature
