Secondo il Garante italiano serve più trasparenza nell’uso dei dati degli utenti che scaricano app mediche in Italia.
I risultati dell'[indagine][1], avviata [a maggio dal Garante Privacy][1] per verificare il rispetto della normativa italiana sulla protezione dati da parte di applicazioni che utilizzano dati sanitari, mostrano come anche nel nostro Paese gli utenti non siano adeguatamente tutelati e troppe volte non siano messi in grado di esprimere un consenso libero e informato.
> Una su due delle applicazioni mediche italiane e straniere analizzate dagli “sweepers” dell’Authority italiana, scelte a campione tra le più scaricate disponibili sulle varie piattaforme (Android, iOs, Windows, etc.), non fornisce agli utenti un’informativa sull’uso dei dati preventiva all’installazione, oppure dà informazioni generiche, o chiede dati eccessivi rispetto alle funzionalità offerte. In molti casi l’informativa privacy non viene adattata alle ridotte dimensioni del monitor, risultando così poco leggibile, o viene collocata in sezioni riguardanti, ad esempio, le caratteristiche tecniche dello smartphone o del tablet.
E pensare che di linee guida ce ne sono un sacco, addirittura un completo (e fatto veramente bene IMHO) “[Libro verde delle applicazioni sanitarie Online][3]”.
Aggiungete a questo il fatto che Apple ha dovuto [cauterizzare HealtKit][2], il suo data-storage condiviso di dati sanitari, di fatto rimuovendolo dallo store per un “gravissimo problema di sicurezza” e credo riuscirete a comprendere come il campo di battaglia dei prossimi anni, dopo la battaglia (persa) contro la profilazione dell’utente online e quella (altrettanto persa) contro il riconoscimento facciale sarà quella (ancora persa) sulla diffusione di dati genetici e di salute.
Estote parati.
[1]: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3098433
[2]: http://www.ilmattino.it/tecnologia/hitech/apple_rimandato_l_39_arrivo_dell_39_healtkit_trovato_bug_sulla_piattaforma_salute/notizie/911393.shtml
[3]: http://ec.europa.eu/information_society/newsroom/cf/dae/document.cfm?doc_id=5147
spero che il Graante applichi lo stesso stringente controllo anche alle assicurazioni sanitarie.
Piccolo aneddoto:
Ho effettuato qualche giorno fa, tramite la mia assicurazione sanitaria, la prenotazione per un check up routinario.
Tutto fatto online, con autenticazione, https, comunicazione del risultato via sms (quindi doppio fattore, sort of) etc etc.
Questa mattina, per sopravvenuto impegno, ho spostato la prenotazione, via call center.
Unica richiesta : NOME E COGNOME, no numero della prenotazione che dovevo modificare, no altri dati.
E ovviamente l’operatrice mi ha comunicato tutti gli accertamenti che sarei andato a fare, dove e in che giorno.
Qualsiasi persona, con quasi zero impegno di social engineering, si sarebbe potuta far un bel giro nello storico dei miei passati checkup.