#59 Evoluzione della privacy dei dati

Subscribe to get the latest

on 2021-07-29 00:00:00 +0000

with Darren W Pulsipher, Jeremy Harris,

Darren Pulsipher, Chief Solution Architect di Intel, discute ciò che la privacy dei dati significa veramente e la sua direzione futura con Jeremy Harris, Assistant General Counsel – Privacy/Information Security presso Sutter Health.


Keywords

#dataprotection #dataprivacy #incidentresponse #multicloud #zerotrust #cybersecurity


Dopo essersi laureato in giurisprudenza, Jeremy è entrato direttamente nel JAG Corps dell’US Air Force e ha prestato servizio come ufficiale in servizio attivo per nove anni. Una delle sue responsabilità era quella di essere responsabile dei record per due uffici diversi. Ha poi cambiato il suo focus verso il settore sanitario con l’ultima assegnazione militare come consulente per gli ospedali del Nord-est. Dopo aver lasciato il servizio attivo (è ancora nella riserva), è stato assunto come consulente in un ospedale ed attualmente lavora presso Sutter Health.

Anche se il quadro normativo è lo stesso per la privacy dei dati, ci sono alcune differenze tra governo e settore privato: l’approccio, gli obiettivi e le normative che si applicano. Nel governo, la privacy dei dati significa mantenere i dati protetti attraverso il Privacy Act; mantenere segrete le informazioni riservate. Anche se ci sono eccezioni, come il Freedom of Information Act, i sistemi sono progettati per proteggere le informazioni, non per divulgarle, per impostazione predefinita.

Nel settore sanitario, dall’entrata in vigore della legge HIPAA nel 1996, seguita poco dopo dal HITECH e ora con l’ONC, i dati vengono spinti nelle case, nei dispositivi dei pazienti, e i pazienti possono consentire l’accesso a terze parti. “Accesso appropriato” è probabilmente una migliore descrizione rispetto a “privacy dei dati”.

Il movimento per i diritti sulla privacy prevede un maggiore accesso e un maggiore controllo da parte degli individui. Come paziente, non solo hai il diritto alle tue informazioni, ma puoi anche indicare al tuo fornitore di assistenza sanitaria di fornirle a un terzo: un avvocato, un amico, un altro professionista medico, ecc. Un paziente può inoltre specificare un supporto di rilascio cartaceo o elettronico, dunque ai pazienti sono attribuiti molti diritti.

Questi diritti per gli individui di controllare i propri dati non si limitano al settore della sanità. Lo vediamo nel movimento attuale con il GDPR e nelle recenti leggi approvate in Brasile, Canada e Cina, e in alcuni stati degli Stati Uniti come la California, Washington e Virginia.

Poiché il futuro della privacy dei dati si concentra sempre di più sui diritti individuali di accesso, ciò cambierà il modo in cui le organizzazioni possono tracciare le informazioni. Grandi aziende come Google e Facebook offrono ora opzioni mediante le quali le persone possono eliminare i propri dati o impedire alle aziende di venderli in varie forme. Dispositivi di tracciamento come i cookie tradizionali non saranno più rilevanti, quindi dovrà esserci qualcos’altro che aiuti gli inserzionisti mirati.

Molti dati, naturalmente, come ad esempio i dati sull’occupazione, sono già regolamentati. Il controllo individuale dei dati non è un diritto assoluto; le aziende hanno bisogno dei dati per funzionare, quindi saranno in grado di conservare alcuni di essi, ma sarà più regolamentato. Negli Stati Uniti, avremo più complessità e più problemi prima di avere una standardizzazione. Abbiamo 50 stati, ognuno con le proprie regolamentazioni.

Ci sono tante leggi quanto definizioni di informazioni personali, ciò può causare dei conflitti. Sutter, ad esempio, ha molti ospedali nel Nord della California e alcune strutture ausiliarie in Hawaii, Oregon e Utah. Sutter deve costantemente attenersi alle normative di tali stati, ma in caso di violazione, entra in gioco lo stato in cui risiedono gli individui interessati. A volte, le leggi sono scritte in modo tale che Sutter debba seguire la normativa del luogo di residenza dei pazienti anziché quella dell’azienda, rendendo così la situazione complessa.

A volte ha senso esternalizzare questi tipi di problemi, e sta emergendo un’intera industria legale che aiuta le aziende a navigare le normative sulla privacy e la sicurezza delle informazioni.

Dal lato informatico, la sicurezza dei dati significa limitare chi ha accesso alle cose. Con la privacy dei dati, si aprono porte per l’accesso. Naturalmente, c’è un processo di convalida per chi ha accesso, ma c’è un equilibrio tra sicurezza e privacy, che può creare molto lavoro sia per il lato legale che per quello operativo.

Le organizzazioni che sviluppano qualsiasi tipo di applicazione che tratta i dati delle persone devono capire che le leggi sulla privacy sono diverse in ogni paese e in ogni stato e le conseguenze derivanti dall’utilizzo e dalla conservazione di tali dati.

Jeremy, insieme alle squadre privacy e sicurezza sono impegnati con le squadre tecniche, talvolta fin dalla fase di progettazione, per assicurarsi che tutto rispetti le regolamentazioni. Ad esempio, parlerà con la squadra che costruisce i portali pazienti per vedere se le cose che vogliono fare rispettano le regolamentazioni. Inoltre, aiuta a rispondere alle domande su quale tipo di database sarebbe migliore o se c’è un fornitore di cloud che può essere configurato in conformità. Jeremy trova che più si istruisce e si forma sugli aspetti tecnici, più può essere utile nel processo.

Podcast Transcript