La normativa in materia di protezioni di dati personali (D.Lgs. 30 giugno 2003 n. 196)(6) prevede (art. 31) un obbligo generale di sicurezza ai sensi del quale i dati personali oggetto di trattamento debbano essere custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

E’ altresì previsto l’obbligo di adottare delle “misure minime di sicurezza” (artt. 33 e ss.). In particolare, (ai sensi dell’art. 34) il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate le seguenti misure minime:

a) autenticazione informatica;

b) adozione di procedure di gestione delle credenziali di autenticazione;

c) utilizzazione di un sistema di autorizzazione;

d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;

e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;

f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;

h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

Con tali premesse, in NetMedica Italia i dati, sia in corso di flusso che in fase di archiviazione nel DB, sono sottoposti a protezione con un sistema di crittografia “forte” che ne garantisce l’assoluta sicurezza; l’assunto è che l’unico proprietario in grado di leggere i dati in chiaro, è il medico autorizzato che può accedere ai dati di propria competenza attraverso un sistema di autenticazione SSO (SingolSign On) di seguito descritto. L’algoritmo di crittografia è detenuto da un ente terzo, l’Università Politecnica delle Marche. Fin dall’estrazione dal DB del PC del medico i dati sono sottoposti ad un processo di cifratura che li renderà inintelligibili a NetMedica e ad altri. In particolare, sono implementate tecniche di crittografia asimmetrica all’origine, le cui chiavi di decifratura sono nella esclusiva disponibilità di ciascun medico. Dunque, ciascun medico può accedere e decifrare solamente i propri dati ed i dati sono resi inaccessibili e inintelligibili a NetMedica Italia e ad altri.