Protezione dell’accesso ai dati dati relativi allo stato di salute dell’utente
HealthKit fornisce un punto di raccolta centrale per i dati relativi a stato di salute e attività fisica su iPhone e Apple Watch. Funziona anche direttamente con i dispositivi per salute e fitness, come i cardiofrequenzimetri compatibili con Bluetooth Low Energy (BLE) e i coprocessori di movimento integrati in molti dispositivi iOS. Tutte le interazioni di HealthKit con le app di salute e fitness, istituti sanitari e dispositivi di salute e fitness richiedono il permesso dell’utente. Tali dati sono archiviati nella classe di protezione dati “Protetto se non è aperto”. L’accesso ai dati viene revocato 10 minuti dopo il blocco del dispositivo e i dati tornano accessibili la volta successiva che l’utente inserisce il codice o utilizza Face ID o Touch ID per sbloccare il dispositivo.
Raccogliere e archiviare i dati su salute e attività fisica
HealthKit raccoglie e archivia anche dei dati di gestione, come i permessi di accesso per le app, i nomi dei dispositivi connessi a HealthKit e le informazioni sulla programmazione utilizzate per aprire le app quando sono disponibili nuovi dati. Tali dati sono archiviati nella classe di protezione dati “Protetto fino alla prima autenticazione utente”. I file journal temporanei archiviano le informazioni sanitarie generate quando il dispositivo è bloccato, ad esempio quando l’utente sta facendo esercizio fisico. Tali informazioni sono archiviate nella classe di protezione dati “Protetto se non è aperto”. Quando il dispositivo è sbloccato, i file journal temporanei vengono importati nel database sanitario di base e successivamente eliminati una volta completato il processo.
I dati sanitari possono essere archiviati su iCloud. La codifica end-to-end per i dati relativi allo stato di salute richiede iOS 12 o versioni successive e l’autenticazione a due fattori. Negli altri casi, i dati dell’utente sono comunque codificati durante l’archiviazione e la trasmissione, ma non con una codifica end-to-end. Una volta attivata l’autenticazione a due fattori ed eseguito l’aggiornamento a iOS 12 o versioni successive, ai dati sanitari verrà applicata la codifica end-to-end.
Se l’utente effettua il backup del dispositivo usando il Finder (macOS 10.15 o versione successiva) o iTunes (macOS 10.14 o versione precedente), i dati sanitari vengono archiviati solo se il backup è codificato.
Dati sanitari clinici
Gli utenti possono accedere a sistemi sanitari supportati all’interno dell’app Salute per ottenere una copia dei propri dati sanitari clinici. Durante la connessione a un sistema sanitario, l’utente effettua l’autenticazione tramite credenziali client OAuth 2. Dopo la connessione, i dati sanitari clinici vengono scaricati direttamente dall’istituto sanitario tramite una connessione protetta tramite TLS 1.3. Una volta scaricati, tali dati vengono archiviati in maniera sicura assieme ai dati sanitari.
Autenticità dei dati sanitari
I dati archiviati nel database includono metadati per rintracciare la provenienza di ogni record di dati. Questi metadati includono a loro volta un identificatore per l’app che identifica l’app che ha archiviato il record. In aggiunta a questo, un elemento di metadati opzionale può contenere una copia digitalmente firmata del record. Questo accorgimento ha lo scopo di garantire l’autenticità dei dati per i record generati da un dispositivo attendibile. Il formato utilizzato per la firma digitale è la Cryptographic Message Syntax (CMS) specificata nella RFC 5652.
Accesso ai dati sanitari da parte delle app di terze parti
L’accesso all’API di HealthKit è controllato attraverso autorizzazioni e le app si devono adeguare alle restrizioni che riguardano l’uso dei dati. Le app non sono ad esempio autorizzate ad utilizzare i dati sanitari a fini pubblicitari. Inoltre viene loro richiesto di fornire agli utenti le informazioni relative alla politica sulla privacy, in cui si espone come vengono usati i dati sanitari.
L’accesso ai dati sanitari da parte delle app è controllato dalle impostazioni sulla privacy dell’utente. Agli utenti viene chiesto di concedere l’accesso ai dati sanitari quando le app lo richiedono, così come accade anche per Contatti, Foto e altre sorgenti di dati in iOS. Tuttavia, nel caso dei dati sanitari, alle app viene concesso un accesso separato per la lettura e la scrittura dei dati, e un altro distinto per ogni tipo di informazione sanitaria. In Impostazioni > Salute > Accesso dati e dispositivi, gli utenti possono visualizzare e revocare i permessi precedentemente concessi per accedere ai dati sanitari.
Se alle app è stato consentito di scrivere i dati, significa anche che possono leggere quelli scritti da loro. Se è stato loro consentito di leggere i dati, possono leggere quelli scritti da tutte le fonti. Le app non possono tuttavia conoscere il tipo di accesso consentito ad altre app. Inoltre, non sono in grado di sapere in modo definitivo se è stato loro concesso l’accesso per la lettura dei dati sanitari. Quando un’app non dispone dell’accesso in lettura, tutte le risposte alle richieste non restituiranno alcun dato (la stessa risposta che darebbe un database vuoto). Questo meccanismo è progettato per impedire alle app di dedurre lo stato di salute dell’utente leggendo i tipi di dati di cui sta tenendo traccia.
Cartella clinica per gli utenti
L’app Salute offre all’utente la possibilità di compilare una cartella clinica con le informazioni che potrebbero essere importanti nel caso di un’emergenza medica. Le informazioni sono inserite o aggiornate manualmente e non vengono sincronizzate con quelle disponibili nei database sanitari.
Le informazioni della cartella clinica possono essere visualizzate toccando il pulsante Emergenza in “Blocco schermo”. Le informazioni sono archiviate sul dispositivo utilizzando la classe di protezione dati “Nessuna protezione” affinché possano essere accessibili senza dover inserire il codice del dispositivo. La cartella clinica è una funzionalità opzionale che consente agli utenti di trovare il giusto equilibrio tra sicurezza e privacy. Questi dati vengono inclusi nel backup di iCloud in iOS 13 o versioni precedenti. In iOS 14, la cartella clinica viene sincronizzata tra i dispositivi tramite CloudKit e usufruisce delle stesse caratteristiche di codifica di tutto il resto dei dati sanitari.
Condivisione dell’app Salute
In iOS 15, nell’app Salute gli utenti hanno la possibilità di condividere i dati sanitari con altre persone. Tali dati possono essere condivisi tra due utenti che utilizzano la crittografia end-to-end di iCloud. Apple non è in grado di accedere ai dati che vengono condivisi tramite l’app Salute. Per utilizzare la funzionalità, sia il mittente che il ricevente devono avere installato iOS 15 o versioni successive e aver abilitato l’autenticazione a due fattori.
Inoltre, è possibile scegliere di condividere i propri dati sanitari anche con la propria struttura sanitaria di riferimento tramite l’apposita funzionalità nell’app Salute. I dati condivisi mediante questa funzionalità vengono resi disponibili con crittografia end-to-end soltanto agli istituti sanitari selezionati dall’utente e Apple non aggiorna né ha accesso alle chiavi di crittografia per decrittografare, visualizzare o accedere in altro modo ai dati condivisi tramite la funzionalità di condivisione con la struttura sanitaria. Ulteriori dettagli sul modo in cui questo servizio è stato concepito per proteggere i dati sanitari degli utenti sono disponibili nella sezione dedicata alla sicurezza e alla privacy della guida alla registrazione di Apple per le organizzazioni sanitarie.