Data breach in ambito sanitario: l’ultimo provvedimento del Garante Privacy

I data breach sono eventi di violazione della sicurezza di una banca dati che sono sempre più frequenti anche in ambito sanitario e che, rispetto a quelli occorsi in altri settori, presentano un impatto potenzialmente grave e pregiudizievole per gli interessati, in considerazione della particolare natura dei dati trattati, consistenti in informazioni sullo stato di salute di una persona o in suoi dati clinici.

Tali eventi di sicurezza possono derivare, oltre che dai temuti attacchi informatici da parte di hacker, anche per semplici errori umani, commessi, ad esempio, nella fase di progettazione o implementazione di software oppure durante l’integrazione di due sistemi informatici.

Il Garante per la protezione dei dati personali (di seguito, “Garante Privacy”) si è occupato recentemente di tale tematica, disponendo con il provvedimento n. 174 del 1° ottobre 2020 una sanzione amministrativa pari a 20.000 euro al policlinico “Università Campus Bio-medico di Roma” (di seguito, “Policlinico”), a seguito della notificazione da parte della struttura sanitaria di un data breach che aveva causato la violazione della riservatezza dei referti disponibili online di 74 pazienti.

Il Garante Privacy, dopo aver avuto conoscenza del data breach a seguito della relativa notifica ad opera del Policlinico, ha condotto l’attività istruttoria dal quale è emerso che:

  • la violazione ha avuto origine da un errore umano occorso durante l’integrazione di due sistemi informatici, segnatamente il sistema Carestream (CSAP-MyVue) ed il portale per i pazienti “MyHospital”, in quanto l’operatore incaricato dal fornitore del servizio aveva impostato – in via del tutto accidentale – il valore booleano “true” in luogo di “false”;
  • a causa dell’anomalia, verificatasi unicamente nella versione mobile dell’app MyVue, alcuni utenti, durante un arco temporale che va dal 25 novembre 2016 all’agosto del 2019, hanno potuto visualizzare i dati relativi alla salute, specificamente le immagini radiologiche associate a dati identificativi e referti clinici, di 74 pazienti.

Secondo quanto sostenuto dal Garante Privacy, il Policlinico, consentendo l’accesso agli utenti dell’App mobile MyVue ai dati relativi alla salute di 74 interessati, ha effettuato una comunicazione di categorie particolari di dati degli interessati a terzi:

  • in violazione dei principi di liceità, correttezza e trasparenza, nonché di integrità e riservatezza del trattamento di cui all’art. 5, par. 1, lett. a) e f) del Regolamento UE 679/2016 (di seguito, ”GDPR”); e
  • in assenza di un’idonea base giuridica normativa, in violazione dell’art. 9 del GDPR.

Secondo quanto sostenuto dal Policlinico nelle proprie memorie difensive, immediatamente dopo essere venuto a conoscenza dell’avvenuta violazione di dati personali, ha provveduto celermente a:

  • sospendere il servizio;
  • segnalare l’evento al fornitore del sistema onde consentirgli di identificare il problema e porvi rimedio in maniera definitiva;
  • porre in essere tutte le adeguate misure tecniche ed organizzative volte a verificare se potesse ritenersi configurata una violazione dei dati personali;
  • informare il Garante Privacy.

Nel definire l’ammontare della sanzione, pari a 20.000,00 euro, il Garante Privacy, pur tenendo conto della gravità della violazione considerata la tipologia di dati personali oggetto della stessa, ha conferito particolare rilievo:

  • alla modalità con cui il Garante Privacy è venuto a conoscenza del data breach, ossia grazie alla notifica dello stesso al Garante Privacy da parte del Policlinico e non a seguito di reclami o segnalazioni da parte dei soggetti interessati;
  • all’assenza di elementi di volontarietà nella causazione dell’evento da parte del Policlinico;
  • al tempestivo intervento di quest’ultimo finalizzato a rimuovere tempestivamente gli effetti pregiudizievoli della violazione;
  • nonché all’alto livello di cooperazione dimostrato dal Policlinico nel corso dell’istruttoria.

Alla luce di ciò, al fine di gestire celermente episodi di data breach in ambito sanitario ed in conformità alla normativa in materia di dati personali, risulta fondamentale per i titolari del trattamento:

  • effettuare periodicamente attività di audit nei confronti dei propri fornitori al fine di verificarne e valutarne l’operato, con riferimento sia alle misure di sicurezza tecniche che a quelle organizzative adottate dal fornitore;
  • dotarsi di un’adeguata data breach policy, in modo da poter agire tempestivamente e con efficienza al verificarsi di un episodio di violazione dei dati personali, conformemente alle prescrizioni previste dall’art. 33 del GDPR;
  • predisporre un registro dei data breach dove registrare in un’ottica di accountability tali eventi;

organizzare corsi di formazione in favore del personale al fine di sensibilizzarlo sulle procedure da adottare in caso di data breach.

Condividi

Condividi

Foto di Chiara Agostini

Interessato alla
Masterclass?

Iscriviti

Potrebbe interessarti anche