Data breach sanitari. Che cosa sono

Prima di addentrarci nell’ipotesi specifica di un data breach avente ad oggetto dati di sanitari, ossia dati di natura particolare ex art 9 GDPR, è necessario svolgere, per meglio accompagnare il lettore nella comprensione dell’argomento, una breve premessa sul concetto di data breach.

La definizione di data breach è contenuta nell’art 4. par 12 del GDPR, ai sensi del quale, viene definita così, “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”. 

Gli art. 33 e 34 GDPR, invece, si occupano di disciplinare quando notificare o comunicare un simil incidente,

Nello specifico, in caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.

 Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, deve essere corredata dei motivi del ritardo. 

Anche sul responsabile del trattamento incombe il medesimo dovere ed invero quest’ultimo informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione.

La notifica deve:

  • descrivere la natura della violazione dei dati personali nonché, quando possibile, le categorie e il numero approssimativo di interessati coinvolti, le categorie e il numero approssimativo di registrazioni dei dati personali in questione; 
  • comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni; 
  • descrivere le probabili conseguenze della violazione dei dati personali; 
  • descrivere le misure adottate o che si propone di adottare per porre rimedio alla violazione dei dati personali e, se del caso, per attenuarne i possibili effetti negativi. 

Qualora non sia possibile fornire le suddette informazioni contestualmente, le stesse possono essere fornite in fasi successive senza ingiustificato ritardo.

Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. 

Tale documentazione consente all’autorità di controllo di verificare il rispetto del presente articolo. 

Con riferimento invece all’ipotesi della comunicazione ai soggetti interessati, che si ha quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo. 

La comunicazione all’interessato deve descrivere con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno: 

–  il nome e i dati di contatto del DPO o altri soggetti dai quali poter ottenere ulteriori informazioni; 

–  la descrizione delle probabili conseguenze della violazione; 

–  le misure adottate per porvi rimedio e attenuarne i possibili effetti negativi.

Ci sono inoltre dei casi in cui non è necessario procedere con la comunicazione al soggetto interessato.

Tali ipotesi si verificano quando:

  •  Il titolare del trattamento aveva adottato misure tecniche ed organizzative adeguate per proteggere i dati personali oggetto della violazione (es. pseudonimizzazione o cifratura); 
  •  il titolare del trattamento ha successivamente adottato misure in grado di scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati; 
  • la comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia. 

Essendo i dati sanitari rientranti nella sfera dei dati il cui trattamento è per definizione “rischioso”, qualora si verificasse una loro perdita, furto o altra manomissione, è evidente il dovere di notifica al Garante da parte del Titolare del trattamento che ha subito il data breach.

Pochi mesi fa, il Garante ha proprio emanato il provvedimento n. 174 del 1° ottobre 2020 con il quale ha comminato una sanzione pari ad euro 20.000 all’ Università Campus Bio-medico di Roma in quanto consentendo quest’ultimo l’accesso agli utenti dell’App mobile MyVue ai dati sulla salute (immagini radiologiche, dati anagrafici e referti) di 74 interessati, ha effettuato una comunicazione di categorie particolari di dati degli interessati a terzi in assenza di un idoneo presupposto giuridico e, quindi, in violazione dei principi di base del trattamento di cui agli art. 5 e 9 del Regolamento. In particolare, è stato rappresentato che il predetto trattamento di dati personali è stato effettuato in maniera non conforme ai principi di “liceità, correttezza e trasparenza”, nonché di “integrità e riservatezza” del trattamento, in violazione dell’art. 5, par. 1, lett. a) e f) del Regolamento e in assenza di un idoneo presupposto normativo, in violazione degli artt. 75 del Codice e 9 del Regolamento.

La fattispecie in commento costituisce solo uno dei più recenti episodi di data breach in ambito sanitario; da notare però come in tali casi il Garante adotti, senza concedere “attenuanti”, sanzioni particolarmente ingenti.

Avv. Eleonora Mataloni

GRAZIE PER LA TUA RICHIESTA.

Contattaci tramite email, telefono
o compila il form così da capire come aiutarti al meglio.