Il “data breach” è: una violazione della sicurezza di una banca dati che comporta la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Queste violazioni, accidentali o illecite, sono sempre più frequenti anche in ambito sanitario, proprio in un momento in cui il sistema sanitario (e il personale in modo particolare) è fortemente sotto pressione a causa dell’emergenza pandemica in corso.
Gli illeciti derivano molto spesso da errori degli operatori e da una mancanza di automatismo nelle procedure che garantirebbero un maggiore controllo sul flusso dei dati evitando ad esempio l’invio a destinatari sbagliati di informazioni sulla salute di alcuni pazienti, violando in questo modo il diritto alla privacy degli utenti coinvolti nell’errore.
Come è avvenuto nel caso di queste 3 strutture negli ultimi provvedimenti del 19 Febbraio 2021:
- in una Asl dell’Emilia-Romagna, dove una paziente aveva esplicitamente richiesto che nessun soggetto esterno, neppure i familiari, fosse informato sul suo stato di salute, un’infermiera del reparto, invece che contattarla sul telefono cellulare privato, aveva chiamato il numero di casa parlando così con un familiare. La Asl, che ha subito anche una richiesta di risarcimento danni da parte della paziente, dovrà pagare una sanzione di 50.000 euro per la violazione del Gdpr;
- l’azienda ospedaliera universitaria senese ha ricevuto la sanzione di 10.000 euro per aver spedito via posta, al paziente sbagliato, una relazione medica contenente le informazioni sulla salute e la vita sessuale di un’altra coppia;
- anche un ospedale dell’Emilia-Romagna ha ricevuto la sanzione di 10.000 euro per aver consegnato a dei pazienti cartelle cliniche contenenti dati e referti riferibili ad altre persone, incluso un minore.
Il Garante ha poi spiegato che l’elevata disponibilità e cooperazione da parte delle strutture sanitarie e la messa a punto di ulteriori misure tecniche e organizzative per ridurre al minimo altri futuri errori, hanno contribuito a contenere l’importo delle sanzioni.
E’ evidente che rispetto ad altri settori, queste fughe di dati comportano un impatto grave e pregiudizievole per gli interessati proprio a causa della natura stessa di riservatezza delle informazioni come stato di salute o in dati clinici.
Ma a preoccupare l’Authority sono anche gli attacchi informatici da parte di hacker.
Le informazioni personali riguardanti i pazienti hanno un “potenziale economico” molto elevato: dalle cartelle cliniche è possibile infatti reperire “dati sensibili personali” come nome e cognome, data di nascita, estremi dei documenti di identità ecc e la situazione clinica concorre ad una approfondita profilazione dello stato di salute del paziente nel suo insieme, un “bottino” che negli ambienti giusti può trovare un mercato favorevole e molto remunerativo.