Data breach dei dati del paziente, spetta un risarcimento?

La violazione di sistemi informatici può avere effetti disastrosi sulle nostre vite, si pensi ai non infrequenti furti di password per le caselle di posta elettronica o ai tentativi fraudolenti di accesso ai conti correnti ma, nel caso di data breach dei dati del paziente, coinvolgendo quindi la sfera della nostra salute, riveste un ulteriore e ancora più allarmante risvolto.

Le finalità, tutte malevole, possono essere varie. Vediamole in progressione partendo dal presupposto che ogni nostro dato sanitario, per insignificante che ci appaia, è un dato sensibile, protetto dalla normativa GDPR sulla Privacy, e che per l’autore della violazione così come per chi la violazione l’avrebbe dovuta evitare, sono previste sanzioni economiche, civili e perfino penali.

Anzitutto, l’accesso non autorizzato può aver avuto come scopo la ‘lettura‘ di nostre informazioni sanitarie. Quali vaccinazioni siano state fatte, lo storico dei trattamenti di Pronto soccorso, la diagnosi di eventuali patologie. In questo caso, l’intento non è per puro pettegolezzo ma, nella migliore delle ipotesi, per offrirci mediante campagne pubblicitarie mirate di servizi e trattamenti ai quali, ovviamente, presteremo particolare attenzione e troveremo molto attraenti.

Chi sia in possesso delle nostre cartelle cliniche potrebbe poi decidere di non offrirci un determinato servizio, un’assicurazione sulla vita ad esempio oppure l’assicurazione per responsabilità civile dell’auto, oppure offrircelo a un prezzo maggiore rispetto a quello a cui ci sarebbe stato offerto se non fossero illecitamente venuti in possesso dei nostri dati riservati.

Le cose prendono una piega nettamente più grave nel caso in cui l’autore del data breach dei dati del paziente non si limiti a copiare i dati ma ne causi l’alterazione, o addirittura la loro cancellazione.

Che siano ‘semplicemente’ degli esami da rifare con tutto quanto comporti di ritardi nel ricevere le cure, di spese da anticipare, di patimento, oppure di cartelle irreperibili con tutto lo storico dei trattamenti sui quali impostare le future cure, ogni data breach dei dati del paziente lo obbliga a subire una serie di conseguenze ingiuste oggetto, necessariamente, di adeguato risarcimento!

1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.

Art. 82 GDPR Comma 1 del Regolamento Generale sulla Protezione dei Dati – UE/2016/679

Il primo data che si dovrà accertare sarà quello dell’adeguatezza delle misure predisposte dal Responsabile del trattamento dei dati e in questo caso è evidente che, trattandosi del diritto alla salute, qualunque misura che non implichi le più aggiornate procedure, e tecnologie, sarà sempre inadeguata.

Occorre a questo proposito aggiungere che, in primis, l’avvenuta data breach dei dati del paziente dovrà essere denunciata e descritta dallo stesso Responsabile della sicurezza dei dati al Garante per la Privacy per cui l’attività ‘di indagine’ appare molto semplificata, e poi che alcune misure sono, in realtà, di molto semplice attuazione, come la cifratura dei nominativi e dei dati che possano ricondurre al singolo Paziente.

1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

2. Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

Art. 32 GDPR Commi 1 e 2 del Regolamento Generale sulla Protezione dei Dati – UE/2016/679

L’azione per il risarcimento del danno materiale o immateriale subìto dovrà essere intrapresa secondo le normali procedure innanzi al Tribunale competente e non, come verrebbe istintivo pensare, con un ricorso al Garante per la tutela della Privacy. Se è vero che una volta intrapresa un’azione civile, o penale (a seconda del danno ricevuto) il Garante sarà coinvolto per gli accertamenti di propria competenza, nel caso in cui si presenti reclamo al Garante non si potrà poi presentare domanda di risarcimento, o di condanna del responsabile della data breach se non in un secondo (e molto distante) momento.

6. Le azioni legali per l’esercizio del diritto di ottenere il risarcimento del danno sono promosse dinanzi alle autorità giurisdizionali competenti a norma del diritto dello Stato membro di cui all’articolo 79, paragrafo 2.

Art. 82 GDPR Comma 6 del Regolamento Generale sulla Protezione dei Dati – UE/2016/679

In conclusione, rispondendo alla domanda iniziale, Sì!
Spetta un risarcimento in ogni caso di data breach dei dati del paziente, preferibilmente instaurando un giudizio civile nei confronti del Responsabile del trattamento dei dati personali della struttura violata che non possa dimostrare di aver fatto tutto quanto tecnicamente (e logicamente) possibile per evitare il fatto.

Potrebbe interessarti: La profilazione dei dati sanitari



patentino per condurre un cane

Perché sono contrario al patentino per condurre un cane

Pubblichiamo un autorevole contributo sulle ragioni per cui si debba essere contrari alla previsione del patentino per condurre un cane come invece imposto da alcuni Regolamenti comunali per il benessere e la tutela degli animali

risarcimento per il ritardo nella consegna del bagaglio

Risarcimento per il ritardo nella consegna del bagaglio

Non ogni ritardo permette un risarcimento per il ritardo nella consegna del bagaglio ma solo quello che, oltre alla fastidiosa attesa, crei effettivamente un danno di tipo patrimoniale al viaggiatore aereo...

le auto ibride pagano il bollo

Le auto ibride pagano il bollo?

In assenza di una normativa nazionale che garantisca un incentivo uniforme all'acquisto di veicoli non inquinanti, offriamo una tabella riassuntiva delle regioni in cui le auto ibride pagano il bollo e in che misura

volo cancellato per carenza di personale

Volo cancellato per carenza di personale

Nel caso di volo cancellato per carenza di personale è la normativa a imporre un minimo di componenti dell'equipaggio senza pregiudicare però i diritti del passeggero

volo cancellato per maltempo

Volo cancellato per maltempo? Ecco i tuoi diritti…

Con fenomeni atmosferici sempre più estremi, la possibilità di avere il volo cancellato per maltempo è sempre più probabile per cui il passeggero aereo farà bene a memorizzare quali siano i propri diritti e come farli valere!

direttiva insolvency

La Direttiva Insolvency per il risanamento dell’azienda in crisi

La Direttiva Insolvency dell'UE introduce importanti novità sulla composizione negoziata della crisi d'impresa permettendo all'imprenditore di preservare la continuità della propria azienda...