La violazione di sistemi informatici può avere effetti disastrosi sulle nostre vite, si pensi ai non infrequenti furti di password per le caselle di posta elettronica o ai tentativi fraudolenti di accesso ai conti correnti ma, nel caso di data breach dei dati del paziente, coinvolgendo quindi la sfera della nostra salute, riveste un ulteriore e ancora più allarmante risvolto.
Le finalità, tutte malevole, possono essere varie. Vediamole in progressione partendo dal presupposto che ogni nostro dato sanitario, per insignificante che ci appaia, è un dato sensibile, protetto dalla normativa GDPR sulla Privacy, e che per l’autore della violazione così come per chi la violazione l’avrebbe dovuta evitare, sono previste sanzioni economiche, civili e perfino penali.
Anzitutto, l’accesso non autorizzato può aver avuto come scopo la ‘lettura‘ di nostre informazioni sanitarie. Quali vaccinazioni siano state fatte, lo storico dei trattamenti di Pronto soccorso, la diagnosi di eventuali patologie. In questo caso, l’intento non è per puro pettegolezzo ma, nella migliore delle ipotesi, per offrirci mediante campagne pubblicitarie mirate di servizi e trattamenti ai quali, ovviamente, presteremo particolare attenzione e troveremo molto attraenti.
Chi sia in possesso delle nostre cartelle cliniche potrebbe poi decidere di non offrirci un determinato servizio, un’assicurazione sulla vita ad esempio oppure l’assicurazione per responsabilità civile dell’auto, oppure offrircelo a un prezzo maggiore rispetto a quello a cui ci sarebbe stato offerto se non fossero illecitamente venuti in possesso dei nostri dati riservati.
Le cose prendono una piega nettamente più grave nel caso in cui l’autore del data breach dei dati del paziente non si limiti a copiare i dati ma ne causi l’alterazione, o addirittura la loro cancellazione.
Che siano ‘semplicemente’ degli esami da rifare con tutto quanto comporti di ritardi nel ricevere le cure, di spese da anticipare, di patimento, oppure di cartelle irreperibili con tutto lo storico dei trattamenti sui quali impostare le future cure, ogni data breach dei dati del paziente lo obbliga a subire una serie di conseguenze ingiuste oggetto, necessariamente, di adeguato risarcimento!
1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.
Art. 82 GDPR Comma 1 del Regolamento Generale sulla Protezione dei Dati – UE/2016/679
Il primo data che si dovrà accertare sarà quello dell’adeguatezza delle misure predisposte dal Responsabile del trattamento dei dati e in questo caso è evidente che, trattandosi del diritto alla salute, qualunque misura che non implichi le più aggiornate procedure, e tecnologie, sarà sempre inadeguata.
Occorre a questo proposito aggiungere che, in primis, l’avvenuta data breach dei dati del paziente dovrà essere denunciata e descritta dallo stesso Responsabile della sicurezza dei dati al Garante per la Privacy per cui l’attività ‘di indagine’ appare molto semplificata, e poi che alcune misure sono, in realtà, di molto semplice attuazione, come la cifratura dei nominativi e dei dati che possano ricondurre al singolo Paziente.
1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
Art. 32 GDPR Commi 1 e 2 del Regolamento Generale sulla Protezione dei Dati – UE/2016/679
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
2. Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
L’azione per il risarcimento del danno materiale o immateriale subìto dovrà essere intrapresa secondo le normali procedure innanzi al Tribunale competente e non, come verrebbe istintivo pensare, con un ricorso al Garante per la tutela della Privacy. Se è vero che una volta intrapresa un’azione civile, o penale (a seconda del danno ricevuto) il Garante sarà coinvolto per gli accertamenti di propria competenza, nel caso in cui si presenti reclamo al Garante non si potrà poi presentare domanda di risarcimento, o di condanna del responsabile della data breach se non in un secondo (e molto distante) momento.
6. Le azioni legali per l’esercizio del diritto di ottenere il risarcimento del danno sono promosse dinanzi alle autorità giurisdizionali competenti a norma del diritto dello Stato membro di cui all’articolo 79, paragrafo 2.
Art. 82 GDPR Comma 6 del Regolamento Generale sulla Protezione dei Dati – UE/2016/679
In conclusione, rispondendo alla domanda iniziale, Sì!
Spetta un risarcimento in ogni caso di data breach dei dati del paziente, preferibilmente instaurando un giudizio civile nei confronti del Responsabile del trattamento dei dati personali della struttura violata che non possa dimostrare di aver fatto tutto quanto tecnicamente (e logicamente) possibile per evitare il fatto.
—
Potrebbe interessarti: La profilazione dei dati sanitari
Come fare ricorso in autotutela per prescrizione
Di fronte a un atto impositivo ingiusto proveniente dalla Pubblica amministrazione, il Cittadino ha diverse possibilità di difesa tra le quali il ricorso in autotutela per prescrizione intervenuta della pretesa vantata contro di sé.
Significato di Famiglia arcobaleno e situazione normativa
Così come tanti sono i colori in un arcobaleno, comprendere il significato di famiglia arcobaleno significa capire che uomini e donne possono altrettanto dar vita a diversi modelli di famiglia, certamente diversa da quella definita 'tradizionale', ciononostante meritevole di beneficiare dei medesimi diritti...
Da lordo a netto mensile, come calcolare lo stipendio reale
Ogni lavoratore ha certamente sperimentato la differenza del proprio stipendio da lordo a netto mensile. Ecco come calcolare lo stipendio reale...
La responsabilità penale del Ministro
Sorprenderà qualcuno che anche chi ricopra la carica di Ministro può essere sottoposto a processo dalla Magistratura ordinaria per gli atti commessi durante il proprio incarico...
Il falso mito della lista delle accise sulla benzina
Aleggia da sempre una lunga e oggettivamente incredibile lista delle accise sulla benzina che, dalla guerra in Etiopia alle più recenti alluvioni e terremoti, ne appesantirebbero il prezzo al litro...
E’ lecita la donazione a un solo figlio?
In molte più occasioni di quante si creda si ripresenta la questione della donazione a un solo figlio di una somma di denaro, un oggetto di valore o un immobile a discapito di altri figli...