La violazione di sistemi informatici può avere effetti disastrosi sulle nostre vite, si pensi ai non infrequenti furti di password per le caselle di posta elettronica o ai tentativi fraudolenti di accesso ai conti correnti ma, nel caso di data breach dei dati del paziente, coinvolgendo quindi la sfera della nostra salute, riveste un ulteriore e ancora più allarmante risvolto.
Le finalità, tutte malevole, possono essere varie. Vediamole in progressione partendo dal presupposto che ogni nostro dato sanitario, per insignificante che ci appaia, è un dato sensibile, protetto dalla normativa GDPR sulla Privacy, e che per l’autore della violazione così come per chi la violazione l’avrebbe dovuta evitare, sono previste sanzioni economiche, civili e perfino penali.
Anzitutto, l’accesso non autorizzato può aver avuto come scopo la ‘lettura‘ di nostre informazioni sanitarie. Quali vaccinazioni siano state fatte, lo storico dei trattamenti di Pronto soccorso, la diagnosi di eventuali patologie. In questo caso, l’intento non è per puro pettegolezzo ma, nella migliore delle ipotesi, per offrirci mediante campagne pubblicitarie mirate di servizi e trattamenti ai quali, ovviamente, presteremo particolare attenzione e troveremo molto attraenti.
Chi sia in possesso delle nostre cartelle cliniche potrebbe poi decidere di non offrirci un determinato servizio, un’assicurazione sulla vita ad esempio oppure l’assicurazione per responsabilità civile dell’auto, oppure offrircelo a un prezzo maggiore rispetto a quello a cui ci sarebbe stato offerto se non fossero illecitamente venuti in possesso dei nostri dati riservati.
Le cose prendono una piega nettamente più grave nel caso in cui l’autore del data breach dei dati del paziente non si limiti a copiare i dati ma ne causi l’alterazione, o addirittura la loro cancellazione.
Che siano ‘semplicemente’ degli esami da rifare con tutto quanto comporti di ritardi nel ricevere le cure, di spese da anticipare, di patimento, oppure di cartelle irreperibili con tutto lo storico dei trattamenti sui quali impostare le future cure, ogni data breach dei dati del paziente lo obbliga a subire una serie di conseguenze ingiuste oggetto, necessariamente, di adeguato risarcimento!
1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.
Art. 82 GDPR Comma 1 del Regolamento Generale sulla Protezione dei Dati – UE/2016/679
Il primo data che si dovrà accertare sarà quello dell’adeguatezza delle misure predisposte dal Responsabile del trattamento dei dati e in questo caso è evidente che, trattandosi del diritto alla salute, qualunque misura che non implichi le più aggiornate procedure, e tecnologie, sarà sempre inadeguata.
Occorre a questo proposito aggiungere che, in primis, l’avvenuta data breach dei dati del paziente dovrà essere denunciata e descritta dallo stesso Responsabile della sicurezza dei dati al Garante per la Privacy per cui l’attività ‘di indagine’ appare molto semplificata, e poi che alcune misure sono, in realtà, di molto semplice attuazione, come la cifratura dei nominativi e dei dati che possano ricondurre al singolo Paziente.
1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
Art. 32 GDPR Commi 1 e 2 del Regolamento Generale sulla Protezione dei Dati – UE/2016/679
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
2. Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
L’azione per il risarcimento del danno materiale o immateriale subìto dovrà essere intrapresa secondo le normali procedure innanzi al Tribunale competente e non, come verrebbe istintivo pensare, con un ricorso al Garante per la tutela della Privacy. Se è vero che una volta intrapresa un’azione civile, o penale (a seconda del danno ricevuto) il Garante sarà coinvolto per gli accertamenti di propria competenza, nel caso in cui si presenti reclamo al Garante non si potrà poi presentare domanda di risarcimento, o di condanna del responsabile della data breach se non in un secondo (e molto distante) momento.
6. Le azioni legali per l’esercizio del diritto di ottenere il risarcimento del danno sono promosse dinanzi alle autorità giurisdizionali competenti a norma del diritto dello Stato membro di cui all’articolo 79, paragrafo 2.
Art. 82 GDPR Comma 6 del Regolamento Generale sulla Protezione dei Dati – UE/2016/679
In conclusione, rispondendo alla domanda iniziale, Sì!
Spetta un risarcimento in ogni caso di data breach dei dati del paziente, preferibilmente instaurando un giudizio civile nei confronti del Responsabile del trattamento dei dati personali della struttura violata che non possa dimostrare di aver fatto tutto quanto tecnicamente (e logicamente) possibile per evitare il fatto.
—
Potrebbe interessarti: La profilazione dei dati sanitari
