Garante Privacy sanziona un policlinico, nuovo sw di notifica e self assessement
Che i dati, soprattutto quelli contenuti in “data base” (archivi informatici), siano da considerare “oro” è cosa consolidata, cosi come possiamo considerare “pregiati” quelli sanitari. Proprio per tali motivi la legislazione prevede la loro protezione, sia dagli eventi accidentali sia dolosi, i cosiddetti Data Breach, con obbligo di segnalazione (Artt. 32-33-34 GDPR). Una violazione di sicurezza comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Siamo nel caso della protezione dei dati personali e, nello specifico, della cybersecurity.
Una violazione delle informazioni può compromettere la riservatezza, l’integrità o la disponibilità di dati personali. Ad esempio: l’accesso o l’acquisizione da parte di terzi non autorizzati; il furto o la perdita di dispositivi informatici contenenti dati personali; la deliberata alterazione; l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.; la perdita o la distruzione a causa di incidenti, eventi avversi, incendi o altre calamità; la divulgazione non autorizzata.
I vantaggi di disporre dei dati sanitari che ci riguardano sono evidenti; meno appariscente quanto viene fatto per proteggere queste situazioni. E’ l’enorme capitolo, gestito dai sistemi informatici e dai DPO (responsabili aziendali della protezione dei dati), della possibilità di accesso non autorizzato, modifica o perdita di dati. Il Garante per la protezione dei dati personali ha il compito di sorveglianza a livello nazionale e di raccolta di tali situazioni, ma anche di comminare sanzioni che possono essere particolarmente gravose (si parte da 20mila euro per arrivare a milioni).
Quest’ultimo recentemente ha sanzionato (20mila euro), in ambito sanitario, un policlinico per aver violato la riservatezza dei risultati online di alcuni utenti (riguardava la radiologia, ma per similitudine anche il laboratorio analisi). Mentre consultavano le proprie radiografie, collegandosi con lo smartphone attraverso le loro credenziali, 39 pazienti avevano potuto accedere all’elenco alfabetico di 74 altri assistiti, visualizzare i loro esiti radiologici e l’elenco degli esami.
Il fatto è pubblicato anche nella Newsletter del Garante della Privacy. Venuto a conoscenza della violazione dei dati, a seguito di una segnalazione, il policlinico aveva interrotto la procedura di consultazione dei referti online, corretto il bug, onde evitare futuri accessi non autorizzati e segnalato l’incidente al fornitore del sistema. Aveva poi, come previsto dal Regolamento Ue, notificato il data breach al Garante, spiegando che la causa della violazione era da attribuire ad un errore umano nell’integrazione di due sistemi informatici. La struttura ospedaliera aveva specificato di non aver ricevuto reclami o richieste di risarcimento dei danni in merito.
Il Fatto. “La sequenza che ha portato al problema è la seguente: l’utente faceva accesso al servizio My-Hospital, utilizzando un browser da smartphone, tramite username e password”. Poi, inserendo il codice segreto, faceva accesso alla sezione relativa allo scarico dei documenti dove poteva visualizzare l’elenco di eventuali esiti prodotti negli ultimi 45 giorni. Nel caso il referto fosse legato ad immagini, l’utente selezionava il pulsante “guarda immagini” e visualizzava correttamente le immagini relativamente all’episodio clinico selezionato”. Qualora l’utente, giunto a questo punto, invece di uscire, avesse selezionato il pulsante “indietro”, avrebbe visto sul portale MyVue – come dovuto e atteso – il proprio nominativo dal quale sarebbe stato nuovamente possibile accedere alle proprie immagini.
Il Bug. Tuttavia, se a questo punto l’utente avesse selezionato nuovamente il pulsante “indietro”, avrebbe visto sul portale MyVue l’elenco ordinato alfabeticamente di tutti gli utenti, dal quale avrebbe potuto selezionare un nominativo diverso dal suo e quindi visualizzarne l’elenco degli esami e le relative immagini, cosa che nel corso degli anni è avvenuta in 39 casi. Come detto in precedenza, lo stesso iter, fatto da browser desktop non evidenzia alcuna “anomalia”. Il Garante, alla luce dell’illecita comunicazione di dati sanitari causata dall’errore informatico, ha applicato una sanzione, tenendo conto dell’elevato livello di cooperazione dimostrato dal policlinico e della tempestiva risoluzione del problema.
Notifica e Self Assessement. Ma oltre ad un nuovo logo, il Garante ha ideato e messo disposizione un nuovo servizio per supportare i titolari del trattamento, in vista degli adempimenti previsti in caso di Data Breach. Aiuterà i titolari nell’assolvimento degli obblighi loro spettanti in tema di notifica di una violazione dei dati personali, nei confronti dell’autorità di controllo e di Comunicazione di una violazione all’interessato.
Nello specifico, grazie al nuovo servizio, sarà possibile accedere al modello di notifica al Garante Privacy ed alla procedura di self assessment, un apposito strumento di autovalutazione, che consente di individuare le azioni da intraprendere a seguito di una violazione dei dati personali derivante da un incidente di sicurezza.
La notifica. Il titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista, ecc.) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante per la protezione dei dati personali, a meno che sia improbabile che la violazione comporti un rischio per i diritti e le libertà delle persone fisiche. Come chiarisce il sito dell’Autorità: il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il titolare, in modo che possa attivarsi. Le notifiche al Garante, effettuate oltre il termine delle 72 ore, devono essere accompagnate dai motivi del ritardo.
La notifica deve essere inviata tramite posta elettronica, sia certificata (indirizzo: [email protected]) sia tramite posta elettronica ordinaria (indirizzo: [email protected]) e deve essere sottoscritta digitalmente (con firma elettronica qualificata/firma digitale), ovvero con firma autografa. In quest’ultimo caso la notifica deve essere presentata unitamente alla copia del documento d’identità del firmatario. L’oggetto del messaggio deve contenere obbligatoriamente la dicitura “NOTIFICA VIOLAZIONE DATI PERSONALI” e, opzionalmente, la denominazione del titolare del trattamento.
Come si può intuire, applicando le leggi “europee” il “grado di sicurezza” continua ad aumentare.
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9493049
BIBLIOWEB:
- Provvedimento su data breach – 1° ottobre 2020 [9469345] https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9469345
- Data Breach: il Garante lancia un nuovo servizio online per semplificare gli adempimenti https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9510133
- Violazioni di dati personali https://www.gpdp.it/regolamentoue/databreach
- Piano Triennale per l’Informatica nella PA 2020-22 http://newmicro.altervista.org/?p=7893
- COVID, App e Privacy http://newmicro.altervista.org/?p=7264
- Digitalizzazione First http://newmicro.altervista.org/?p=6890
- Cybersecurity made in Italy http://newmicro.altervista.org/?p=6833
- L’oro dei Big Data http://newmicro.altervista.org/?p=6557
- GDPR Slow http://newmicro.altervista.org/?p=6362
- Sicurezza dei dati Sanitari http://newmicro.altervista.org/?p=5934
- Buone carte per cambiare la PA (finalmente) http://newmicro.altervista.org/?p=5768
- DataCracy http://newmicro.altervista.org/?p=4778
- Cibersecurity & Blockchain in Sanità http://newmicro.altervista.org/?p=4646
