Articoli

Privacy e Sanità. Arriva imperante lo stop del Garante all’uso illecito dei dati degli accertamenti medici

Avv. Vincenzo Colarocco

Il Garante privacy, in linea con il proprio costante orientamento in materia, è intervenuto il mese scorso con una nota conclusiva di un’istruttoria nell’ambito della quale ha ritenuto illecito il trattamento effettuato da un’azienda sanitaria e dalla società alla quale la stessa aveva messo a disposizione copie di immagini di esame diagnostici di alcuni pazienti.

L’acquisizione della copia di immagini Tac –contenenti informazioni sullo stato di salute- da parte della società era finalizzata alla partecipazione ad una gara d’appalto in seguito depositata nell’ambito di un contenzioso giudiziario. Operazioni, queste, non riconducibili a quelle per le quali era stata nominata “responsabile”, solitamente ricondotte all’ attività di manutenzione per garantire l’efficienza dell’apparecchiatura e la qualità delle immagini della Tac.

Orbene, rilevati i trattamenti illeciti, il Garante privacy ha osservato come le operazioni eseguite perseguivano, infatti, finalità proprie della società (partecipazione alla gara e difesa in giudizio) non riconducibili a quelle per le quali era stata designata responsabile (quali ad esempio, le attività di manutenzione per garantire l’efficienza dell’apparecchiatura e la qualità delle immagini della Tac) e quindi di per sé non idonee a giustificare la nomina della stessa a responsabile del trattamento ai sensi dell’art. 28 del GDPR.

Quanto valgono i nostri dati sanitari?

Avv. Vincenzo Colarocco

Un recente ricerca pubblicata da Carbon Black, società Usa che sviluppa software con l’obiettivo di proteggere le organizzazioni dagli attacchi informatici, ha svelato come nel mirino dei cyber-attacchi ci siano i dati sanitari. Nel 2018, il numero di casi censiti a livello globale, orientati soprattutto a finalità di cybercrime e di furto di dati personali, è aumentato del 99% rispetto al 2017.

Il furto del dato sanitario consente ai pirati informatici di raccogliere informazioni sempre più personali degli utenti e di realizzare profili sempre più fedeli al fine di colpirli con specifiche iniziative illecite. A prescindere dalla truffa, però, si ricordi che la violazione del dato sanitario può tradursi in una lesione della riservatezza dell’interessato, il quale potrebbe aver scelto di tenere per sé le informazioni sul suo stato di salute, senza contare le ripercussioni in termini di discriminazione che potrebbero prodursi socialmente. Ma non è tutto.

Sembra che a valere di più nel mercato nero siano i dati dei medici, venduti anche per 500 dollari, intendendosi per tali i certificati di laurea in medicina, documenti amministrativi e ogni altro attestato che l’acquirente può utilizzare per spacciarsi per il dottore in questione e commettere frodi ai danni, ad esempio, del sistema assicurativo. Gli hacker, infatti, una volta impossessatisi dei dati dei professionisti sanitari, possono utilizzarli per creare delle false ricette mediche, in poche parole per sostituirsi a questi, con ogni conseguente rischio per i pazienti interessati.

A fronte di tale evidenza, il tema vero è quello della vulnerabilità delle strutture sanitarie: questi studi hanno infatti testato l’estrema facilità con cui si riesce a compromettere i sistemi informatici. In Italia, in particolare, manca trasparenza in merito alle misure di sicurezza, tecniche ed organizzative, adottate per garantire un adeguato livello di efficienza dei sistemi e l’adeguamento delle aziende sanitarie al GDPR è stato erroneamente interpretato come un requisito di forma.

Sul punto, e sulla criticità del tema, si è espresso anche il Garante per la protezione dei dati personali nell’ultima relazione annuale: “La carente sicurezza dei dati sanitari e dei sistemi che li ospitano può rappresentare una causa di malasanità”, ha avvertito Soro.