NEWS

Finlandia: clinica psichiatrica nel 2018 omette notifica di un data breach ma la sanzione arriva dopo che ha cessato l’attività

A partire da dicembre 2018, il Centro di Psicoterapia Vastaamo era rimasto vittima di alcuni attacchi informatici da parte di hacker che erano riusciti a trafugare i dati di almeno 22mila interessati, e qualche tempo dopo clienti e dipendenti della clinica avevano iniziato a ricevere messaggi di tentativi di estorsione da parte dei cybercriminali che chiedevano loro un riscatto per non divulgare le loro informazioni sensibili.

In caso di violazione dei dati personali il titolare del trattamento deve notificare il data breach entro 72 ore dal momento in cui ne viene a conoscenza

Nonostante siano trascorsi oltre tre anni, da allora gli autori del reato non sono ancora stati né arrestati né puniti in qualche altro modo dalla giustizia, e anche se quello che era considerato uno dei più grandi centri di psicoterapia della Finlandia ha ricevuto adesso una pesante sanzione amministrativa per l’inadeguatezza delle sue misure di sicurezza tecniche ed organizzative, non pagherà a quanto pare un solo centesimo, perché nel frattempo ha chiuso i battenti a febbraio 2021.

Secondo l’autorità di controllo finlandese (Office of the Data Protection Ombudsman), le violazioni della sicurezza dei dati personali hanno avuto luogo nel periodo compreso tra il 20 dicembre 2018 e il 15 marzo 2019, e il Centro di Psicoterapia Vastaamo avrebbe dovuto farne notifica allo stesso garante entro 72 ore dal 15 marzo 2019 quando ne era venuto a conoscenza, informando a seguire anche gli interessati come previsto dall'art. 34 del Gdpr, ma invece non aveva documentato la violazione della sicurezza come richiesto dal Regolamento UE sulla protezione dei dati personali.

E durante le indagini svolte dall’autorità era pure emerso che la valutazione d'impatto effettuata dalla clinica non soddisfaceva i requisiti dell'art. 35 del Gdpr, non essendo così in grado di dimostrare di aver trattato i dati in conformità al principio di integrità e riservatezza e determinando di conseguenza un trattamento illecito ai sensi dell'art. 5 del Regolamento europeo.

Una clinica psichiatrica nel 2018 viola il Gdpr e riceve la sanzione solo adesso, ma nel frattempo ha cessato l’attività.

Considerata la gravità delle infrazioni e tenuto conto del rilevante numero degli interessati coinvolti, nonché dei danni da essi subìti a causa del tempo trascorso da quando era avvenuto il data breach senza la possibilità di adottare delle contromisure per proteggersi in quanto non erano stati avvertiti dei pericoli che stavano correndo a seguito del furto dei loro dati personali, l’Ombudsman finlandese ha quindi deciso di irrogare una sanzione per violazioni multiple degli articoli 33, 34, e 5 del Gdpr per un ammontare complessivo di 608.000 euro, cifra che sarà però ardua da riscuotere in quanto nel frattempo la clinica ha cessato la propria attività.

Note Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati personali, iscritta presso il Ministero dello Sviluppo Economico ai sensi della Legge 4/2013. Email: urp@federprivacy.org 

Prev San Marino: l'autorità per la privacy sanziona Facebook per 5 milioni di euro
Next Bulgaria: rinvio pregiudiziale alla Corte di Giustizia dell'UE sulla vicenda del data breach dell'Agenzia nazionale delle Entrate

Umberto Rapetto: più tutelati con Gdpr ma non bisogna abbassare la guardia

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy