NEWS

 
  • Home
  • Informazione
  • Primo Piano
  • Fra Big Data e ChatGPT: nuovi rischi sulla privacy e nuove responsabilità per i Data Protection Officer

Attacchi cyber alle ASL: come gestire correttamente la comunicazione del data breach ai pazienti

Gli attacchi informatici al sistema sanitario nazionale rappresentano una delle minacce più concrete e pericolose per la protezione dei dati personali in Italia. I recenti provvedimenti del Garante Privacy nei confronti di diverse ASL vittime di cyber attacchi offrono importanti spunti operativi per comprendere come gestire correttamente la comunicazione di una violazione dei dati agli interessati, evidenziando gli errori da evitare e le best practice da seguire.

L'articolo 34 del GDPR impone al titolare del trattamento di comunicare la violazione dei dati personali agli interessati quando sussiste un rischio elevato per i diritti e le libertà delle persone fisiche. Nel settore sanitario, dove vengono trattate categorie particolari di dati come quelli relativi alla salute, questo obbligo assume una rilevanza ancora maggiore. La natura sensibile delle informazioni sanitarie rende infatti qualsiasi violazione potenzialmente molto dannosa per gli interessati, non solo dal punto di vista patrimoniale ma anche sotto il profilo della dignità personale e della riservatezza.

Il Garante ha chiarito nei suoi recenti provvedimenti che la comunicazione deve essere effettuata "senza ingiustificato ritardo" e deve contenere informazioni chiare e precise sulla natura della violazione, le categorie di dati coinvolti, le probabili conseguenze e le misure adottate o che si intendono adottare per porre rimedio alla violazione. La trasparenza e la tempestività diventano quindi elementi essenziali per una corretta gestione del data breach.

L'analisi dei casi recenti evidenzia alcune criticità ricorrenti nella gestione della comunicazione agli interessati. Una delle violazioni più frequenti riguarda la modalità di comunicazione adottata. Molte ASL si limitano a pubblicare comunicati generici sui propri siti web istituzionali, ritenendo erroneamente che questa forma di comunicazione sia sufficiente per assolvere agli obblighi previsti dal GDPR.

Il Garante ha chiarito che la mera pubblicazione sul sito web non può considerarsi una comunicazione diretta agli interessati, specialmente quando i soggetti coinvolti sono facilmente identificabili e raggiungibili attraverso i sistemi informatici dell'ASL. La comunicazione deve essere personalizzata e diretta, utilizzando i canali di contatto già in possesso dell'ente sanitario, come l'indirizzo email o il recapito postale presente nel fascicolo sanitario del paziente.

Un'altra criticità frequente riguarda la tempistica della comunicazione. Spesso le ASL attendono la conclusione delle indagini tecniche per comunicare la violazione agli interessati, ma il GDPR richiede una comunicazione tempestiva, indipendentemente dallo stato di avanzamento delle verifiche interne. Il ritardo nella comunicazione viene considerato dal Garante come un'aggravante, poiché impedisce agli interessati di adottare tempestivamente le misure necessarie per tutelare i propri diritti.

La comunicazione agli interessati deve essere redatta in linguaggio chiaro e comprensibile, evitando tecnicismi eccessivi che potrebbero rendere difficile la comprensione da parte dei pazienti. Il Garante ha sottolineato l'importanza di specificare con precisione quali dati sono stati compromessi, distinguendo tra dati anagrafici, codici fiscali, informazioni sanitarie e altri elementi del fascicolo del paziente.

È fondamentale indicare anche le probabili conseguenze della violazione, spiegando agli interessati quali rischi concreti potrebbero derivare dalla compromissione dei loro dati. Nel caso di dati sanitari, occorre specificare se sussiste il rischio di furto di identità, di utilizzo improprio delle informazioni sanitarie o di altre forme di danno alla reputazione o alla dignità personale.

La comunicazione deve inoltre contenere informazioni precise sulle misure adottate per contenere la violazione e prevenire ulteriori compromissioni. Gli interessati hanno il diritto di conoscere quali azioni concrete sono state intraprese dall'ASL per ripristinare la sicurezza dei sistemi e garantire la protezione dei dati residui.

Per gestire correttamente un data breach, le ASL devono dotarsi di procedure organizzative chiare e tempestive. È essenziale predisporre modelli di comunicazione standardizzati che possano essere rapidamente personalizzati in base alle specifiche caratteristiche della violazione. Questi modelli devono essere pre-approvati dal DPO e dal vertice aziendale per evitare ritardi nella fase di emergenza.

La costituzione di un team di crisis management multidisciplinare, che includa competenze legali, tecniche e comunicative, rappresenta un elemento fondamentale per una gestione efficace dell'emergenza. Questo team deve essere in grado di valutare rapidamente l'entità della violazione, identificare gli interessati coinvolti e predisporre le comunicazioni necessarie nel più breve tempo possibile.

È inoltre fondamentale mantenere una documentazione dettagliata di tutte le attività svolte, dalle prime verifiche tecniche alle comunicazioni inviate agli interessati. Questa documentazione sarà essenziale per dimostrare al Garante la correttezza e la tempestività delle azioni intraprese, costituendo un importante elemento di valutazione ai fini dell'eventuale irrogazione di sanzioni.

La gestione di un data breach richiede, inoltre, un coordinamento efficace con diverse autorità. Oltre alla notificazione obbligatoria al Garante Privacy entro 72 ore dalla scoperta della violazione, può essere necessario informare anche la Polizia Postale, l'Agenzia per la Cybersicurezza Nazionale e altre autorità competenti a seconda delle circostanze specifiche dell'attacco e nel rispetto anche di altre disposizioni normative (ad esempio NIS 2).

Il rapporto con il Garante deve essere caratterizzato dalla massima trasparenza e collaborazione. È importante fornire tutte le informazioni richieste nei tempi stabiliti, evitando risposte evasive o incomplete che potrebbero essere interpretate come scarsa cooperazione con l'Autorità. La documentazione prodotta deve essere precisa e verificabile, poiché false dichiarazioni potrebbero configurare violazioni aggiuntive ai sensi dell'articolo 168 del Codice Privacy.

Note sull'Autore

Michele Iaselli Michele Iaselli

Coordinatore del Comitato Scientifico di Federprivacy. Avvocato, docente di logica ed informatica giuridica presso l’Università degli Studi di Napoli Federico II. Docente a contratto di informatica giuridica presso LUISS - dipartimento di giurisprudenza. Specializzato presso l'Università degli Studi di Napoli Federico II in "Tecniche e Metodologie informatiche giuridiche". Presidente dell’Associazione Nazionale per la Difesa della Privacy. Funzionario del Ministero della Difesa - Twitter: @miasell

Articoli correlati

Prev Concorso per l'assunzione di 90 laureati all'Agenzia per la Cybersicurezza Nazionale
Next Necessario rispettare la privacy del condòmino moroso quando i suoi dati vengono comunicati al legale incaricato per il recupero del credito

Galleria Video

Il presidente di Federprivacy a Rai Parlamento

Cerca Delegato

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Newsletter

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy

Federprivacy sui social

Argomenti in evidenza