Analisi del sangue su fogli Excel, dati sanitari di milioni di pazienti trovati online senza nessuna protezione
Milioni di informazioni sanitarie relative alle analisi del sangue dei pazienti venivano conservate per mesi in centinaia di fogli di calcolo Excel di grandi dimensioni e salvate in un’enorme copia cache online senza alcuna password o altra protezione all’interno di un contenitore virtuale ospitato su un web server di Amazon (AWS) accessibile da chiunque.
(Nell'immagine: uno dei fogli di calcolo Excel in cui erano conservati online senza protezione i dati sanitari dei pazienti della Dr Lal PathLabs)
Ogni foglio di calcolo conteneva vari dati sensibili, tra cui nome e cognome del paziente, l'indirizzo, il sesso, la data di nascita e il numero di cellulare, nonché i dettagli del test diagnostico effettuato, comprese in certi casi delle note aggiuntive relative al risultato della positività al Covid-19.
L’enorme archivio di dati sensibili apparteneva alla Dr Lal PathLabs, uno dei più grandi laboratori di analisi in India con sede a Nuova Delhi e quotato in borsa che è presente in 800 città con 2.000 centri di raccolta che servono circa 70.000 pazienti al giorno e oltre 10 milioni di pazienti all'anno.
A fare la scoperta del data breach è stato Sami Toivonen, un esperto di sicurezza informatica australiano che ha prontamente avvertito la Dr Lal PathLabs, la quale è corsa subito ai ripari bloccando l’accesso ai dati nel giro di poche ore.
Mentre in Europa i dati personali sono tutelati dal Gdpr, e in casi come questo che comportano rischi elevati per le persone il titolare del trattamento è tenuto a notificare la violazione all’Autorità di controllo entro 72 ore dal momento in cui ne viene a conoscenza e ad avvertire anche gli interessati, in India purtroppo non esistono ancora tutele concrete, anche se di recente qualche passo avanti è stato fatto.
Infatti, la Corte Suprema dell'India ha riconosciuto il diritto alla privacy come un diritto fondamentale dei cittadini ai sensi dell'articolo 21 della costituzione indiana, e l'11 dicembre 2019 è stato presentato in Parlamento anche un disegno di legge sulla protezione dei dati personali che si propone di allineare il regime indiano alla disciplina dell’UE, istituendo anche un’autorità di controllo simile al nostro Garante per la Privacy.
Tuttavia, la proposta è al centro di un acceso dibattito perché vi sono timori che la nuova legge sulla protezione dei dati personali, così come è stata proposta, anziché dare maggiori tutele ai cittadini possa invece rivelarsi come uno strumento di sorveglianza di massa nelle mani del governo indiano, per cui l’iter legislativo si è complicato più del previsto.