NEWS

Analisi del sangue su fogli Excel, dati sanitari di milioni di pazienti trovati online senza nessuna protezione

Milioni di informazioni sanitarie relative alle analisi del sangue dei pazienti venivano conservate per mesi in centinaia di fogli di calcolo Excel di grandi dimensioni e salvate in un’enorme copia cache online senza alcuna password o altra protezione all’interno di un contenitore virtuale ospitato su un web server di Amazon (AWS) accessibile da chiunque.

Uno stralcio dei fogli di calcolo della Dr Lal PathLabs contententi dati sanitari

(Nell'immagine: uno dei fogli di calcolo Excel in cui erano conservati online senza protezione i dati sanitari dei pazienti della Dr Lal PathLabs)

Ogni foglio di calcolo conteneva vari dati sensibili, tra cui nome e cognome del paziente, l'indirizzo, il sesso, la data di nascita e il numero di cellulare, nonché i dettagli del test diagnostico effettuato, comprese in certi casi delle note aggiuntive relative al risultato della positività al Covid-19.

L’enorme archivio di dati sensibili apparteneva alla Dr Lal PathLabs, uno dei più grandi laboratori di analisi in India con sede a Nuova Delhi e quotato in borsa che è presente in 800 città con 2.000 centri di raccolta che servono circa 70.000 pazienti al giorno e oltre 10 milioni di pazienti all'anno.

A fare la scoperta del data breach è stato Sami Toivonen, un esperto di sicurezza informatica australiano che ha prontamente avvertito la Dr Lal PathLabs, la quale è corsa subito ai ripari bloccando l’accesso ai dati nel giro di poche ore.

Mentre in Europa i dati personali sono tutelati dal Gdpr, e in casi come questo che comportano rischi elevati per le persone il titolare del trattamento è tenuto a notificare la violazione all’Autorità di controllo entro 72 ore dal momento in cui ne viene a conoscenza e ad avvertire anche gli interessati, in India purtroppo non esistono ancora tutele concrete, anche se di recente qualche passo avanti è stato fatto.

Nelle cartelle cliniche dei pazienti ci sono molti dati sensibili che vanno protetti

Infatti, la Corte Suprema dell'India ha riconosciuto il diritto alla privacy come un diritto fondamentale dei cittadini ai sensi dell'articolo 21 della costituzione indiana, e l'11 dicembre 2019 è stato presentato in Parlamento anche un disegno di legge sulla protezione dei dati personali che si propone di allineare il regime indiano alla disciplina dell’UE, istituendo anche un’autorità di controllo simile al nostro Garante per la Privacy.

Tuttavia, la proposta è al centro di un acceso dibattito perché vi sono timori che la nuova legge sulla protezione dei dati personali, così come è stata proposta, anziché dare maggiori tutele ai cittadini possa invece rivelarsi come uno strumento di sorveglianza di massa nelle mani del governo indiano, per cui l’iter legislativo si è complicato più del previsto.

Note Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati personali, iscritta presso il Ministero dello Sviluppo Economico ai sensi della Legge 4/2013. Email: urp@federprivacy.org 

Prev La Corte di Giustizia dell'Unione Europea boccia la raccolta indiscriminata dati personali
Next Dismissione non adeguata dei server della banca, sanzione da 60 milioni di dollari per Morgan Stanley

TV Nove Italia, Nicola Bernardi intervistato alla trasmissione 9X5

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy