Come ogni anno, il Garante per la Protezione dei Dati Personali ha pubblicato la relazione annuale sull’attività svolta.
L’edizione 2024 conferma il ruolo centrale dell’Autorità in un contesto segnato da innovazione tecnologica e crescente digitalizzazione dei servizi, pubblici e privati.
In questo contributo ci concentriamo sui casi più rilevanti in ambito sanitario, adottando la consueta prospettiva della lesson learned: partire dagli errori sanzionati per individuare buone prassi da seguire.
Indice
La relazione del Garante in breve
I numeri:
-
2.204 data breach notificati (498 da soggetti pubblici – tra cui strutture sanitarie – e 1.706 da privati)
-
835 provvedimenti collegiali, di cui 468 correttivi o sanzionatori
-
oltre 24 milioni di euro di sanzioni comminate
-
130 ispezioni su temi come SPID, riconoscimento facciale e nuove tecnologie
-
circa 94.000 segnalazioni, 4.090 reclami e oltre 16.000 quesiti ricevuti dal pubblico
I temi di rilievo:
-
Innovazione e tecnologie emergenti: IA generativa, modello “pay or ok”, web scraping per l’addestramento degli algoritmi. La sfida è bilanciare progresso e tutela dei dati personali.
-
Telemarketing: linea dura contro pratiche aggressive, con sanzioni rilevanti e iniziative di sensibilizzazione.
-
Sanità digitale: attenzione a dossier sanitari elettronici, telemedicina e intelligenza artificiale, con indicazioni per garantire conformità normativa e protezione dei diritti.
Misure di sicurezza
Gran parte dei data breach derivano da misure di sicurezza inadeguate o da rilevazioni tardive di comportamenti anomali.
Le strutture sanitarie si stanno adeguando alla direttiva NIS 2, partendo da un’analisi “as is” delle misure esistenti per pianificare gli interventi futuri.
[Per un approfondimento vedi: Politiche di sicurezza: strategie per la governance del rischio cyber]
Tra le buone pratiche segnalate dal Garante nel 2024:
-
XDR e monitoraggio dei firewall: strumenti che rilevano e neutralizzano tempestivamente minacce esterne.
-
Segmentazione e segregazione delle reti: utile a isolare le minacce, ridurre i danni e controllare meglio gli accessi.
-
EDR (Endpoint Detection and Response) e XDR (Extended Detection and Response) e adozione di un Security Information and Event Management (SIEM): monitoraggio avanzato degli endpoint e correlazione dei log per una visione completa degli eventi di sicurezza.
Infine In diversi provvedimenti il garante ha suggerito al Titolare del trattamento di passare ad una autenticazione a due fattori. Il semplice accesso con user e password è un sistema considerato debole e con notevoli vulnerabilità. L’autenticazione a due fattori garantisce l’identità di chi accede ai dati e alle risorse.
Invio dati via mail all’indirizzo sbagliato: quando basta un clic a violare la privacy
L’uso dell’email nelle comunicazioni Struttura Sanitaria – paziente è tanto semplice quanto facile a errore.
L’uso dell’e-mail nelle comunicazioni tra Strutture sanitarie e pazienti è tanto immediato quanto esposto a errori.
Numerosi i casi sanzionati per l’invio di dati a più destinatari utilizzando i campi “A” o “CC” anziché “CCN” (copia conoscenza nascosta).
Un accorgimento apparentemente banale, ma che consente di tutelare la riservatezza dei destinatari e di semplificare la gestione delle risposte.
Sulla sicurezza della posta elettronica, si segnala anche un interessante documento pubblicato in questi giorni dall’ACN (Agenzia per la Cybersicurezza nazionale) ha pubblicato un “framework di autenticazione per la posta elettronica” che suggerisce le misure di sicurezza per proteggere l’email, diventato strumento di base per tutte le Aziende, sanitarie e non.
Tra i provvedimenti adottati, uno merita particolare attenzione.
Un medico convenzionato di un’Azienda sanitaria, in una comunicazione relativa alla riduzione dell’orario di servizio, ha inviato via e-mail a 15 destinatari interni ed esterni (tra cui l’Ordine dei medici) un allegato contenente dati personali e sanitari dei pazienti (nome, cognome, data di nascita, residenza, prestazione ricevuta, codice di esenzione, codice fiscale, numero di telefono, ecc.). L’invio è avvenuto in chiaro e senza alcuna protezione (provv. 12 dicembre 2024, n. 770, doc. web n. 10102444).
In questo modo la struttura sanitaria, attraverso il comportamento del medico, ha violato la riservatezza dei pazienti, trasmettendo informazioni sul loro stato di salute a terzi senza un valido presupposto giuridico né adeguate istruzioni o autorizzazioni.
Se, tuttavia, il documento fosse stato protetto da password, l’errore non avrebbe comportato la divulgazione dei dati: i destinatari, infatti, non avrebbero potuto leggerne il contenuto.
Oggi molte Strutture sanitarie, così come diverse cooperative socio-assistenziali, impongono la protezione con password dei documenti contenenti dati sensibili destinati a soggetti esterni. In alcuni casi si cerca di estendere questa misura anche allo scambio di informazioni tra Strutture e AUSL o ASP, ma permangono resistenze nei confronti di quella che, di fatto, rappresenta una misura semplice ed efficace per garantire la riservatezza dei pazienti.
Consegna di referti e ricette
Non mancano casi singolari: un medico lasciava ricette in una cassetta postale e in un contenitore metallico all’esterno dello studio, liberamente accessibili. Il Garante lo ha sanzionato, ricordando che già in epoca emergenziale erano state introdotte modalità semplificate per ottenere i promemoria dematerializzati o i numeri di ricetta elettronica, proprio per evitare simili rischi.
Sui referti on line c’è ancora molta confusione. Lo stesso Garante nel 2024 ha sanzionato un laboratorio che ha inviato un referto via e-mail a un indirizzo errato, senza alcuna protezione (senza password). Nonostante l’immediata rimozione e cancellazione dei dati da parte dell’errato destinatario, il Garante ha comunque irrogato una sanzione, rideterminata sulla base delle azioni correttive attivate (procedure migliorative) (provv. 17 ottobre 2024, n. 620, doc. web n. 10074551).
L’importanza delle deleghe
Il Garante ha sanzionato un medico di medicina generale che aveva consegnato documentazione sanitaria, in busta chiusa, al marito della paziente senza una delega scritta.
Già dal 1997 l’Autorità aveva chiarito che il ritiro di referti da parte di terzi è consentito solo con delega formale e consegna in busta chiusa, indicazione ribadita anche in successivi provvedimenti. Nel caso specifico è stata accertata la violazione dei principi di integrità e riservatezza e degli obblighi di sicurezza (provv. 12 settembre 2024, n. 548, doc. web n. 10064128).
Quando una delega è valida?
Per il ritiro di referti o altra documentazione sanitaria da parte di un soggetto diverso dall’interessato, la delega scritta è lo strumento che consente di conciliare esigenze pratiche e tutela della riservatezza.
Una delega può considerarsi valida se:
- è conferita per iscritto dall’interessato, con data e firma autografa (o firma elettronica qualificata, se in formato digitale)
- contiene gli elementi essenziali, ovvero: i dati identificativi del delegante e del delegato (nome, cognome, eventualmente documento di identità), l’indicazione specifica dell’atto o documento da ritirare (es. “referto di analisi cliniche del …”) ed eventuali limiti temporali o circostanziati (es. vale solo per un ritiro, o entro una certa data);
- è accompagnata da un documento di identità del delegante (fotocopia o scansione) per permettere alla struttura di verificare l’autenticità della delega.
Il ritiro deve comunque avvenire con modalità idonee a garantire la riservatezza: di norma, consegna in busta chiusa e senza accesso ad altre informazioni non pertinenti.
