Negli ultimi anni, il settore sanitario è diventato sempre più dipendente dalla tecnologia che se da un lato ha portato a garantire una migliore cura dei pazienti dall’altro ha condotto un aumento delle violazioni dei loro dati.
Le informazioni sanitarie sono estremamente delicate tanto è vero che godono di una forma di tutela specifica così come previsto dall’art 9 del G.D.P.R. Il motivo è semplice la divulgazione non autorizzata di queste informazioni espone gli interessati a rischi elevatissimi nei casi più gravi, le minacce soprattutto quelle informatiche possono avere delle conseguenze devastanti non solo sui sistemi sanitari ma anche sulla salute dei pazienti.
Indice
I Data Breach nel settore sanitario
Ricordiamo innanzitutto che il cosiddetto data breach è una violazione della riservatezza, integrità e/o disponibilità delle informazioni disciplinato rispettivamente dagli artt.33–34 del G.D.P.R . Le cause principali di questi incidenti di sicurezza sono rappresentate soprattutto da errori umani, attacchi intenzionali o dalla mancata adozione di misure tecniche e organizzative adeguate (art. 32 G.D.P.R).
L’impatto di una violazione comporta in primo luogo la lesione dei diritti e le libertà degli interessati. Ma può anche determinare complicazioni legali, finanziarie, di reputazione e perdita di fiducia nonché di risorse.
Questi rischi si amplificano quando il bersaglio è il settore sanitario
Gli studi dimostrano che è proprio il settore sanitario in Italia a essere tra i principali obiettivi degli attacchi informatici, il motivo è chiaro: basti pensare all’effetto degli attacchi sui soggetti interessati e il clamore mediatico che può avere una paralisi dei servizi ospedalieri.
In aggiunta a ciò, è opportuno considerare che gli ospedali spesso archiviano ed elaborano una considerevole quantità di informazioni estremamente delicate e riservate sui pazienti, le quali possono essere agevolmente commercializzate o utilizzate per ottenere un elevato riscatto. I dati contenuti nelle cartelle cliniche sono tra le informazioni più ricercate nel dark web, con potenziali acquirenti disposti a pagare elevate somme di denaro per una sola cartella. All’interno di tali documenti si trovano, infatti, informazioni altamente confidenziali, dati finanziari e altre informazioni sfruttabili per commettere reati come furto d’identità e frode.
IL ransomware che ha colpito ASL 1 dell’Abruzzo
E di pochi mesi fa la notizia della più gravi violazioni della privacy mai avvenute in Italia.
Sono finiti online circa 522 gigabyte di dati sanitari sottratti dai cybercriminali del gruppo Monti all’Asl 1 dell’Abruzzo che è stata vittima di un attacco ransomware reso noto nel pomeriggio del 3 maggio.
“Il ransomware è un programma informatico dannoso (“malevolo”) che può “infettare” un dispositivo digitale (PC, tablet, smartphone, smart TV), bloccando l’accesso a tutti o ad alcuni dei suoi contenuti (foto, video, file, ecc.) per poi chiedere un riscatto (in inglese, “ransom”) da pagare per “liberarli” (Dal sito del Garante Privacy “Attenzione al ransomware. Il programma che prende “in ostaggio” il tuo dispositivo”)
Nelle cartelle diffuse dal gruppo hacker erano presenti dati personali estremamente delicati: analisi genetiche, valutazioni psicologiche di minori, cartelle cliniche di persone affette da Hiv, documenti del reparto di neonatologia o di quello di trapianti. Oltre alle informazioni dei dipendenti dell’azienda sanitaria locale di Avezzano, Sulmona e L’Aquila, documenti riconducibili ad appalti pubblici e acquisti, password e chiavi di accesso ai sistemi informatici.
Si stanno ancora stimando i danni derivati dall’attacco. Il Garante ha inoltre dato un ultimatum all’Asl per la notifica a tutti i soggetti interessati.non ritenendo adeguate le misure intraprese dall’Azienda di informare efficacemente tutti gli interessati, specialmente quelli per cui il rischio è stato valutato come “critico” o “alto”.
Oltre al blocco delle attività dell’intera ALS, i danni finanziari, reputazionali è da incubo pensare al potenziale scenario in cui ad essere le vittime dei cybercriminali siano proprio i pazienti. Pensiamo ad esempio a un paziente portatore di pacemaker che si trovasse ad essere minacciato di essere colpito da bombardamenti magnetici generati a distanza se non acconsentisse alle richieste dei criminali.
L’auspicio è che accadimenti come questi portino il settore sanitario sia privato che pubblico a compiere una seria riflessione sugli standard di sicurezza che devono essere garantiti sulla protezione dei dati personali e sulla privacy delle persone quando si tratta della loro salute.
L’errore umano
Gli attacchi informatici sebbene siano all’ordine del giorno nel settore sanitario non sono l’unica causa di data breach il Report annuale di IBM “Cost of Data Breach Report 2022” ha rilevato che Il 21% dei data breach è causato da errori umani.
E’ derivato da un mero errore commesso dal personale addetto all’accettazione del Pronto soccorso la violazione dei dati che ha portato il Garante a intimare a Eurosanità S.p.a di cui fa parte anche il Policlinico Casilino, il pagamento di una sanzione di 120.000 €. Nello specifico il caso riguardava un individuo che ha presentato un reclamo all’Autorità Garante, sostenendo di essere stato contattato da una persona con lo stesso nome che affermava di aver ricevuto per errore la sua cartella clinica. I risultati delle indagini hanno rilevato che l’omonimo del soggetto reclamante era stato ricoverato presso il Policlinico Casilino e che i dati relativi alla sua prestazione sanitaria erano stati inseriti erroneamente dal personale incaricato nella cartella clinica del reclamante, il quale era stato ricoverato per un infarto in un periodo diverso. In base a tali circostanze, il Garante ha ritenuto che la Società abbia violato il principio di esattezza, integrità e riservatezza dei dati personali (art. 5 par. 1, lett. d) e f) G.D.P.R), nonché i principi di base del trattamento dei dati relativi alla salute, senza un idoneo presupposto giuridico e in violazione degli obblighi di sicurezza previsti dal GDPR. (V. nostro approfondimento Il fattore umano nei Data Breach: il comportamento dei dipendenti critico per il G.D.P.R).
In che modo i Titolari del trattamento possono proteggere i dati dei pazienti?
Una volta compreso che la protezione dei dati personali dei pazienti dovrebbe essere una priorità assoluta per le organizzazioni del settore sanitario, vediamo quali sono le misure che consentono ai Titolari del trattamento di proteggere i dati personali e difendersi da eventuali violazioni.
Conclusioni
Le ripercussioni delle violazioni, come abbiamo osservato, possono essere devastanti, anche a livello di danno all’immagine.
Le strutture ospedaliere dovrebbero adottare un approccio proattivo e preventivo verso la sicurezza dei propri sistemi informatici al fine di garantire una protezione adeguata, fin dalla fase di progettazione del sistema, non solo dei dati sanitari ivi conservati, ma anche dell’efficienza dei servizi stessi, riducendo il rischio di mettere a repentaglio la salute del paziente.
Consapevolezza, formazione e investimenti sui sistemi e personale specializzato sono l’elementi chiave.
È comprensibile che non sia semplice possedere una conoscenza approfondita di tutte le normative sulla privacy e valutare attentamente i propri comportamenti per evitare violazioni. Tuttavia, è possibile fare affidamento su professionisti esperti in grado di analizzare la situazione specifica e garantire che le azioni intraprese siano conformi ai principi delle leggi italiane ed europee in materia di privacy. Non dimentichiamo inoltre che nell’ambito sanitario nella strgrande maggioranza dei casi i Titolari del trattamento devono affidarsi alla figura del DPO. Noi come Studio possiamo offrirvi questo tipo di supporto.