Dati personali, violazioni, casistica e sanzioni in ambito sanitario

Dati personali, violazioni, casistica e sanzioni in ambito sanitario

Qui tratteremo le casistiche relative alle violazioni dei dati personali in ambito sanitario.

Analizzeremo le fonti di rischio che possono essere legate:
– al ransomware,
– all’esfiltrazione dei dati,
– all’errore umano,
– al furto di dispositivi,
– furto di documenti cartacei,
– errato invio di corrispondenza,
– infine all’ingegneria sociale.

Verranno esaminati gli obblighi previsti dal GDPR in caso di data breach, in particolare la notifica al garante entro 72 ore dalla scoperta dell’evento e l’inserimento nel registro delle violazioni.

Infine, saranno presentati alcuni casi, indicando il titolare, la data della notifica e la sanzione comminata dal GPDP.

 

Ma prima facciamo un pò di chiarezza

Questo è l’elenco dei dati personali:

– dati anagrafici

– dati di contatto @ – mobile

– codici identificativi CF PIva

– profili di accesso

– log di accesso

– immagini / foto

– vita privata

– informazioni economiche/finanziarie

– dati geolocalizzazione

– dati biometrici e genetici

– dati sanitari

– dati giudiziari

– opinioni politiche/filosofiche/religiose

– origine razziale/etnica

– appartenenza a partiti, sindacati

– orientamento a vita sessuale

 

Quando si parla di Violazione di dati personali o Data Breach?

Se comporta accidentalmente o in modo illecito:

– la distruzione

– la perdita

– la modifica

– la divulgazione non autorizzata

– l’accesso

a dati personali

 

E ora vediamo la casistica in ambito sanitario

In dettaglio

– attacchi informatici subiti da strutture

– attacco che ha comportato la pubblicazione su twitter di immagini radiologiche

– spedizione/consegna in formato cartaceo di documentazione sanitaria a persona diversa

– erroneo inserimento all’interno delle copie di cartelle cliniche di referti appartenenti a soggetti diversi

– smarrimento di documentazione sanitaria

– invio di comunicazioni in CC invece che in CCN

– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

Casistica in dettaglio

Ransomware

Attacchi di esfiltrazione dei dati

  • Esfiltrazioni dei dati delle domande di impiego da un sito web
  • Esfiltrazione da un sito web di password sottoposte ad hashing
  • Attacco del tipo credential stuffing su un sito bancario

Fonte di rischio interne legate a fattore umano

  • Esfiltrazione di dati aziendali da parte di un dipendente
  • Trasmissione accidentale di dati a un terzo fidato

Smarrimento e furto di dispositivi o di documenti cartacei

  • Furto di supporti sui quali sono memorizzati dati personali cifrati
  • Furto di supporti sui quali sono memorizzati dati personali non cifrati
  • Furto di fascicoli cartacei contenenti dati particolari

Errato invio di corrispondenza

  • Errore nella corrispondenza postale
  • Dati personali altamente riservati inviati erroneamente per posta elettronica
  • Dati personali inviati per errore tramite posta elettronica
  • Errore nell’invo di corrispondenza postale

Ingegneria sociale

  • Furto d’identità
  • Esfiltrazione di email

– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

Ed ora vediamo le principali casistiche relative al ransomware trattando il tipo di evento ed i relativi obblighi previsti dal GDPR

– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

La notifica al garante deve essere fatta entro 72 ore dalla scoperta dell’evento mediante apposito modulo online che contenga determinate informazioni

E comunque il data breach va inserito nel proprio registro delle violazioni

– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

Infine vediamo alcuni casi, riportando il Titolare, la data in cui è avvenuta la notifica e la sanzione che è stata cominata dal GPDP

Infine consigliamo di approfondire a questo link il caso in cui il Garante Privacy ha recentemente sanzionato tre ASL friulane per illecita profilazione degli utenti

 

(fonte Daniela Redolfi D.P.O. Red Der)