Dati personali, violazioni, casistica e sanzioni in ambito sanitario
Qui tratteremo le casistiche relative alle violazioni dei dati personali in ambito sanitario.
Analizzeremo le fonti di rischio che possono essere legate:
– al ransomware,
– all’esfiltrazione dei dati,
– all’errore umano,
– al furto di dispositivi,
– furto di documenti cartacei,
– errato invio di corrispondenza,
– infine all’ingegneria sociale.
Verranno esaminati gli obblighi previsti dal GDPR in caso di data breach, in particolare la notifica al garante entro 72 ore dalla scoperta dell’evento e l’inserimento nel registro delle violazioni.
Infine, saranno presentati alcuni casi, indicando il titolare, la data della notifica e la sanzione comminata dal GPDP.
Ma prima facciamo un pò di chiarezza
Questo è l’elenco dei dati personali:
– dati anagrafici
– dati di contatto @ – mobile
– codici identificativi CF PIva
– profili di accesso
– log di accesso
– immagini / foto
– vita privata
– informazioni economiche/finanziarie
– dati geolocalizzazione
– dati biometrici e genetici
– dati sanitari
– dati giudiziari
– opinioni politiche/filosofiche/religiose
– origine razziale/etnica
– appartenenza a partiti, sindacati
– orientamento a vita sessuale
Quando si parla di Violazione di dati personali o Data Breach?
Se comporta accidentalmente o in modo illecito:
– la distruzione
– la perdita
– la modifica
– la divulgazione non autorizzata
– l’accesso
a dati personali
E ora vediamo la casistica in ambito sanitario
In dettaglio
– attacchi informatici subiti da strutture
– attacco che ha comportato la pubblicazione su twitter di immagini radiologiche
– spedizione/consegna in formato cartaceo di documentazione sanitaria a persona diversa
– erroneo inserimento all’interno delle copie di cartelle cliniche di referti appartenenti a soggetti diversi
– smarrimento di documentazione sanitaria
– invio di comunicazioni in CC invece che in CCN
– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –
Casistica in dettaglio
Ransomware
Attacchi di esfiltrazione dei dati
- Esfiltrazioni dei dati delle domande di impiego da un sito web
- Esfiltrazione da un sito web di password sottoposte ad hashing
- Attacco del tipo credential stuffing su un sito bancario
Fonte di rischio interne legate a fattore umano
- Esfiltrazione di dati aziendali da parte di un dipendente
- Trasmissione accidentale di dati a un terzo fidato
Smarrimento e furto di dispositivi o di documenti cartacei
- Furto di supporti sui quali sono memorizzati dati personali cifrati
- Furto di supporti sui quali sono memorizzati dati personali non cifrati
- Furto di fascicoli cartacei contenenti dati particolari
Errato invio di corrispondenza
- Errore nella corrispondenza postale
- Dati personali altamente riservati inviati erroneamente per posta elettronica
- Dati personali inviati per errore tramite posta elettronica
- Errore nell’invo di corrispondenza postale
Ingegneria sociale
- Furto d’identità
- Esfiltrazione di email
– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –
Ed ora vediamo le principali casistiche relative al ransomware trattando il tipo di evento ed i relativi obblighi previsti dal GDPR
– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –
La notifica al garante deve essere fatta entro 72 ore dalla scoperta dell’evento mediante apposito modulo online che contenga determinate informazioni
E comunque il data breach va inserito nel proprio registro delle violazioni
– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –
Infine vediamo alcuni casi, riportando il Titolare, la data in cui è avvenuta la notifica e la sanzione che è stata cominata dal GPDP
Infine consigliamo di approfondire a questo link il caso in cui il Garante Privacy ha recentemente sanzionato tre ASL friulane per illecita profilazione degli utenti
(fonte Daniela Redolfi D.P.O. Red Der)