Finlandia: clinica psichiatrica nel 2018 omette notifica di un data breach ma la sanzione arriva dopo che ha cessato l’attività
A partire da dicembre 2018, il Centro di Psicoterapia Vastaamo era rimasto vittima di alcuni attacchi informatici da parte di hacker che erano riusciti a trafugare i dati di almeno 22mila interessati, e qualche tempo dopo clienti e dipendenti della clinica avevano iniziato a ricevere messaggi di tentativi di estorsione da parte dei cybercriminali che chiedevano loro un riscatto per non divulgare le loro informazioni sensibili.
Nonostante siano trascorsi oltre tre anni, da allora gli autori del reato non sono ancora stati né arrestati né puniti in qualche altro modo dalla giustizia, e anche se quello che era considerato uno dei più grandi centri di psicoterapia della Finlandia ha ricevuto adesso una pesante sanzione amministrativa per l’inadeguatezza delle sue misure di sicurezza tecniche ed organizzative, non pagherà a quanto pare un solo centesimo, perché nel frattempo ha chiuso i battenti a febbraio 2021.
Secondo l’autorità di controllo finlandese (Office of the Data Protection Ombudsman), le violazioni della sicurezza dei dati personali hanno avuto luogo nel periodo compreso tra il 20 dicembre 2018 e il 15 marzo 2019, e il Centro di Psicoterapia Vastaamo avrebbe dovuto farne notifica allo stesso garante entro 72 ore dal 15 marzo 2019 quando ne era venuto a conoscenza, informando a seguire anche gli interessati come previsto dall'art. 34 del Gdpr, ma invece non aveva documentato la violazione della sicurezza come richiesto dal Regolamento UE sulla protezione dei dati personali.
E durante le indagini svolte dall’autorità era pure emerso che la valutazione d'impatto effettuata dalla clinica non soddisfaceva i requisiti dell'art. 35 del Gdpr, non essendo così in grado di dimostrare di aver trattato i dati in conformità al principio di integrità e riservatezza e determinando di conseguenza un trattamento illecito ai sensi dell'art. 5 del Regolamento europeo.
Considerata la gravità delle infrazioni e tenuto conto del rilevante numero degli interessati coinvolti, nonché dei danni da essi subìti a causa del tempo trascorso da quando era avvenuto il data breach senza la possibilità di adottare delle contromisure per proteggersi in quanto non erano stati avvertiti dei pericoli che stavano correndo a seguito del furto dei loro dati personali, l’Ombudsman finlandese ha quindi deciso di irrogare una sanzione per violazioni multiple degli articoli 33, 34, e 5 del Gdpr per un ammontare complessivo di 608.000 euro, cifra che sarà però ardua da riscuotere in quanto nel frattempo la clinica ha cessato la propria attività.
