Quasi mezzo milione di pazienti avevano visto svanire in un attimo tutte le speranze di mantenere la privacy sul proprio stato di salute con le proprie informazioni mediche che erano state diffuse su internet, tra cui dati particolarmente delicati su sieropositivà Hiv, tumori, malattie genetiche, gravidanze, e anche trattamenti farmacologici e dati genetici, in un massivo data breach che aveva coinvolto la Dedalus nel febbraio 2021. A distanza di circa un anno, arriva una sanzione da 1,5 milioni di euro per la nota società informatica che è il principale fornitore di software sanitari e diagnostici in Europa e uno dei maggiori nel mondo.
Non aver impedito che i dipendenti potessero “sbirciare” il dossier sanitario dei colleghi costerà ad un’azienda ospedaliera 30.000 euro. A tanto ammonta la sanzione comminata dal Garante privacy per tre violazioni di dati personali comunicate all’Autorità dallo stesso ospedale a conclusione di normali controlli periodici. Gli accessi indebiti hanno riguardato dati sanitari di dipendenti in cura presso lo stesso nosocomio.
Una società farmaceutica inglese che fornisce medicinali a clienti e case di cura teneva giacenti all'aperto nel retro della propria sede circa 500mila documenti contenenti dati sanitari, lasciandoli esposti alle intemperie e per questo danneggiati e bagnati, ma il Garante per la privacy inglese non ha mostrato alcuna indulgenza, infliggendo una multa di 275.000 sterline, corrispondente a un importo di oltre 322mila euro.
Nei giorni scorsi un attacco hacker con richiesta di riscatto (ransomware) era stato lanciato contro i sistemi informatici della Regione Basilicata, creando difficoltà nel sistema sanitario regionale. Il 1° febbraio la direzione dell'ASP ha comunicato "a seguito dell’accidentale ed imprevedibile evento informatico potrebbe verificarsi una violazione di dati personali (anche sensibili) degli utenti.
Se finora gli attacchi hacker sembravano quasi tutti concentrati verso il sistema bancario e finanziario, con la plausibile spiegazione di una maggiore facilità di monetizzare le informazioni trafugate riguardanti carte di credito e credenziali di accesso ai conti online degli utenti, recentemente pare che le informazioni sanitarie rappresentino la nuova frontiera del grande business (lecito e illecito) dei dati.
Il Garante privacy ha comminato due sanzioni per complessivi 300mila euro a una nota società che produce dispositivi medici per il monitoraggio, la prevenzione e il trattamento di diverse patologie.
Meta, un ospedale e un’organizzazione non-profit sono state denunciate da alcuni utenti statunitensi per aver raccolto illegalmente dati sanitari, successivamente utilizzati per visualizzare inserzioni personalizzate su Facebook. Si tratta di un’enorme violazione della privacy attuata sfruttando il codice che l’azienda di Menlo Park offre agli sviluppatori per monitorare le attività dei visitatori sui siti web. La class action è stata presentata presso un tribunale della California.
Ha combinato un bel pasticcio un’azienda farmaceutica che doveva mandare delle informazioni sanitarie ad un paziente, perché nella fase di invio tramite posta elettronica, tra i destinatari non ha inserito solo il diretto interessato, ma anche altre 1.870 persone che non avrebbero dovuto venire a conoscenza delle informazioni riservate contenute nella comunicazione, e soprattutto delle refertazioni che erano allegate alla mail, dato che la farmaceutica neanche si era preoccupata di impostare un pin o una password per consentire l’accesso al file pdf solo all’unico che ne era legittimato, così che in barba ad ogni tutela della privacy chiunque dei destinatari poteva curiosare nella documentazione dello stato di salute dello sventurato paziente.
Il Fascicolo Sanitario Elettronico richiede il consenso esplicito dell'interessato. I dati sanitari sono delicatissimi e meritano il più alto grado di protezione. Lo ha specificato il Garante della privacy nel provvedimento n. 55 del 7 marzo 2019 (Chiarimenti sull'applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario).
Il Garante Privacy ha notificato a 18 Regioni e alle Province autonome di Bolzano e Trento l’avvio di procedimenti correttivi e sanzionatori per le numerose violazioni riscontrate nell’attuazione della nuova disciplina sul FSE 2.0, introdotta con il decreto del Ministero della salute del 7 settembre 2023.
