NEWS

Dati sull'HIV e altre informazioni sulla salute diffuse online: privacy svanita per 500mila pazienti e maxi sanzione per la società informatica

Quasi mezzo milione di pazienti avevano visto svanire in un attimo tutte le speranze di mantenere la privacy sul proprio stato di salute con le proprie informazioni mediche che erano state diffuse su internet, tra cui dati particolarmente delicati su sieropositività Hiv, tumori, malattie genetiche, gravidanze, e anche trattamenti farmacologici e dati genetici, in un massivo data breach che aveva coinvolto la Dedalus nel febbraio 2021. A distanza di circa un anno, arriva una sanzione da 1,5 milioni di euro per la nota società informatica che è il principale fornitore di software sanitari e diagnostici in Europa e uno dei maggiori nel mondo.

Trafuga dati sanitari: sanzione da 1,5 milioni di euro alla società DEDALUS

Fin dall’inizio, il garante della privacy francese (Commission Nationale de l'Informatique et des Libertés) era intervenuto per indagare sull’accaduto effettuando vari controlli, e facendo anche bloccare l'accesso al sito su cui erano stati pubblicati i dati trapelati per cercare di limitare le conseguenze per le persone coinvolte.

Tra le varie violazioni contestate al termine dell’istruttoria, vi è anche quella dell'obbligo per il subappaltatore di rispettare le istruzioni fornite dal titolare del trattamento (art. 29 del Regolamento UE) nell’ambito della migrazione del software verso un altro strumento, che era state richieste da due laboratori che usufruiscono dei servizi di Dedalus, la quale aveva invece estratto un volume di dati maggiore del necessario.

Per quanto riguarda le infrazioni sulle misure di sicurezza (art.32 del Gdpr) la CNIL ha rilevato la mancanza di una procedura specifica per le operazioni di migrazione dei dati, la mancanza di crittografia dei dati personali archiviati sul server problematico, l’assenza di una procedura di cancellazione automatica dei dati dopo la migrazione ad altro software, la mancata richiesta di autenticazione per accedere da internet all'area pubblica del server, l’ utilizzo di account utente condivisi tra più dipendenti nella zona privata del server, l’assenza di una procedura di supervisione e gestione degli alert di sicurezza sul server.

Ma neanche Dedalus aveva formalizzato con le aziende proprie clienti le nomine di Responsabile del trattamento (art. 28 del Gdpr), che avrebbe dovuto avvenire con un contratto di servizi o altro atto giuridico per regolare i trattamenti di dati personali effettuati per conto del titolare del trattamento, informazioni che l’autorità non ha rinvenuto neppure nelle condizioni generali di vendita intercorse tra Dedalus ed i propri clienti.

Alla fine dell’istruttoria, l’autorità ha ritenuto che la Dedalus abbia violato diversi obblighi previsti dal Gdpr, ponendo particolare accento sull'obbligo di garantire la sicurezza dei dati personali, ed infliggendo alla società informatica una maxi sanzione di 1,5 milioni di euro.

Note Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati personali, iscritta presso il Ministero dello Sviluppo Economico ai sensi della Legge 4/2013. Email: [email protected] 

Prev Violazioni privacy e discriminazioni sui cittadini, e il DPO neanche era stato interpellato. Sanzione record all’agenzia delle entrate olandese
Next Ransomware, due aziende su tre sono colpite dal malware che prende i dati in ostaggio

Privacy Day Forum 2024: intervista a Guido Scorza

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy