Un dato emerso dall’ultima Relazione annuale del Garante per Privacy, è il numero dei data breach notificati lo scorso anno: con una media di quasi 6 al giorno, sono state infatti complessivamente ben 2071 le violazioni comunicate all’Autorità per la protezione dei dati personali, con un aumento addirittura di circa il 50% rispetto all’anno precedente.
Anche se la definizione anglofona “data breach” evoca tipicamente nelle menti degli addetti ai lavori le conseguenze di attacchi hacker ed altri disastri di natura informatica, leggendo la relazione del Garante si apprende però che non sempre c’è la mano oscura dei cyber criminali quando si verifica una violazione sui dati.
Anzi, in molti casi è l’errore umano il vero nemico della sicurezza dei dati, quello che nel gergo tecnico è chiamato “insider threat”, termine che indica una minaccia interna proveniente da dipendenti e collaboratori che spesso, consapevoli o inconsapevoli, sono essi stessi la principale causa dei data breach per la loro incompetenza o per superficialità nel gestire i dati aziendali.
Al punto 5.3.1. del resoconto annuale della propria attività, l’Autorità elenca infatti una lunga e dettagliata serie di casi istruiti a seguito di notifiche di violazioni ricevute, molto spesso riguardanti i dati sulla salute degli interessati, che nulla hanno a che vedere con attacchi informatici da parte di hacker ed altri malintenzionati.
Ad esempio, tra le violazioni che rivelano maggiormente le conseguenze del “fuoco amico” ve n’è stata una che ha riguardato la spedizione di un referto relativo ad esami ematici di un bambino a un soggetto diverso da quello legittimato a riceverlo a causa di un erroneo imbustamento della documentazione (doc. web n. 9567143), e altre due in cui le copie dei referti medici sono state inserite all’interno delle cartelle cliniche di altri pazienti (doc. web n. 9544092 e n. 29, doc. web n. 9544457). In un altro procedimento i dati sanitari di otto pazienti, anche concernenti esiti di esami ematici e delle urine, sono stati distrattamente inviati a destinatari sbagliati a cause di un’erronea associazione tra referti e prenotazioni effettuati in tempi diversi (doc. web n. 9581069), mentre in un’altra vicenda si è verificato l’erroneo inserimento nella copia digitale della cartella clinica di un interessato dei referti relativi ad altri 7 pazienti (doc. web n. 9561792).
In un altro caso la figlia di un paziente ricoverato, e successivamente deceduto, si era vista consegnare dal personale medico la documentazione clinica di referti contenenti una consulenza oncologica e una ecografia all’addome di due altri soggetti (doc. web n. 9695041). Altre notifiche hanno riguardato lo smarrimento di documentazione sanitaria:
in particolare, un’azienda ha notificato al Garante, a distanza di circa tre mesi l’una dall’altra, due violazioni di dati personali, aventi ad oggetto, in un caso, lo smarrimento di alcuni documenti contenuti all’interno della cartella clinica sanitaria di un interessato deceduto nel 2015. Altre violazioni sui dati sanitari degli interessati che sono state notificate al Garante hanno avuto ad oggetto l’invio in chiaro di comunicazioni in copia conoscenza (cc), invece che in copia conoscenza nascosta (ccn). Un’azienda sanitaria ha, infatti, comunicato di aver trasmesso, via e-mail, un invito a compilare un questionario sullo stato di salute a 98 indirizzi, rendendoli visibili a tutti i destinatari. Il questionario era volto a raccogliere informazioni per fornire assistenza ai pazienti malati di HIV seguiti dall’ambulatorio di malattie infettive dell’azienda, considerato che le visite ambulatoriali programmate erano state sospese a causa dell’emergenza sanitaria da Covid-19. Non diversa la violazione occorsa presso un’azienda ospedaliero-universitaria che per errore ha inviato attraverso una mailing-list in chiaro a diciotto mamme di bambine in cura presso il reparto endocrinologia pediatrica un invito da cui si poteva desumere la condizione di pubertà precoce delle piccole pazienti seguite dal centro (doc.web n. 9720314).
Con tre distinti provvedimenti, adottati nei confronti di un medico, di una Ausl e di un’associazione di medici chirurghi, il Garante ha poi sanzionato la condotta relativa alla pubblicazione online di documenti sulla salute di un paziente contenuti nella documentazione presentata in occasione di un premio a carattere scientifico. Il caso ha preso le mosse da una comunicazione di violazione dei dati personali da parte di un’azienda sanitaria chiamata in causa da un paziente che, dopo essersi curato presso tale struttura, aveva rinvenuto su Internet fotografie, diapositive e altre informazioni riferibili alla sua salute sul sito di un’associazione medica. Nella documentazione, reperibile anche tramite comuni motori di ricerca, erano riportate informazioni molto dettagliate come le iniziali del paziente, l’età, il sesso, l’anamnesi dettagliata della patologia sofferta dallo stesso, dettagli sui ricoveri e gli interventi effettuati negli ultimi venti anni, nonché 22 fotografie che ritraevano l’interessato durante il decorso clinico.
Un caso particolare nel lungo elenco stilato dall’Autorità ha riguardato la violazione di dati relativi allo stato di salute di una paziente ricoverata per un’interruzione volontaria di gravidanza che aveva esplicitamente richiesto che non fossero date informazioni sul suo stato di salute a soggetti terzi, ma a causa di un mancato aggiornamento dei dati di contatto dell’interessata, il personale sanitario ha fornito indicazioni sul reparto di degenza al marito della paziente, determinando una violazione della sua privacy (doc. web n. 9544504).
Per quanto sia importante investire in infrastrutture informatiche, l’ultima relazione del Garante ci trasmette dei preoccupanti segnali evidenziando che per essere in grado di affrontare la transizione digitale è necessario mettere a punto e mantenere un complesso di procedure per gestire i dati aziendali in modo veramente efficace, e soprattutto è necessario un cambio di paradigma nella formazione delle risorse umane. Quand’anche le aziende che si sono rese protagoniste loro malgrado delle innumerevoli violazioni snocciolate dal Garante fossero infatti in grado di dimostrare di avere fornito le istruzioni che il GDPR richiede di dare agli addetti ai trattamenti di dati personali, i disastrosi risultati dei grossolani errori umani che ne sono seguiti dimostrano però che quella formazione non ha raggiunto il suo obiettivo. Semmai fosse ancora necessario ricordarlo, è fondamentale ed urgente creare consapevolezza e una vera cultura della privacy. Diversamente, dietro l’angolo c’è il concreto pericolo di trovarsi in un ingovernabile far west dei dati personali da cui sarebbe poi difficile tornare indietro.
Nicola Bernardi, presidente di Federprivacy – @Nicola_Bernardi