Come rilevato dal portale specializzato nel Diritto AltaLex, nel 2020 si è verificato il caso di una clinica universitaria tedesca colpita da un attacco ransomware che ha progressivamente compromesso una trentina di server. Le operazioni chirurgiche sono state sospese quasi completamente ed una donna che doveva essere ricoverata con urgenza è stata dirottata verso una vicina città distante una trentina di chilometri. Tale ritardo non ha permesso di fornire alla donna le immediate e necessarie cure causandone la morte.
In Italia l’Autorità Garante con provvedimento n. 174 del 1° ottobre 2020 (doc. web n. 9469345) ha sanzionato un’università in ordine ad una violazione di dati personali relativa al servizio di consultazione on line dei referti a seguito della quale alcuni utenti avevano potuto visualizzare “dati relativi alla salute, in particolare immagini radiologiche associate a dati identificativi e referti clinici” di 74 altri utenti. L’attività istruttoria, nel caso in questione, ha accertato che l’evento era stato generato da un errore umano di configurazione nell’integrazione tra il sistema del fornitore del servizio ed il portale per i pazienti utilizzato dall’università.
Negli ultimi anni le istruttorie a seguito di violazioni di dati personali effettuate da aziende e strutture sanitarie hanno rilevato che nel 70% dei casi sono nate da un’erronea comunicazione della documentazione clinica (ad es. referti, schede di dimissione ospedaliera, cartelle cliniche) a un soggetto diverso dall’interessato. In alcuni dei data breach notificati al Garante la violazione ha avuto ad oggetto il sistema di refertazione online. Il servizio di refertazione online, come gli altri documenti sanitari elettronici, presenta sicuramente concreti vantaggi (sia per l’operatività delle strutture sanitarie sia per i pazienti) ma anche dei rischi per la tutela dei dati personali trattati che, però, con l’adozione di misure tecniche ed organizzative possono essere adeguatamente mitigati.
Per garantire un livello di sicurezza adeguato al rischio, tra le “soluzioni” elencate – in maniera non esaustiva – nell’art. 32 del GDPR vi sono:
- la pseudonimizzazione e la cifratura dei dati personali;
- la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento (ovvero, anche la capacità del sistema di resistere e reagire);
- la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico (ad esempio un backup);
- una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Maenoox, mediante l’impiego di NFT dinamici, può assolvere pienamente il compito di mantenere la riservatezza dei dati del paziente, garantendo al contempo disponibilità e integrità degli stessi. Per la sicurezza e la tutela della privacy di tutti.