I dati sanitari dei pazienti sottoposti agli accertamenti medici non possono essere sfruttati ed utilizzati per scopi privati dalle stesse aziende che forniscono le apparecchiature elettroniche e digitali per l’alta diagnostica. Questa la decisione del nostro Garante per la protezione dei dati personali a seguito della conclusione di un’istruttoria nell’ambito della quale: “sono emersi illeciti trattamenti di dati effettuati da un’azienda sanitaria e dalla società alla quale lo stesso ente, in due occasioni, aveva messo a disposizione copie di immagini della Tac, contenenti informazioni sulla salute di alcuni pazienti”.
Dopo la rilevazione degli illeciti, sono stati avviati i relativi procedimenti sanzionatori.
Secondo l’Ufficio del Garante privacy, “le aziende sanitarie da parte loro possono comunicare i dati sanitari a terzi solo in presenza di un adeguato presupposto normativo”.
La società a cui si è rivolta l’azienda sanitaria, una volta ricevute le immagini, attraverso un software, “aveva anche effettuato un’operazione di estrazione, anonimizzazione e pseudonimizzazione di dati” e “copia delle immagini rielaborate era stata poi allegata alla documentazione necessaria per partecipare a una gara d’appalto e in seguito depositata nell’ambito di un contenzioso giudiziario”.
L’Autorità ha quindi ritenuto illecito sia il trattamento effettuato dalla azienda sanitaria, “che ha messo a disposizione della società le immagini della Tac, determinando così una “comunicazione” di informazioni sulla salute di alcuni pazienti identificati in assenza di un’adeguata base normativa”, sia il trattamento svolto dalla società, perché “le operazioni eseguite perseguono, infatti, finalità proprie della società (partecipazione alla gara e difesa in giudizio) non riconducibili a quelle per le quali era stata designata responsabile”.
Quello dei dati sanitari è d’altronde un problema molto serio, diffuso e su cui si concentrano le attenzioni sia delle autorità regolatorie, sia purtroppo delle organizzazioni criminali di ogni ordine e grado.
Nei giorni scorsi è stata pubblicata dalle pagine di Propubblica la notizia di 187 computer server, negli Stati Uniti, utilizzati come database di dati sanitari di strutture ospedaliere e medici di famiglia, lasciati senza protezione all’azione di gruppi criminali e crackers di ogni parte del mondo.
Secondo l’articolo, solo negli Stati Uniti sono stati coinvolti più di 5 milioni di cittadini, più altri milioni in Europa e Asia. I database lasciati senza protezione contenevano principalmente immagini mediche e dati sanitari, tra cui radiografie, risonanze magnetiche e TAC. Un server non protetto rende accessibile a chiunque dati altamente sensibili.
Come ha ricordato Kaspersky in una nota stampa, nel 2018, il 28% degli attacchi è satto rivolto proprio a dispositivi ospedalieri, che a loro volta possono diventare i vettori attraverso cui un criminale può accedere ad altre aree dei sistemi dell’organizzazione sanitaria.
Il famigerato ransomware Wannacry cercava di colpire proprio le strutture mediche e altre organizzazioni in tutto il mondo.
