di Ciro Galiano, avvocato CGLAW law firm (rete Consulcesi&Partners)
È recentissima la notizia che l’ASL 1 Avezzano Sulmona L’Aquila sia stata vittima di un attacco di un gruppo di hacker che pare sia riuscito a introdurre nel sistema informatico dell’Azienda Sanitaria un sofisticato ransomware progettato per crittografare al fine di richiedere il pagamento in bitcoin per fornire gli strumenti di decrittazione.
Sembrerebbe, inoltre, che vi sia stata anche un’attività di esfiltrazione dei dati contenuti nei dossier sanitari gestiti dall’Azienda sanitaria in quanto risulterebbero pubblicati nel “dark web” oltre 389 Gigabyte di dati possibilmente riconducibili all’ASL 1 Abruzzo (al momento in cui si scrive questa ultima notizia è in fase di accertamento). L’Autorità Garante, ricevuta la comunicazione di Data breach in data 5 maggio 2023 (effettuata ai sensi dell’art. 33 del Regolamento dalla ASL stessa), ha aperto un procedimento di accertamento e ha ingiunto all’ASL 1 di provvedere a comunicare entro 15 gg a ciascun dei soggetti i cui dati sono stati oggetto dell’attacco informatico la violazione, in quanto la stessa si presenta come un rischio elevato per i diritti e le libertà delle persone fisiche a causa della potenziale compromissione di dati personali di cui agli articoli 6, 9 e 10 del Regolamento 679/2016.
Provvedimento dell’8 giugno 2023
La procedura avviata ovviamente non si è conclusa. L’Autorità Garante continuerà l’istruttoria così come ciascuno per le proprie competenze, l’Autorità Giudiziaria in concerto con gli organi di Polizia interessati. Il Garante, nel caso di specie, ha ricordato in un comunicato diffuso il 18 maggio scorso che scaricare dati o banche dati dal dark web riconducibili ad una condotta illecita costituisce sia un illecito amministrativo sia un reato, previsto tra l’altro dall’art. 167 del Codice privacy, ovvero il D.lgs. 196/2003 novellato dal D.lgs. 101/2018. L’evento verificatosi ha avuto, evidentemente, un elevato riscontro mediatico. L’attacco hacker nella realtà è solo uno dei tanti rischi per la tutela dei dati in ambito sanitario pubblico e privato laddove il rischio del trattamento illecito, della perdita e della condivisione non autorizzata di dati sanitari contenuti nelle cartelle cliniche e nei dossier sanitari elettronici è molto elevato senza dover neppur chiamare in causa fantomatici hacker.
Consultare un avvocato specializzato, può essere essenziale per esigere i propri diritti ed esplicare i propri doveri. Rivolgiti ai migliori avvocati specializzati del team di Consulcesi and partners!
Nel recente passato sotto la lente dell’Autorità Garante per la protezione dei dati personali sono passate diverse gestioni di Dossier Sanitario Elettronici operate da Aziende sanitarie dove è emerso come la gestione venisse effettuata senza la previsione delle giuste tutele dei dati personali tale che, nei fatti, i dati particolari degli assistiti potevano (e lo erano stati effettivamente) essere oggetto di attenzioni indebite di soggetti non autorizzati anche esterni all’Azienda. All’esito dell’accertamento ispettivo è risultato che le aziende non avessero posto in essere le procedure idonee alla corretta gestione del trattamento, cosicché gli accessi abusivi erano avvenuti ad opera di soggetti che non avevano preso parte al processo di cure o ancora era stato attivato il dossier sanitario per tutti gli assistiti della Azienda sebbene gli interessati avessero espressamente negato il consenso all’uso del dossier oppure non lo avessero mai prestato. I procedimenti in esame si sono conclusi con provvedimenti ingiuntivi di adeguamento che hanno interessato in un caso pure il soggetto erogatore dell’architettura informatica oltre ad elevare sanzioni per diverse decine di migliaia di euro (da 40.000 euro a 70.000 euro).
Provvedimento del 26 maggio 2022
Come è noto, il Regolamento Generale per la protezione dei dati personali (meglio noto con l’acronimo inglese GDPR o Regolamento UE 2016/679) ha precisato che: “Diversamente dal passato, quindi, il professionista sanitario, soggetto al segreto professionale, non deve più richiedere il consenso del paziente per i trattamenti necessari alla prestazione sanitaria richiesta dall’interessato, indipendentemente dalla circostanza che operi in qualità di libero professionista (presso uno studio medico) ovvero all’interno di una struttura sanitaria pubblica o privata.”
Pertanto, se un soggetto richiede assistenza medica non risulta necessario acquisirne il consenso in quanto il trattamento è strumentale al professionista sanitario per rendere il servizio medico e fornire le cure del caso. I dati, generalmente, vengono inseriti in una cartella clinica che viene strutturata secondo il D.P.R. 128/69 e possiamo definirla come uno strumento che descrive, secondo degli standard definiti dal Ministero della salute, un singolo episodio di ricovero dell’interessato.
Ciò non vuol dire che i dati, una volta entrati nella sfera dell’organizzazione sanitaria pubblica o privata, possano essere gestiti liberalmente. Innanzitutto, l’azienda deve attuare tutti gli adempimenti dovuti affinché i dati siano trattati secondo i principi di cui all’art. 5 del Reg. 2016/679, e, a prescindere dal consenso, l’azienda e/o il professionista deve offrire adeguata informativa ex artt. 13 e qualora sia necessario ex art. 14 del GDPR sulle modalità di gestione dei dati personali. I dati possono essere gestiti esclusivamente per l’unica finalità indicata, ovvero quella di diagnosi e cura relativamente alla prestazione sanitaria richiesta.
Nell’ eventualità in cui l’Azienda e/o il professionista sanitario ritenga creare ad esempio un dossier dove inserire tutte le informazioni sanitarie, l’anamnesi, gli interventi e le cure prestate al paziente, gli adempimenti cambiano decisamente. Le finalità di trattamento, infatti, mutano e non rientrano più nella previsione sopra indicata ai sensi dell’art. 9, par 2, lettera h del GDPR. La creazione di un Dossier sanitario del paziente deve essere quindi autorizzata dal paziente/interessato al trattamento, che ne deve dare espresso consenso giacché esso costituisce un trattamento facoltativo, rispetto a quello effettuato dal professionista sanitario con le informazioni acquisite in occasione della cura del singolo evento clinico. Non solo, devono essere previsti rigidi strumenti volti a garantire l’esclusivo accesso al dossier da parte del personale autorizzato dal paziente.
Questo significa che, se l’interessato non manifesta il proprio consenso al trattamento dei dati personali mediante il dossier sanitario, il professionista che lo prende in cura potrà disporre solo delle informazioni rese dall’interessato e quelle relative alle precedenti prestazioni erogate da lui stesso. Analogamente, in tale circostanza, dovranno essere previste delle procedure che consentono l’accesso alle informazioni al personale sanitario del reparto o dell’ambulatorio e alle informazioni relative all’episodio per il quale l’interessato si è rivolto presso quella struttura e alle altre informazioni riguardanti le eventuali prestazioni sanitarie erogate in passato a quel soggetto da quel reparto (c.d. accesso agli applicativi verticali dipartimentali). E ciò è valido anche in caso di successiva revoca del consenso da parte dell’interessato. In questo caso il Dossier Sanitario non può più essere implementato e alle informazioni ivi contenute possono avere accesso i professionisti che le hanno redatte ma non altri professionisti di altri reparti ancorché questi prenderanno in cura l’interessato.
Quanto sopra riassunto viene ben spiegato dall’Autorità Garante che nel corso del 2015 ha pubblicato le Linee guida in materia di Dossier sanitario – 4 giugno 2015, nelle quali sono state individuate un primo quadro di cautele al fine di delineare specifiche garanzie e responsabilità nonché misure e accorgimenti necessari ed opportuni da porre a garanzia dei cittadini, in relazione ai trattamenti di dati sanitari che li riguardano applicabile ad oggi (art. 22, comma 4, d.lgs n. 101/2018).
Appare lapalissiano come la creazione di un Dossier sanitario per ciascun paziente debba seguire regole ben precise; perciò, l’architettura informatica deve già essere in grado di rispondere a tali esigenze di privacy by design fin dalla sua creazione. Allo stesso modo devono essere previsti idonei modelli organizzativi privacy.
Tanto vale sia per il settore pubblico che, si ripete, per quello privato, sia per le aziende sanitarie che per gli ambulatori medici e le cliniche private e costituisce un adempimento necessario a tutela dei diritti dell’interessato per impedire che i dati dei pazienti vengano gestiti senza avvedersi delle conseguenze spesso gravi in danno ai propri assistiti.