La carente sicurezza dei sistemi che conservano dati sanitari rappresenta in sé una delle principali cause di malasanità ed in particolare la violazione delle regole essenziali di protezione dati può avere effetti “dirompenti” nelle procedure sanitarie, tanto più gravi ove quei processi incidano su aspetti qualificanti l’esistenza individuale come la nascita o la morte.

La protezione dei dati è un fattore determinante di efficienza sanitaria, funzionale anche alla correttezza del processo di cura ed anche per questo la sanità è uno dei settori più bersagliati dai pirati della rete; ha infatti registrato un’importante impennata di furti di dati personali dei pazienti (cartelle cliniche comprese). Volendo precisare, gli “hacker” colpiscono dove è più facile avere successo non preoccupandosi del fatto che il trattamento illegittimo di tali dati può rappresentare anche una causa di vita e di morte.

Nella seconda metà di settembre 2020 si è verificato un attacco informatico tramite ransomwere ad una università tedesca collegata direttamente ad un’azienda ospedaliera, ed i criminali colpendo i computer della Azienda Universitaria Ospedaliera cui l’università era collegata, hanno mandato progressivamente fuori servizio i loro 30 server creando drammatici problemi nell’erogazione dei servizi ai pazienti assistiti.

Una donna con un grave problema al cuore, giunta in ospedale con un arresto cardiaco, è dovuta essere trasferita all’ospedale di Wuppertal, a circa 32 km di distanza morendo durante il tragitto. Una morte che poteva essere evitata e per la quale le forze di polizia stanno indagando contro ignoti per omicidio.

Se un attacco informatico è in grado di bloccare intere attività, in alcuni casi la mancata sicurezza delle informazioni e un’errata valutazione dei rischi d’impresa che non analizza tutte le vulnerabilità ed i rischi da essa derivanti, può determinare anche la morte di una persona privandola, come ad esempio nel caso sopra riportato, della possibilità di cura.

Proprio sulla mancata consapevolezza e sottostima dei rischi del settore sanitario che il Garante commina le proprie sanzioni, come nel caso del provvedimento del 23 maggio 2019, in cui ingiunge al Direttore Sanitario di un Centro Medico il pagamento di una sanzione per lo smarrimento della documentazione sanitaria relativa all’accertamento medico svolto nei confronti di una cliente.

Tale circostanza, che configura il tipico caso di violazione prevista dall’Art. 169, comma 1, del Codice (abrogato in virtù del principio di accountability) per l’omessa adozione delle misure minime di sicurezza, pone l’accento proprio sulla vulnerabilità della sicurezza dei dati e del loro trattamento, ed in particolare dell’importanza della formazione nel settore della Privacy.

‍