Privacy e Cybersecurity in sanità:…
Leggi articolo
La sicurezza informatica nel settore sanitario è un aspetto centrale che va ben oltre la protezione dei dati: la cybersecurity degli ospedali è strettamente legata alla sicurezza dei pazienti.
Recenti studi hanno sottolineato come vi sia un collegamento diretto tra gli attacchi dei criminal hacker e l’aumento della mortalità nelle strutture sanitarie colpite. Uno dei primi suggestivi esempi di questa affermazione è rappresentato dal caso di una donna deceduta nell’autunno del 2020 in seguito ad un attacco hacker che aveva colpito l’ospedale di Düsseldorf, in Germania. A causa del blocco informatico, l’ospedale non ha potuto accoglierla, costringendola a un trasferimento in altro ospedale (a 30 chilometri di distanza). Il ritardo nelle cure dovuto a questo trasferimento si è rivelato fatale.
Uno studio del Ponemon Institute statunitense ha evidenziato che l’89% delle organizzazioni sanitarie avrebbe subito 43 attacchi informatici negli ultimi 12 mesi, con costi elevati sia in termini di interruzione dei servizi che di risposta agli attacchi. Questi eventi hanno avuto un impatto diretto sulla sicurezza delle cure, causando ritardi nelle procedure e nei test diagnostici, incrementando la gravità delle malattie, la durata dei ricoveri e – come sopra osservato – persino il tasso di mortalità.
Nel panorama digitale odierno le informazioni sensibili sono continuamente esposte a potenziali rischi. Perciò il tema del risarcimento danni per violazione degli obblighi di protezione dei dati personali è tanto complesso quanto attuale. Quando le misure di sicurezza adottate si rivelano inadeguate rispetto al livello di rischio e si verifica una distruzione, una perdita, una modifica, una divulgazione o un accesso illecito a dati personali (cd. “data breach”), si pone il problema di quali siano le conseguenze legali, in termini di responsabilità, per il titolare (e per l’eventuale responsabile) del trattamento.
Se poi titolare del trattamento è un’azienda sanitaria la questione diventa delicata, perché le informazioni coinvolte nel data breach sono spesso rappresentate da dati personali particolari che attengono alla salute dei pazienti. L’attacco hacker di tipo “ransomware” recentemente subito dall’AUSL di Modena (insieme all’AOU di Modena e all’Ospedale di Sassuolo S.p.a.) non è il primo e non sarà certo l’ultimo episodio di violazione degli obblighi di protezione dei dati personali in ambito sanitario. Tra i più rilevanti i data breach che hanno coinvolto: l’AOU di Verona nell’ottobre 2023; l’ASL 1 Abruzzo (Avezzano, Sulmona, L’Aquila) nel maggio 2023; l’IRCCS Multimedica e la Clinica San Giuseppe di Milano nell’aprile 2023; l’ASL Napoli 3 Sud del gennaio 2022; l’ULSS Euganea di Padova del dicembre 2021; il SSR della Regione Lazio del luglio 2021.
Questo genere di incidenti pone sicuramente in evidenza la vulnerabilità di molti dei sistemi informatici utilizzati da aziende ed enti che gestiscono il nostro SSN. Ma non va sottovalutata anche la portata del danno (patrimoniale e non patrimoniale) derivante da simili violazioni e delle azioni risarcitorie che potrebbero essere proposte dai pazienti coinvolti in simili data breach. A tal proposito viene in rilievo essenzialmente l’art. 152 del Codice Privacy, a mente del quale “Tutte le controversie che riguardano le materie oggetto dei ricorsi giurisdizionali […] comunque riguardanti l’applicazione della normativa in materia di protezione dei dati personali, nonché il diritto al risarcimento del danno ai sensi dell’articolo 82 del medesimo regolamento [GDPR], sono attribuite all’autorità giudiziaria ordinaria”. L’art. 15 del Codice Privacy prevedeva che la responsabilità da trattamento dei dati personali dovesse configurarsi come responsabilità per l’esercizio di attività pericolose ex art. 2050 del codice civile(secondo questa norma, chiunque danneggia altri nello svolgimento di un’attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento del danno, salvo che provi di avere adottato tutte le misure idonee ad evitarlo).
Sennonché, l’art. 15 – come del resto tutto il Titolo III della Parte I del Codice Privacy – è stato abrogato dal d.lgs. n. 101/2018. Quindi la norma cardine in materia di responsabilità civile per violazione degli obblighi di protezione dei dati personali va oggi individuata nell’art. 82 GDPR. Tale ultima norma conferma il principio di inversione dell’onere della prova (richiedendo che Il titolare o il responsabile del trattamento, per andare esenti da responsabilità, debbano dimostrare che l’evento dannoso non sia loro in alcun modo imputabile). In tal modo anche il GDPR riconosce indirettamente la natura rischiosa dell’attività di trattamento dei dati personali.
È evidente che la cybersecurity in sanità non può più essere considerata un problema secondario o puramente tecnico: è una necessità strategica, che richiede azioni volte a salvaguardare le organizzazioni da attacchi informatici, garantire la disponibilità dei servizi medici, assicurare il corretto funzionamento dei sistemi e delle apparecchiature mediche, mantenere la riservatezza e l’integrità dei dati dei pazienti. In difetto, le implicazioni potrebbero non limitarsi al risarcimento danni per la violazione dati personali, ma estendersi al risarcimento danni da “malasanità”.