Il data breach nel contesto sanitario

27/04/2016
di Leonardo

Anche se la maggior parte delle azioni legali collettive intraprese negli Stati Uniti, collegate al data breach, falliscono un caso ha di certo dimostrato che le conseguenze finanziarie possono essere gravi. Il caso più recente è quello che ha coinvolto in una class action, il St. Joseph Health System in California per violazione di dati di pazienti gestiti dalla struttura. 32.000 i pazienti coinvolti che hanno subito l’esposizione dei loro dati, 28.000.000 di dolari le spese che la struttura dovrà sostenere in tutto tra risarcimento ai pazienti, un fondo di accantonamento per eventuali azioni di altri pazienti coinvolti spese di notificazione alle vittime, copertura di eventuali danni da furto di identità e adeguamento delle misure di sicurezza (per 13 milioni di dollari). Risulta evidente che non prevenire con adeguati strumenti, anche in termini assiurativi, questo tipo di rischi cibernetici, soprattutto per strutture che trattano dati sensibili, diviene una priorità.

Cyber securityAlcuni esperti sostengono che il caso del St. Joseph illustri chiaramente l’importanza che assume, in tutte le organizzazioni, il prendersi cura del lato security aziendale, prima che sia troppo tardi per porre rimedio e che i rischi si trasformino in certezze.

Quello che sembra essere uno dei più generosi risarcimenti fino ad oggi avvenuti ,con riferimento ad una violazione dei dati  e derivante da class action, è diventato immediatamente un caso scuola.

L’ospedale californiano, i cui dati sono stati violati, si è visto così obbligato dai giudici statunitensi a conferire ad ogni paziente leso una cifra mensile per un totale di  7,5 milioni di dollari complessivi.

La decisione è stata in questo caso incentrata su una violazione che coinvolge informazioni mediche dei pazienti ricoverati in più di una dozzina di ospedali del circuito St. Joseph, i quali erano accessibili al pubblico on-line utilizzando i motori di ricerca come Google per circa un anno a partire dal febbraio 2011. A seguito di un attacco portato avanti con gli exploit, vi è stata una considerevole perdita di dati che ha portato poi, successivamente, ad una azione collettiva dei pazienti coinvolti nella violazione. Erano ad esempio disponibili online le liste di diagnosi, le medicazioni in corso, i risultati da laboratorio e le informazioni demografiche. Tali informazioni non includevano, ad esempio, numeri di sicurezza sociale o dati finanziari. In questo senso, va rilevato che è sufficiente il furto di dati identificativi affinché si configuri una lesione al diritto d’identità dei soggetti.

Con l’avvento del nuovo Regolamento Europeo, casi come quello del St. Joseph diventeranno la normalità. Se già il Garante rilevava nel 2013 l’obbligo di avvenuta notifica per il breaching dei dati biometrici, con una regolamentazione unica ed europea si può ragionevolmente prevedere un’alveo di operatività che investa anche le multinazionali farmaceutiche e più in generale le aziende che trattino sistematicamente dati legati all’e-health.

Una polizza assicurativa focalizzata ed un adeguamento alle prescrizioni normative in materia costituiscono uno dei punti chiave da cui partire per arrivare a definire un modello ed un quadro valido di protezione dei diritti dei soggetti interessati e una sicura certezza per il business delle imprese del settore.

Riproduzione riservata ©

ALTRE NEWS

Legal compliance nei siti aziendali

L’articolo completo su Cor.Com. Quando si parla di web reputation, nel mondo business, si pensa spesso a strumenti evoluti per gestire o influire sull’immagine aziendale… Leggi Tutto

Compliance software: la Metodologia certificata di Colin & Partners

Nasce la prima metodologia certificata, a livello nazionale ed internazionale, per la verifica di conformità del software al GDPR La necessità del mercato di maggiori… Leggi Tutto

Telelavoro: CCNL per le Telecomunicazioni

L´ultimo anno ha certamente rappresentato un punto di svolta per il telelavoro. Parallelamente al continuo ed inarrestabile sviluppo di Internet e di tutte le attività… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form