Il data breach nel contesto sanitario

27/04/2016
di roberto

Anche se la maggior parte delle azioni legali collettive intraprese negli Stati Uniti, collegate al data breach, falliscono un caso ha di certo dimostrato che le conseguenze finanziarie possono essere gravi. Il caso più recente è quello che ha coinvolto in una class action, il St. Joseph Health System in California per violazione di dati di pazienti gestiti dalla struttura. 32.000 i pazienti coinvolti che hanno subito l’esposizione dei loro dati, 28.000.000 di dolari le spese che la struttura dovrà sostenere in tutto tra risarcimento ai pazienti, un fondo di accantonamento per eventuali azioni di altri pazienti coinvolti spese di notificazione alle vittime, copertura di eventuali danni da furto di identità e adeguamento delle misure di sicurezza (per 13 milioni di dollari). Risulta evidente che non prevenire con adeguati strumenti, anche in termini assiurativi, questo tipo di rischi cibernetici, soprattutto per strutture che trattano dati sensibili, diviene una priorità.

Cyber securityAlcuni esperti sostengono che il caso del St. Joseph illustri chiaramente l’importanza che assume, in tutte le organizzazioni, il prendersi cura del lato security aziendale, prima che sia troppo tardi per porre rimedio e che i rischi si trasformino in certezze.

Quello che sembra essere uno dei più generosi risarcimenti fino ad oggi avvenuti ,con riferimento ad una violazione dei dati  e derivante da class action, è diventato immediatamente un caso scuola.

L’ospedale californiano, i cui dati sono stati violati, si è visto così obbligato dai giudici statunitensi a conferire ad ogni paziente leso una cifra mensile per un totale di  7,5 milioni di dollari complessivi.

La decisione è stata in questo caso incentrata su una violazione che coinvolge informazioni mediche dei pazienti ricoverati in più di una dozzina di ospedali del circuito St. Joseph, i quali erano accessibili al pubblico on-line utilizzando i motori di ricerca come Google per circa un anno a partire dal febbraio 2011. A seguito di un attacco portato avanti con gli exploit, vi è stata una considerevole perdita di dati che ha portato poi, successivamente, ad una azione collettiva dei pazienti coinvolti nella violazione. Erano ad esempio disponibili online le liste di diagnosi, le medicazioni in corso, i risultati da laboratorio e le informazioni demografiche. Tali informazioni non includevano, ad esempio, numeri di sicurezza sociale o dati finanziari. In questo senso, va rilevato che è sufficiente il furto di dati identificativi affinché si configuri una lesione al diritto d’identità dei soggetti.

Con l’avvento del nuovo Regolamento Europeo, casi come quello del St. Joseph diventeranno la normalità. Se già il Garante rilevava nel 2013 l’obbligo di avvenuta notifica per il breaching dei dati biometrici, con una regolamentazione unica ed europea si può ragionevolmente prevedere un’alveo di operatività che investa anche le multinazionali farmaceutiche e più in generale le aziende che trattino sistematicamente dati legati all’e-health.

Una polizza assicurativa focalizzata ed un adeguamento alle prescrizioni normative in materia costituiscono uno dei punti chiave da cui partire per arrivare a definire un modello ed un quadro valido di protezione dei diritti dei soggetti interessati e una sicura certezza per il business delle imprese del settore.

Riproduzione riservata ©

ALTRE NEWS

Droni: Regolamento ENAC, primo passo verso una regolamentazione necessaria

E’ notizia ormai nota ai più che dal 30 aprile il Regolamento sui mezzi aeromobili a pilotaggio remoto è entrato in vigore. Il documento, messo… Leggi Tutto

Fatture elettroniche negli appalti pubblici. Le proposte della Commissione Europea

Si inserisce nell’ambito del processo di digitalizzazione delle procedure degli appalti pubblici la proposta di direttiva avanzata dalla Commissione Europea per l’elaborazione di uno standard… Leggi Tutto

Digital jobs II parte: la rivoluzione HR

Nel precedente articolo abbiamo visto come nuove figure professionali entreranno velocemente nelle aziende che vorranno mantenere il passo del cambiamento tecnologico. Dal Data Scientist al… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    * Informativa Privacy Autorizzo il trattamento dei miei dati personali secondo quanto stabilito dal regolamento europeo per la protezione dei dati personali n. 679/2016, GDPR.

    * (campo obbligatorio)
    Questo sito è protetto da reCAPTCHA e vengono applicate l' Informativa sulla Privacy e i Termini e Condizioni di Google.