Il data breach nel contesto sanitario
Anche se la maggior parte delle azioni legali collettive intraprese negli Stati Uniti, collegate al data breach, falliscono un caso ha di certo dimostrato che le conseguenze finanziarie possono essere gravi. Il caso più recente è quello che ha coinvolto in una class action, il St. Joseph Health System in California per violazione di dati di pazienti gestiti dalla struttura. 32.000 i pazienti coinvolti che hanno subito l’esposizione dei loro dati, 28.000.000 di dolari le spese che la struttura dovrà sostenere in tutto tra risarcimento ai pazienti, un fondo di accantonamento per eventuali azioni di altri pazienti coinvolti spese di notificazione alle vittime, copertura di eventuali danni da furto di identità e adeguamento delle misure di sicurezza (per 13 milioni di dollari). Risulta evidente che non prevenire con adeguati strumenti, anche in termini assiurativi, questo tipo di rischi cibernetici, soprattutto per strutture che trattano dati sensibili, diviene una priorità.
Alcuni esperti sostengono che il caso del St. Joseph illustri chiaramente l’importanza che assume, in tutte le organizzazioni, il prendersi cura del lato security aziendale, prima che sia troppo tardi per porre rimedio e che i rischi si trasformino in certezze.
Quello che sembra essere uno dei più generosi risarcimenti fino ad oggi avvenuti ,con riferimento ad una violazione dei dati e derivante da class action, è diventato immediatamente un caso scuola.
L’ospedale californiano, i cui dati sono stati violati, si è visto così obbligato dai giudici statunitensi a conferire ad ogni paziente leso una cifra mensile per un totale di 7,5 milioni di dollari complessivi.
La decisione è stata in questo caso incentrata su una violazione che coinvolge informazioni mediche dei pazienti ricoverati in più di una dozzina di ospedali del circuito St. Joseph, i quali erano accessibili al pubblico on-line utilizzando i motori di ricerca come Google per circa un anno a partire dal febbraio 2011. A seguito di un attacco portato avanti con gli exploit, vi è stata una considerevole perdita di dati che ha portato poi, successivamente, ad una azione collettiva dei pazienti coinvolti nella violazione. Erano ad esempio disponibili online le liste di diagnosi, le medicazioni in corso, i risultati da laboratorio e le informazioni demografiche. Tali informazioni non includevano, ad esempio, numeri di sicurezza sociale o dati finanziari. In questo senso, va rilevato che è sufficiente il furto di dati identificativi affinché si configuri una lesione al diritto d’identità dei soggetti.
Con l’avvento del nuovo Regolamento Europeo, casi come quello del St. Joseph diventeranno la normalità. Se già il Garante rilevava nel 2013 l’obbligo di avvenuta notifica per il breaching dei dati biometrici, con una regolamentazione unica ed europea si può ragionevolmente prevedere un’alveo di operatività che investa anche le multinazionali farmaceutiche e più in generale le aziende che trattino sistematicamente dati legati all’e-health.
Una polizza assicurativa focalizzata ed un adeguamento alle prescrizioni normative in materia costituiscono uno dei punti chiave da cui partire per arrivare a definire un modello ed un quadro valido di protezione dei diritti dei soggetti interessati e una sicura certezza per il business delle imprese del settore.
