Ieri è apparsa la notizia che l’ASS4 Medio Friuli avrebbe reso accessibili su internet i reclami di decine di pazienti, rendendo accessibili nomi, cognomi, recapiti e, soprattutto, patologie dei medesimi (vale a dire dati sensibili ai sensi del d.lgs. 196/03).

In merito a tale violazione della privacy, Udine20 ha intervistato gli avvocati David D’Agostini e Luca Zenarolla per chiedere un parere sulla vicenda.
Pubblichiamo il testo integrale dell’intervento.

Molto spesso i servizi online a cui affidiamo in buona fede i nostri dati sono tutt’altro che a prova di bomba. – premettono David D’Agostini e Luca Zenarolla membri del comitato scientifico di CINDI – A riprova di ciò ci sono i numerosi richiami del Garante Privacy rivolti soprattutto alle Pubbliche Amministrazioni che “informatizzano” i propri processi, in cui viene sempre sottolineato il profilo della sicurezza

L’episodio che vede coinvolti a vario titolo l’azienda sanitaria 4, INSIEL, i cittadini e il personale medico, ad oggi, non è molto chiaro, e quindi le osservazioni si basano sulle notizie pubblicate che non abbiamo avuto modo di controllare in prima persona”. “Tuttavia – sottolinea l’avvocato David D’Agostini – i soggetti lesi sono molteplici. In primo luogo è stata senza dubbio violata la privacy dei cittadini che hanno inviato le loro esperienze alla ASS4.

In questo caso l’azienda sanitaria, nella sua qualità di Titolare del trattamento, è obbligata a fare quanto in suo potere per ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di accesso non autorizzati ai dati personali e la loro divulgazione.”

A prescindere dal motivo del disservizio – hackeraggio, piuttosto che sistema informatico mal configurato- , in questo caso è evidente che qualcosa è andato storto: le persone che hanno subito questa violazione della loro privacy potrebbero agire in sede civile per ottenere il risarcimento dei danni subiti. – sottolinea l’avvocato Luca Zenarolla – e per quanto attiene ai medici citati con nome e cognome nei commenti, vale lo stesso ragionamento espresso prima: l’Azienda Sanitaria è la titolare del trattamento e quindi la stessa tutela riconosciuta ai cittadini viene accordata anche a loro.”

La vicenda, però, potrebbe andare anche oltre: se dovesse emergere il fatto che non erano state adottate tutte le misure minime di sicurezze espressamente previste dal Codice Privacy, c’è il rischio che venga applicata anche una sanzione penale (arresto sino a due anni). Il fatto di aver messo una “pezza” in seguito alla segnalazione, può ridurre, ma non fa venir meno gli eventuali profili di responsabilità civile e penale.

The following two tabs change content below.
David D'Agostini
Avvocato, appassionato di diritto delle nuove tecnologie, proprietà intellettuale e industriale.