Quando si parla di data breach, spesso si pensa a cyber attacchi, hacker e sofisticati sistemi informatici violati. Ma non sempre una violazione di dati è frutto di un attacco informatico. A volte basta una semplice disattenzione, un processo non adeguatamente strutturato o una gestione superficiale dei documenti cartacei per configurare una vera e propria violazione dei dati personali.
È quello che è successo in una struttura sanitaria italiana, che ha smarrito la cartella clinica di una paziente. Un caso apparentemente semplice, ma che evidenzia quanto sia ancora fragile in molti contesti la cultura della protezione dei dati, soprattutto quando si tratta di informazioni sensibili come quelle relative alla salute.
Vediamo cosa è accaduto, quali norme del GDPR sono state violate, perché questo caso è classificabile come data breach a tutti gli effetti.
Alla fine, capirai quali lezioni potrai trarre per evitare errori simili.
Cosa leggerai in questo articolo
- Cos'è successo e perché il Garante per la Protezione dei Dati è intervenuto
- Quali articoli del GDPR sono stati violati
- Perché si parla di data breach anche in assenza di attacchi informatici
- Le responsabilità del Titolare e del Responsabile del trattamento
- Le buone pratiche per prevenire casi simili
- Lezione finale: perché la protezione dei dati non è un mero adempimento, ma una questione di fiducia
Il caso della cartella clinica smarrita: una violazione che fa riflettere
Tutto ha avuto inizio con la segnalazione della scomparsa di una cartella clinica da parte di una paziente ricoverata presso una casa di cura. Il documento, che conteneva informazioni sanitarie particolarmente sensibili, non è stato ritrovato né presso la struttura né presso la società esterna incaricata della gestione dell’archivio.
Nonostante la gravità dell’episodio, la struttura non ha provveduto a notificare tempestivamente il fatto al Garante, come previsto dal Regolamento UE 2016/679 (GDPR). L’incidente è stato formalizzato solo in seguito all’intervento delle autorità competenti.
Una catena di omissioni che ha portato il Garante ad aprire un’istruttoria e a valutare la conformità del comportamento della struttura alle normative europee sulla protezione dei dati personali.
Un data breach a tutti gli effetti
Secondo l’art. 4, par. 12 del GDPR, un data breach è:
“una violazione della sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, perdita, modifica, divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.
In questo caso, anche in assenza di attacchi informatici o intrusioni esterne, la perdita della cartella clinica costituisce, a tutti gli effetti, una violazione dei dati personali. La definizione del GDPR, infatti, è ampia proprio per includere tutte le situazioni in cui la riservatezza, l’integrità o la disponibilità dei dati personali viene compromessa.
Questa vicenda dimostra che la sicurezza dei dati non riguarda solo la sfera digitale: anche la gestione della documentazione cartacea, spesso trascurata, può rappresentare un rischio concreto.
Le violazioni rilevate dal Garante
A seguito dell’indagine, il Garante ha individuato diverse violazioni del GDPR, in particolare:
- Art. 5, par. 1, lett. f): i dati personali devono essere trattati in modo da garantire una sicurezza adeguata, compresa la protezione contro la perdita.
- Art. 5, par. 2: il titolare è responsabile del rispetto dei principi e deve essere in grado di dimostrarlo (accountability).
- Art. 32: il titolare e il responsabile del trattamento devono mettere in atto misure tecniche e organizzative adeguate.
- Art. 33: in caso di violazione dei dati personali, il titolare deve notificare il fatto all’autorità di controllo entro 72 ore.
La mancata notifica al Garante, oltre allo smarrimento in sé della cartella, ha aggravato la posizione della struttura sanitaria, che ha mostrato una gestione inefficace dell’intero processo di protezione dei dati.
Le responsabilità del titolare del trattamento
Nel provvedimento, il Garante ha sottolineato che la struttura sanitaria, in quanto titolare del trattamento, è tenuta a vigilare:
- sull’effettiva attuazione delle misure di sicurezza;
- sull’operato dei responsabili del trattamento, come la società incaricata dell’archiviazione dei documenti.
Anche in presenza di appalti o deleghe, la responsabilità resta in capo al titolare, che deve garantire che i dati siano trattati in modo conforme al GDPR da tutti i soggetti coinvolti nel processo.
La decisione finale del Garante
Considerando che:
- l’evento ha avuto carattere isolato
- ha riguardato un solo interessato
- la violazione è stata classificata come colposa e non dolosa
Il Garante ha optato per una misura di ammonimento, evitando la sanzione pecuniaria.
Una decisione che, pur non infliggendo una multa, lascia un segnale chiaro: la tutela dei dati personali, in particolare quando si tratta di dati sensibili, non può essere trascurata.
4 lezioni da portare a casa
Il caso dello smarrimento della cartella clinica è esemplare per chiunque gestisca dati personali, in particolare quelli appartenenti a categorie particolari ai sensi dell’art. 9 del GDPR (es. dati sanitari). Ecco cosa possiamo imparare:
1. La sicurezza dei dati non è solo una questione informatica
Proteggere i dati significa mettere in sicurezza tutti i supporti su cui i dati sono contenuti: cartacei, digitali, fisici o remoti. Anche una cartella clinica archiviata male può comportare un data breach.
2. La notifica del data breach è un obbligo, non una scelta
Quando si verifica una violazione che potrebbe comportare un rischio per i diritti degli interessati, il titolare ha l’obbligo di notificarla al Garante entro 72 ore. Ritardi o omissioni sono anch’essi passibili di sanzioni.
3. Il titolare è sempre responsabile della filiera
Affidare la gestione dei dati a un fornitore esterno non solleva il titolare dalle sue responsabilità. Serve un controllo costante, contratti ben strutturati e misure di audit per verificare il rispetto delle normative.
4. La formazione è una misura di sicurezza
Una parte importante della sicurezza è la formazione continua del personale. Spesso i data breach nascono da errori umani, disattenzioni, o prassi consolidate non adeguate. Formare significa prevenire.
Il GDPR come cultura della responsabilità
Il caso della cartella clinica smarrita dimostra ancora una volta che il GDPR non è solo un insieme di regole burocratiche, ma un vero e proprio modello di responsabilità nella gestione dei dati.
Un data breach può verificarsi anche senza l’intervento di un hacker: basta una procedura lacunosa o una gestione non documentata.
Investire in sicurezza, formazione e consapevolezza non è solo una tutela per l’organizzazione, ma un gesto di rispetto verso gli interessati. Perché i dati personali non sono solo “file”, ma storie, fragilità, identità.
Se non sei certo che la tua organizzazione sia in regola con il GDPR o vuoi ridurre il rischio di incorrere in un data breach, non aspettare che sia troppo tardi. I nostri consulenti possono aiutarti a valutare i rischi, migliorare le tue policy interne e implementare le misure necessarie.
👉 Contattaci per una consulenza GDPR su misura.