Cyber Risk e violazione della privacy

La violazione della privacy è, oggi, un reato molto serio. Le sanzioni possono essere pesanti ed il titolare del trattamento dei dati può subirne le conseguenze anche penalmente. Ecco perché è importante tutelarsi dal Cyber Risk. Di seguito affrontiamo la questione partendo da un caso concreto che ha coinvolto i professionisti della salute qualche anno fa.

2016: Data Breach in studi medici
Ha fatto scalpore al tempo la notizia di una trentina di medici condannati per violazione della privacy a seguito di un episodio di Data Breach. Con “Data Breach” si intende – così come è riportato sul sito del Garante della Privacy – “[u]na violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.” I professionisti, tutti operativi nella stessa regione, hanno dovuto sostenere due procedimenti legali distinti, uno civile e l’altro penale. La condanna civile ha prodotto sanzioni dai 10.000 ai 120.000 euro per medico; la condanna penale è stata convertita in una multa di 30.000 euro. Ma poteva andare molto peggio. L’ipotesi di condanna penale inizialmente contemplava l’arresto, per due anni, nonché la sospensione dall’attività medica.

Violazione di dati personali: cosa fare
A prescindere dal caso in questione, sorto proprio a ridosso dell’introduzione del Regolamento (UE) 2016/679, e pertanto in un periodo in cui il livello di attenzione su tali rischi era probabilmente piuttosto basso, è bene non sottovalutare affatto le conseguenze dei cyber attacchi da parte di chi – come il medico professionista – è titolare del trattamento dei dati.
Ciò che il Garante della Privacy richiede, in caso di Data Breach, al titolare del trattamento, è che costui notifichi la violazione senza ritardo e possibilmente entro 72 ore dall’evento, a meno che sia improbabile un rischio reale per le persone coinvolte. Se, viceversa, la violazione dovesse rappresentare un rischio elevato per i diritti delle persone coinvolte, il titolare deve attivarsi ed informare quanto prima i diretti interessati.
Per comunicare la notifica al Garante della Privacy, il medico professionista deve seguire una apposita procedura telematica, seguendo le istruzioni presenti sul portale GDPR.

Le azioni sanzionatorie del Garante della Privacy
Ricevuta la notifica, il Garante risponde al titolare del trattamento dei dati intimando di apportare, se è il caso, eventuali modifiche alle misure di sicurezza adottate dal professionista. Le sanzioni previste possono essere molto salate ed arrivare sino a 10 milioni di euro.
A ciò si può aggiungere, ovviamente, la richiesta di risarcimento da parte dei diretti interessati e – nei casi più gravi – l’aprirsi di un procedimento di tipo penale.

Tutelarsi con la polizza rischio cyber
SanitAssicura veicola, tramite i propri consulenti, una copertura assicurativa a tutela degli eventuali attacchi cyber. La polizza protegge il professionista in particolar modo per i casi di violazione della Privacy.
Le garanzie previste nel contratto sono le seguenti:

una tutela di responsabilità civile, connessa a:

perdita o diffusione non autorizzata di dati elettronici o di informazioni di terzi di cui l’assicurato sia giuridicamente responsabile e che siano state specificatamente identificate dal conferente come confidenziali e protette;

le richieste di risarcimento relative alla violazione della Privacy;

la violazione dei dispositivi di sicurezza e/o perdita e/o modifica e/o alterazione di dati elettronici;

un rimborso dei costi e delle spese per:

attività di investigazione circa l’origine e le cause dell’evento assicurato;

la comunicazione agli interessati, ivi inclusi gli organi di controllo, della perdita dei dati;

un servizio di monitoraggio delle posizioni di credito in caso di Data Breach;

la difesa legale conseguente ad un’azione da parte di organi di controllo;

l’indennizzo del costo di ripristino dei dati perduti o danneggiati;

una tutela contro la cyber-estorsione, volta a garantire l’ordinario svolgimento delle attività in presenza di una minaccia ransomware;

una diaria da interruzione di attività a seguito di un cyber attacco.

Per conoscere i massimali, gli scoperti, le franchigie e tutte le altre caratteristiche della polizza, è possibile richiedere una consulenza specifica ai professionisti di SanitAssicura.

Riccardo Cantini