L’avvocato Andrea Sirotti Gaudenzi
Cesena, 10 agosto 2024 – Potrebbero essere più di un migliaio i cesenati la cui privacy sanitaria è stata violata con la diffusione sul dark web (un livello di internet che non è possibile raggiungere utilizzando i normali motori di ricerca) dei dati sensibili che li riguardano. Secondo le comunicazioni ricevute da SynLab e dal Garante della privacy, il laboratorio analisi Suzzi ha subito 667 violazioni, la casa di cura Malatesta Novello 387, e la San Lorenzino 167. In totale sono 1221 violazioni, ma le persone interessate potrebbero essere meno poiché a ogni posizione individuale corrispondono tre schede.
Andrea Sirotti Gaudenzi, avvocato e docente universitario che da anni si occupa di illeciti online e di protezione dei dati personali, quali possono essere le implicazioni per un cittadino che si ritrovi sul web il referto delle sue analisi cliniche?
Se si tratta di analisi di routine, per esempio che segnalino un alto livello del colesterolo e dei trigliceridi nel sangue, il danno potrebbe essere ritenuto modesto, ma se si tratta di malattie gravi, per esempio a trasmissione sessuale come l’hiv, la sifilide o l’epatite, il danno può essere enorme. Se poi si tratta di una persona celebre, come un attore o un calciatore, ancora di più. Si deve riflettere sulle relazioni personali e sullo stato emotivo dei soggetti interessati… A loro volta possono essere parti lese le strutture dove sono stati effettuati i prelievi e poi hanno affidato l’esecuzione delle analisi al laboratorio specializzato.
Chi si è visto mettere in piazza le sue analisi può chiedere un risarcimento?
"Certo, può chiedere una somma proporzionale al danno ricevuto. Inoltre sono ravvisabili varie forme di responsabilità, in considerazione della condotta illecita".
A chi lo può chiedere?
"A chi ha violato i dati e a chi non ha eventualmente adottato le necessarie misure (anche organizzative) per assicurare la protezione dei dati personali. In questo caso, par di capire, al laboratorio al quale sono stati sottratti i dati degli esami effettuati dai pazienti. Ma le responsabilità potrebbero riguardare tutti i soggetti che hanno trattato questi dati".
Come ci si può difendere?
"Provando di avere fatto tutto il possibile per proteggere i dati sensibili dei pazienti. Ma non è facile".
Come può fare un paziente che si sia sottoposto ad analisi nel periodo febbraio 2015 - gennaio 2024 presso le strutture coinvolte nella sottrazione dei dati a sapere se le sue analisi sono state divulgate?
"Deve rivolgersi direttamente alla struttura con la quale ha avuto rapporti, ma credo che non sarà facile ottenere sempre risposte complete tempestivamente. Il rischio è che i dati vengano utilizzati per realizzare veri e propri furti di identità e altri illeciti penali. A ogni modo, penso che questo grave episodio debba servire per sensibilizzare gli operatori del settore nell’adozione di misure adeguate al rischio, tenuto conto delle continue minacce che vengono mosse da chi utilizza il dark web".