Il Garante per la Protezione dei Dati Personali ha comminato una sanzione di 4,5 milioni di euro a un grande gruppo ospedaliero italiano a seguito di un data breach che ha esposto cartelle cliniche e referti di decine di migliaia di pazienti.
L’istruttoria ha evidenziato la mancata adozione di misure tecniche e organizzative adeguate ex art. 32 GDPR: cifratura del dato sanitario assente in più punti della filiera, segregazione di rete inesistente fra applicazioni cliniche e amministrative, autenticazione a fattore singolo per ruoli con accesso massivo a categorie particolari di dati.
La DPIA non è un esercizio di stile
Il provvedimento ribadisce un punto già emerso nelle decisioni del 2024-2025: la DPIA (Data Protection Impact Assessment) è obbligatoria per i trattamenti su larga scala di dati sanitari ed è il documento su cui il Garante valuta la consapevolezza del Titolare. In assenza di una DPIA seria, il Garante presume colpa grave nella scelta delle misure di sicurezza.
Cosa fare oggi
- Mappare i trattamenti sanitari ad alto rischio e verificare l’esistenza (e l’aggiornamento) della DPIA.
- Eseguire un vulnerability assessment indipendente sulle applicazioni che gestiscono cartelle cliniche.
- Valutare la triade ISO 27001 + ISO 27017 + ISO 27018 per chi eroga servizi cloud sanitari.
- Allineare la procedura data breach al termine di 72 ore previsto dall’art. 33 GDPR.