Casi data breach

Il fattore umano, tradizionalmente, è stato da sempre una delle maggiori fonti di incidenti di sicurezza, sia per errori involontari sia per comportamenti intenzionali (ad esempio, per ritorsione riguardo a situazioni ritenute ingiustamente penalizzanti o per infedeltà e comportamenti illeciti). Con la pandemia si è aggiunto un ulteriore fattore incrementale dovuto alle persone che lavorano da remoto, costringendo ad un superlavoro degli addetti IT per configurare gli accessi e i controlli di sicurezza per il personale.

In tutti i casi, poche sono le misure preventive per ridurre il verificarsi di tali incidenti.

La newsletter del Garante del 19/2/2021 menziona 3 casi di incidenti umani nel settore sanitario che hanno portato a sanzioni:

  • «un ospedale toscano ha ricevuto la sanzione di 10.000 euro per aver spedito via posta, al paziente sbagliato, una relazione medica contenente le informazioni sulla salute e la vita sessuale di un’altra coppia»
  • «un ospedale dell’Emilia-Romagna ha ricevuto la sanzione di 10.000 euro per aver consegnato a dei pazienti cartelle cliniche contenenti dati e referti riferibili ad altre persone, incluso un minore»
  • un’infermiera del reparto dove una paziente stava seguendo delle terapie la contatta sul numero di casa, parlando così con un familiare, sebbene la donna avesse «esplicitamente richiesto – sottoscrivendo un apposito modulo – che nessun soggetto esterno» venisse informato.

In aggiunta, è da osservare che, quando l’errore non riguarda il contesto tecnico, come nei casi sopra riportati, spesso non viene considerato come incidente e, di conseguenza, come violazione di dati personali, in quanto la tradizionale cultura del data breach è orientata verso quegli incidenti che coinvolgono le infrastrutture tecnologiche aziendali.

La terza tipologia di casi di data breach affrontati nelle linee guida EDPB 01/2021 è appunto quella degli incidenti da fonti umane interne.