Cosa accade quando i nostri dati più sensibili – quelli genetici – finiscono nelle mani sbagliate? È quanto successo alla società americana 23andMe, specializzata in test del DNA per scopi genealogici e sanitari, che si è trovata al centro di uno dei casi di violazione della privacy più gravi degli ultimi anni.
Nei giorni scorsi, l’autorità britannica per la protezione dei dati (ICO) ha inflitto alla società una sanzione di 2,7 milioni di euro per non aver adeguatamente protetto le informazioni personali di quasi 7 milioni di utenti, tra cui oltre 155.000 cittadini britannici. L’attacco informatico è avvenuto sfruttando una tecnica nota come credential stuffing, ovvero l’utilizzo di combinazioni di email e password già trapelate in precedenti violazioni. Un metodo semplice, ma devastante, quando i sistemi di sicurezza non prevedono nemmeno l’autenticazione a due fattori.
Ma la falla non è stata solo tecnologica. A rendere ancora più grave il caso è stato il ritardo nella gestione dell’incidente: 23andMe ha notificato la violazione solo dopo che i dati erano già comparsi online, alimentando sospetti e indignazione.
L’ICO ha sottolineato che, trattandosi di dati genetici e sanitari – tra i più tutelati dal GDPR e dalle normative internazionali – l’azienda avrebbe dovuto adottare standard di sicurezza molto più alti, sia dal punto di vista tecnico che organizzativo. Non è stato così, e ora l’episodio si aggiunge alla lunga lista di casi che dimostrano quanto la protezione dei dati non possa più essere trattata come un semplice adempimento, ma come una vera e propria priorità strategica.
Il caso 23andMe non è un’eccezione isolata. Negli ultimi anni, il mondo della sanità è diventato uno dei bersagli principali per attacchi informatici e violazioni della privacy. I dati trattati – anamnesi, diagnosi, terapie, profili genetici – sono estremamente sensibili e, se esposti, possono avere conseguenze molto gravi per i pazienti.
Nel 2022, ad esempio, la Dedalus Biologie, società francese che fornisce software per laboratori medici, è stata sanzionata con 1,5 milioni di euro dopo che oltre 490.000 dati sanitari erano finiti online. Le informazioni comprendevano test HIV, profili genetici e trattamenti oncologici. La violazione è stata aggravata dall’assenza di misure minime come la crittografia o l’accesso riservato ai dati.
Un altro caso emblematico arriva dalla Finlandia, dove nel 2021 lo studio di psicoterapia Vastaamo è stato colpito da un attacco che ha fatto trapelare i dati clinici di oltre 30.000 pazienti, molti dei quali ricattati con la minaccia di rendere pubbliche le loro cartelle. Una violazione che ha avuto conseguenze psicologiche e legali devastanti, oltre a una multa e alla chiusura definitiva dell’azienda.
E anche in Italia, seppur con minore eco mediatica, non mancano episodi significativi. Il Centro di Medicina Preventiva, ad esempio, è stato sanzionato dal Garante per non aver adeguatamente protetto i dati sanitari dei pazienti, poi esposti a seguito di un attacco informatico.
Questi casi ci ricordano che nessuna struttura sanitaria può dirsi al sicuro senza un approccio serio e integrato alla protezione dei dati. Non bastano moduli e cartelli informativi: serve una strategia concreta, costante e professionale.
Sebbene la sanzione sia stata emessa in un contesto extra-UE, il caso solleva interrogativi cruciali anche per il sistema sanitario italiano, dove la gestione dei dati sensibili è un tema sempre più centrale per medici, farmacie, cliniche e case di cura.
In Italia, infatti, le strutture sanitarie – pubbliche e private – trattano quotidianamente dati che rientrano nelle categorie particolari ex art. 9 del GDPR, e sono tenute a dimostrare piena conformità alle normative sulla privacy e sicurezza.
Molte realtà, però, si affidano a soluzioni generiche, sottovalutando l’importanza di:
un Registro dei Trattamenti aggiornato e coerente,
una formazione privacy obbligatoria e continua,
un sistema di audit e controllo attivo,
il supporto legale necessario in caso di contestazioni o data breach.
Consulcesi & Partners da oltre vent’anni affianca medici, farmacisti, cliniche e strutture sanitarie in materia legale, giuslavoristica e fiscale. Per quanto riguarda la privacy, offre un sistema professionale ma allo stesso tempo semplice, chiaro e continuativo.
Un servizio completo che garantisce la conformità normativa e ti protegge da rischi sanzionatori.
Audit personalizzati, tarati su specifiche esigenze sanitarie
Supporto nella redazione e gestione del Registro dei Trattamenti
Formazione obbligatoria per tutto il personale, anche in modalità e-learning
Consulenza legale continuativa per risolvere dubbi e criticità operative
Servizio DPO esterno per le strutture che ne hanno l’obbligo o la necessità
L’obiettivo non è solo evitare sanzioni, ma trasformare la compliance in un punto di forza per la reputazione professionale.
Nel mondo della sanità, dove fiducia e sicurezza sono valori fondamentali, essere conformi significa anche dare valore ai propri pazienti e proteggere la propria attività.