Come gestire correttamente la comunicazione verso i pazienti e non incorrere in sanzioni
Quando un’ASL subisce un attacco informatico, la gestione della comunicazione del data breach ai pazienti è un momento delicatissimo, che può fare la differenza tra una semplice criticità e una sanzione pesante da parte del Garante Privacy. L’articolo 34 del GDPR parla chiaro: se c’è un rischio elevato per i diritti e le libertà delle persone, bisogna informare subito gli interessati. E nel settore sanitario, quel rischio è praticamente sempre presente.
Perché è obbligatorio informare i pazienti?
Perché la legge lo impone e i dati sanitari sono estremamente sensibili. Quando si parla di informazioni sulla salute, non siamo solo nel campo del diritto alla privacy, ma anche della dignità personale. Un errore nella comunicazione o un ritardo può avere conseguenze molto serie: per questo il Garante Privacy ha più volte sanzionato ASL che hanno agito in modo superficiale o tardivo. Non basta un comunicato sul sito: serve una comunicazione diretta, chiara, personalizzata.
Come dev’essere fatta la comunicazione agli interessati?
Va fatta “senza ingiustificato ritardo” e con informazioni precise. Il contenuto deve spiegare cosa è successo, quali dati sono stati coinvolti, quali sono le possibili conseguenze e quali misure sono state già adottate. Il linguaggio? Deve essere semplice e accessibile, senza tecnicismi. I pazienti devono capire immediatamente se sono stati coinvolti, cosa rischiano e come possono proteggersi.
Perché non basta pubblicare un avviso online?
Perché non è considerata una comunicazione valida. Pubblicare un avviso sul sito istituzionale è una misura troppo generica. Se l’ASL ha a disposizione email, indirizzi postali o altri contatti dei pazienti, deve usarli. Il Garante ha sottolineato questo aspetto in più provvedimenti: i soggetti devono essere raggiunti individualmente con una comunicazione diretta, non lasciati a scoprire da soli che i propri dati sono finiti nelle mani sbagliate.
Quanto tempo si ha per informare?
Poco. Il prima possibile, indipendentemente dalle indagini tecniche. Attendere la fine delle verifiche informatiche è un errore grave. Il GDPR impone tempi stringenti: la notifica al Garante va fatta entro 72 ore dalla scoperta del breach, e quella agli interessati deve seguire subito, senza attendismi. Ritardare è un’aggravante, perché limita la possibilità per i pazienti di proteggersi.
Quali sono gli errori più gravi da evitare?
Non comunicare, comunicare tardi, comunicare male. Alcune ASL hanno sottovalutato l’obbligo, altre hanno usato linguaggi incomprensibili o non hanno spiegato bene le conseguenze del furto di dati. Altre ancora hanno omesso i dettagli tecnici, oppure non hanno indicato quali azioni erano già state intraprese. Tutto questo compromette la trasparenza e può portare a sanzioni pesanti. Non si tratta solo di burocrazia: è una questione di fiducia e rispetto verso il cittadino.
Come prepararsi per tempo?
Con procedure organizzative e modelli pre-approvati. Le ASL devono dotarsi di strumenti pronti all’uso: testi già redatti e verificati dal DPO, flussi interni chiari, team di crisis management multidisciplinari. Quando scatta l’allarme, non si può perdere tempo a scrivere email da zero o decidere chi deve firmare cosa. Serve una risposta coordinata, rapida e tracciabile.
Perché è importante documentare tutto?
Per dimostrare di aver agito correttamente e tempestivamente. Ogni azione intrapresa va tracciata: dalle verifiche tecniche alle comunicazioni ai pazienti, fino al dialogo con il Garante. In caso di ispezione, questa documentazione sarà l’unica arma difensiva dell’ente. E attenzione: dichiarazioni false o imprecise possono costare caro, anche penalmente.
Quali enti vanno coinvolti?
Non solo il Garante. Anche Polizia Postale e ACN se necessario. Ogni caso ha le sue specificità, ma è importante sapere che, oltre alla notifica all’autorità privacy, può essere obbligatorio avvisare anche altri soggetti istituzionali. La cybersecurity, ormai, è un affare anche di Stato, e il rispetto della normativa NIS 2 può diventare centrale in caso di attacchi gravi.
Gestire un data breach nel modo corretto non è facoltativo. È un obbligo giuridico, ma anche un dovere morale nei confronti dei pazienti. Serve organizzazione, tempestività e chiarezza.
E per quanto riguarda invece la privacy all’interno delle parti comuni? Scarica il nostro manuale gratuito per essere conforme alla normativa privacy nell’ambito del condominio.
Clicca sul seguente link: https://www.tutelacondomini.it/nuove-linee-guida-privacy-in-condominio/
