Data breach? Attacchi hacker? Cose di questo genere accadono solo alle grandi aziende, di recente all’ABB e prima ancora a CH Media. Chi la pensa così non è molto lungimirante. Secondo il legislatore, si ha infatti una violazione della sicurezza dei dati ogniqualvolta «dati personali vengono involontariamente o illecitamente smarriti, cancellati, distrutti o modificati oppure pubblicati o resi accessibili a soggetti non autorizzati». Non appena, quindi, viene compromessa la riservatezza, l’integrità o la disponibilità dei dati personali, si ha in linea di principio una violazione della sicurezza dei dati.

Tutto ciò può accadere rapidamente: a chi non è mai capitato per errore di inviare un’e-mail a una cerchia di destinatari errata, di smarrire una chiavetta USB o di cancellare definitivamente una conversazione via e-mail? Tutti questi esempi sono, per definizione, incidenti relativi alla protezione dei dati, anche se non rientrano tra quelli che devono essere notificati all’Incaricato federale della protezione dei dati e della trasparenza (IFPDT). Quando si verifica un incidente relativo alla protezione dei dati, innanzitutto è necessario considerare quali conseguenze potenziali può avere questa perdita dei dati per i soggetti interessati. Vengono intaccati i diritti fondamentali o della persona? L’avvocato Roman Böhni, specializzato nel diritto in materia di protezione dei dati, suggerisce: «In questi casi è importante reagire con onestà, rapidità, ma anche ragionevolezza. Se si comprende che il rischio per la persona coinvolta è elevato, è necessario comunicare il prima possibile l’accaduto all’IFPDT. Inoltre, si deve informare anche il soggetto coinvolto se è indispensabile per la sua tutela.»

Con quali tempistiche deve avvenire la notifica?
La legge svizzera non dà un’indicazione esatta, ma dice «il prima possibile». L’UE prescrive per la comunicazione dei casi di tutela dei dati un termine di 72 ore. Roman Böhni afferma al riguardo: «Naturalmente le 72 ore valide nell’UE sono applicabili anche in Svizzera. La cosa importante è che, una volta che si è venuti a conoscenza di un caso, si avvii subito l’analisi, senza perdere tempo prezioso. A seconda dell’evento, analisi, valutazione e attuazione di eventuali misure possono risultare complesse e richiedere molto tempo. Eventualmente si deve anche ricorrere a un aiuto esterno e in tal caso il tempo vola.» Negli episodi molto complessi (ad es. attacco hacker) si consiglia di effettuare il prima possibile una prima comunicazione all’IFPDT, da integrare poi periodicamente con le conoscenze acquisite in seguito. Come detto sopra, può essere opportuno informare anche la persona interessata, se utile per la sua tutela personale, ad esempio quando sono state sottratte delle password. La legge prescrive il contenuto minimo delle rispettive comunicazioni.

Come per tutti i rischi, anche in caso di un incidente di sicurezza dei dati è opportuno prepararsi al meglio. Roman Böhni afferma: «In caso di crisi, tutto ciò che si ha già a disposizione risulta utile: appunti, riflessioni, piani, liste di controllo, processi, persone di contatto e naturalmente l’esperienza. Per ciò che concerne l’nLPD è importante però soprattutto definire in anticipo il processo e le persone di contatto. Un incidente di sicurezza dei dati può diventare rapidamente di difficile gestione e fonte di stress per tutte le persone coinvolte. In questi casi aiuta avvalersi di riflessioni già collaudate e di procedure predefinite.»

Che la frequenza degli episodi di data breach nel settore sanitario sia superiore o inferiore alla media è tema di grande speculazione. Secondo le statistiche americane, inclusa quella di Ekran, il settore sanitario è nel complesso al secondo posto per i casi di sicurezza dei dati, subito dopo la pubblica amministrazione.

La Federazione dei medici svizzeri ha pubblicato una lista di controllo con il rispettivo iter procedurale:

https://www.fmh.ch/files/pdf29/check-list-e-procedura-in-caso-di-violazioni-della-protezione-dei-dati.pdf