CoPilot Provider Support Services è un azienda produttrice di soluzioni informatiche per il settore sanitario. Tra queste vi è una piattaforma web utilizzata dagli studi medici per verificare lo stato della copertura assicurativa dei pazienti destinatari di particolari iniezioni.

Nell’ottobre 2015 il database è stato violato e i dati di 220.000 persone (dati anagrafici, assicurativi e, in alcuni casi, Social Security Number) sono stati resi disponibili al pubblico. La cosa ancor più grave è che gli interessati coinvolti sono stati avvisati solo nel gennaio 2017.

L’azienda ha cercato di giustificare il ritardo con il Procuratore Generale di New York adducendo il fatto che riteneva doveroso attendere la conclusione dell’indagine del FBI sull’accaduto prima di divulgare la notizia.

Ora – stando alla notizia riportata da Modern Health Care – l’azienda si è accordata con l’Attorney General per il pagamento di una sanzione da USD 130.000 come penalità per il grave ritardo della notificazione rispetto a quanto stabilito dalla legge che ne richiede l’immediatezza. Il settlement prevede, inoltre, esplicite istruzioni affinché qualsiasi futuro caso di data breach sia portato immediatamente a conoscenza da CoPilot, salvo gli investigatori le intimino con ordine scritto il rinvio della comunicazione per motivi di riservatezza delle indagini.

Ricordiamo che attualmente in Italia la normativa (si veda qui l’infografica riassuntiva del Garante) prevede l’obbligo di pronta comunicazione delle violazioni della sicurezza dei dati solo in casi specifici e tassativamente previsti riguardanti società telefoniche ed internet providers, amministrazioni pubbliche, database contenenti dati biometrici, dossier sanitario elettronico. Dunque, una simile negligenza non sarebbe stata direttamente perseguibile ai sensi del Codice Privacy.

Con l’entrata in vigore del GDPR lo scenario muterà radicalmente: dal 25 maggio 2018 tutte le aziende che abbiano subito un data breach dovranno procedere a notificazione all’Autorità nazionale entro le prime 72 ore (art. 33) e dovranno informare gli interessati “senza ingiustificato ritardo” (art. 34). L’inosservanza di queste disposizioni sarà sanzionabile in base agli elevatissimi parametri previsti dalla nuova regolamentazione.