Esposti online 100.000 foto e video di pazienti sottoposti a "ritocco"estetico

Non a tutti quelli che ricorrono al "ritocco" del chirurgo piace far sapere in giro il loro segreto, e per questo quando devono scegliere la struttura a cui affidarsi non guardano solo le credenziali del medico, ma anche il livello di riservatezza che garantisce la struttura. Quest'accortezza non è però bastata a migliaia di pazienti che si erano sottoposti a interventi di chirurgia estetica le cui fotografie non erano adeguatamente protette sul web e potenzialmente accessibili da chiunque.

E' accaduto ai clienti della NextMotion, una società francese in costante espansione che vanta 170 cliniche in tutto il mondo e una presenza in 35 paesi, che sul proprio sito mette in bella evidenza vari bollini relativi a certificazioni sulla sicurezza delle informazioni Iso 27001 e sulla conformità al Gdpr (General Data Protection Regulation), accompagnati dallo slogan "la sicurezza dei tuoi dati è la nostra priorità".

Eloquente documentazione che faceva proprio sembrare la NextMotion come la struttura giusta per gli amanti della privacy, almeno fino a quando nei giorni scorsi degli esperti di sicurezza del team di VPN Mentor non hanno fatto la clamorosa scoperta:

un enorme archivio online non dotato di adeguate misure di sicurezza costituito da 900mila file contenenti oltre 100.000 immagini e video di profili di pazienti, comprese le fotografie dei loro volti e le specifiche parti del loro corpo sottoposte ad operazione, come foto ravvicinate di seni, glutei, parti intime, scatti "prima e dopo" l'intervento, ed anche le fatture con i dettagli ed i costi sostenuti dai clienti. Un patrimonio di dati sensibili di tale impatto da poter risultare devastante per gli interessati se fosse finito nelle mani sbagliate o se fosse diventato di pieno pubblico dominio, come d'altra parte sarebbero stati disastrosi gli effetti per la stessa NextMotion, che si sarebbe potuta esporre a richieste danni da parte dei pazienti, alle pesanti sanzioni dei Gdpr, nonché ad effetti negativi sulla reputazione aziendale con il rischio di perdere molti clienti sfiduciati.

A seguito della scoperta degli informatici, sul sito di NextMotion è stato pubblicato un comunicato di scuse in cui la società dichiara di aver immediatamente preso provvedimenti correttivi, assicurando che il difetto di sicurezza è adesso stato eliminato, e rinnovando il proprio impegno a proteggere sempre meglio i dati personali dei propri clienti. Almeno per stavolta, sembrerebbe quindi che il peggio sia stato evitato.

Se è fuori discussione che la NextMotion dedichi impegno e risorse per tutelare i dati dei suoi pazienti, è pur vero che il rischio di questi "data breach" si sempre può minimizzare ma mai eliminare del tutto, per cui una lezione che può trarre chi ha intenzione di rivolgersi ad una clinica di chirurgia estetica è quello di verificare preventivamente che la struttura non abbia una buona polizza assicurativa solo per i danni fisici che potrebbe subire un paziente, ma anche per quelli morali e quelli conseguenti a violazioni della privacy.

Nicola Bernardi, Presidente di Federprivacy - @Nicola_Bernardi