Le mois dernier, un recours collectif putatif a été déposé devant un tribunal fédéral concernant une violation de données résultant de la prétendue divulgation inappropriée des données de traçage des contacts COVID. Lisez la suite pour en savoir plus et comment cette affaire s'inscrit plus largement dans une tendance de violations de données impliquant le secteur de la santé. Chapman c. Commonwealth de Pennsylvanie, et al. n° 1 :21-cv-00824 (M.D. Pa.)
Comme les lecteurs de CPW le savent déjà grâce aux développements de l'année dernière, la « recherche des contacts » est utilisée pour informer les personnes d'une exposition au COVID-19. Dans cette affaire, le demandeur allègue qu'un entrepreneur a été retenu par le ministère de la Santé de Pennsylvanie (« DOH ») au milieu de la pandémie de COVID pour contacter des personnes qui ont été diagnostiquées avec ou à proximité de personnes diagnostiquées avec COVID-19.
Le demandeur allègue que malgré les déclarations selon lesquelles toutes les informations de santé protégées (« PHI ») « obtenues dans le cadre de la recherche des contacts COVID-19 seraient gardées privées et confidentielles, les défendeurs (y compris l'entrepreneur et le DOH de Pennsylvanie) n'ont pas pris « approprié ou même le plus étapes de base pour protéger les RPS du demandeur et des autres membres du groupe contre la divulgation. » Cela incluait l'entrepreneur ayant prétendument des employés qui utilisaient des « méthodes de stockage et de communication de données non sécurisées », ce qui a entraîné la divulgation des RPS du demandeur et des membres du groupe.
La plainte allègue que les défendeurs n'ont pas respecté les obligations qui leur sont imposées en vertu de la loi sur la transférabilité et la responsabilité en matière d'assurance maladie (« HIPAA »).[[Noter : HIPAA ne contient pas de droit d'action privé, donc bien que la plainte allègue une violation de HIPAA, les réclamations du demandeur ne sont pas fondées sur HIPAA.]Le demandeur cherche à certifier une classe composée de "[a]Toutes les personnes aux États-Unis dont les PHI ont été compromis dans la violation de données divulguée par le DOH et Insight entre le 16 mars 2020 et le 29 avril 2021.
Un communiqué de presse traitant de la violation de données a déclaré que les informations divulguées peuvent avoir inclus : (1) les noms des personnes qui ont pu être exposées au COVID-19 (et si elles ont présenté des symptômes), (2) des informations sur le nombre de membres de leur ménage et leurs e-mails et numéros de téléphone, et (3) les informations nécessaires aux services de soutien social concernant les problèmes liés à la COVID-19. Cependant, les informations impactées par la violation n'a pas inclure les numéros de sécurité sociale, les informations de compte financier ou les informations de carte de paiement.
La violation s'est manifestement produite, sur la base de reportages dans les médias, car certains employés du sous-traitant ont créé et utilisé plusieurs comptes Google pour partager des informations dans le cadre d'un "canal de collaboration non autorisé" qui contournait la sécurité du réseau du sous-traitant.
À bien des égards, nonobstant les allégations factuelles uniques, les réclamations et les réparations demandées par le demandeur sont typiques de celles soulevées dans d'autres litiges relatifs aux violations de données et aux événements de données. La plainte comprend des réclamations pour : (1) négligence, (2) négligence en soi, et (3) publicité donnée à la vie privée. Les dommages-intérêts demandés par le demandeur comprennent, entre autres, « une réparation équitable obligeant les défendeurs à utiliser des méthodes et des politiques appropriées en ce qui concerne la collecte, le stockage et la sécurité des données des consommateurs, et à divulguer avec précision le type de RPS compromis lors de la violation de données. "
Alors que le nombre de violations de données et d'événements de données impliquant des entités du secteur de la santé continue d'augmenter, le nombre de poursuites judiciaires alléguant une divulgation inappropriée de PHI augmentera également. Pour plus d'informations sur ce litige et d'autres développements en matière de confidentialité des données, restez à l'écoute.
© Copyright 2021 Squire Patton Boggs (US) LLPNational Law Review, Volume XI, Numéro 153
