Perché il Garante ha multato il Campus Bio-Medico di Roma

Alla vigilia di un nuovo lockdown, cresce l’allerta sui rischi sanitari e clinici derivati dalle possibili minacce legate all’ambiente che ci circonda. Eppure, i rischi maggiori non sono collegati soltanto a fattori fisici, ma possono provenire anche da ambienti digitali, con il verificarsi di episodi – sempre più frequenti- di violazioni dei dati sanitari ed incidenti informatici. Si prenda come esempio il gravissimo episodio recentemente accaduto in Germania: una paziente è deceduta alle porte di una clinica per impossibilità di ricovero causata da un attacco ransomware ai sistemi del pronto soccorso.

Eppure, occorre ricordare che chi sviluppa e utilizza i software destinati all’ambiente sanitario, ma più in generale, chi si occupa della governance di questi flussi di dati, dovrebbe predisporre misure di sicurezza tali da prevenire e minimizzare del tutto il rischio per i diritti e le libertà degli interessati, sia in caso di attacchi, che di problemi derivanti da errori “umani”

Qualche giorno fa ad essere sotto i riflettori è stata l’Azienda Ospedaliera Cardarelli di Napoli a cui il Garante nazionale ha irrogato una sanzione di 80mila euro per avere trattato in modo illecito i dati di circa 2000 aspiranti infermieri candidati ad un concorso.

Adesso invece è la volta dell’Università Campus Bio-medico di Roma a cui il Garante ha irrogato una sanzione per aver violato la riservatezza dei referti on line di alcuni utenti.

Bug dei sistemi informatici e violazione dei referti online

Il Campus Bio-medico di Roma, dopo aver ricevuto la segnalazione dell’incidente informatico, ha notificato all’Autorità Garante una violazione dei dati personali (art. 33 GDPR) relativamente al sistema di consultazione dei referti online.

Nell’arco temporale compreso tra il novembre 2016 e l’agosto 2019 degli utenti hanno avuto accesso ai dati relativi alla salute di alcuni pazienti (come immagini radiologiche, dati anagrafici e referti) a causa di un errore umano nella configurazione dell’integrazione di due sistemi informatici (CSAP-MyVue e il portale per i pazienti MyHospital).

Così come confermato successivamente dallo stesso Campus, a seguito del “bug” si è provveduto immediatamente all’interruzione del servizio di pubblicazione delle immagini e dei referti online e, contestualmente, è stata inviata una segnalazione al fornitore del sistema (CSAP-MyVue) che ha subito provveduto al reset del parametro dell’integrazione, al fine di impedire ulteriori accessi.

Il Campus ha voluto precisare anche che non risulta essere stato effettuato alcun download dei dati a seguito dell’intervento correttivo.

L’attività istruttoria condotta dal Garante

A seguito dell’attività istruttoria condotta dal Garante, è stato rilevato che la struttura ha consentito l’accesso agli utenti del portale MyVue ai dati relativi alla salute di altri utenti (ben 74), permettendo così il libero accesso a categorie particolari di dati (radiografie, referti, ecc), in assenza di un idoneo presupposto, comportando una violazione della normativa in materia di protezione dei dati.

Precisamente, la violazione riguarda il contenuto dell’art. 5 (principi di liceità, correttezza e trasparenza) e dell’art 9 del GDPR (trattamento delle categorie particolari di dati) nonché dell’art. 75 del Codice Privacy (specifiche condizioni in ambito sanitario).

A causa delle violazioni della normativa in materia di trattamento dei dati personali, il Garante ha irrogato al Campus Bio-medico una sanzione di 20mila euro secondo quanto stabilito dall’art. 83 par.5 lett a) del GDPR.

Corsi professionali finanziabili con Pass imprese

Interamente finanziabili dalla Regione Puglia con Pass Imprese, entro il 30 novembre

Sei percorsi ideati con l’obiettivo di fornire un’adeguata formazione a professionisti Pugliesi in ambito digitale e ICT.
Si tratta di corsi interamente finanziabili dalla Regione Puglia con Pass Imprese, per chi sceglierà di iscriversi entro il 30 novembre.

codice: KD04

SCOPRI SUBITO

Cookie	Durata	Descrizione
AWSALBCORS	7 days	This cookie is managed by Amazon Web Services and is used for load balancing.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.
WLM_TEST_COOKIE	session	This cookie is used by the WishList Member. It checks whether the browser has enabled cookies or not.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_1975075_20	1 minute	Set by Google to distinguish users.
_gat_gtag_UA_92784998_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	16 years 3 months	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Durata	Descrizione
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durata	Descrizione
AWSALB	7 days	AWSALB is a cookie generated by the Application load balancer in the Amazon Web Services. It works slightly different from AWSELB.
captcha-cookie	1 day	No description
ccc	1 month	No description
xb	1 year	No description available.

Perché il Garante ha multato il Campus Bio-Medico di Roma

Bug dei sistemi informatici e violazione dei referti online

L’attività istruttoria condotta dal Garante

Corsi professionali finanziabili con Pass imprese

Interamente finanziabili dalla Regione Puglia con Pass Imprese, entro il 30 novembre

Vengo dopo il DIGEAT – L’utilizzo corretto degli strumenti IT e di IA nelle organizzazioni pubbliche e private

Lo ho-BIT – Andata e Ritorno

Di

Newsletter

NAVIGA

Lecce

Milano

Roma

Biella

Castellammare di Stabia

Lecco