Violazione dei dati sanitari: evento (in)evitabile?

È emersa dall’Autorità Garante per la protezione dei dati personali una profonda preoccupazione sul tema della necessità di un’adeguata tutela dei dati sanitari. A scatenare tale allarmismo sono state le recenti sanzioni nei confronti di due ospedali e un ‘ASL per aver trattato illecitamente i dati sanitari di alcuni pazienti.

Le sanzioni del Garante sono state frutto di errate procedure poste in essere dai dipendenti delle strutture sanitarie.

Allo scopo di garantire una maggiore protezione dei dati personali, il Garante Privacy aveva, già, con deliberazione del 10 dicembre 2020, approvato il Programma delle ispezioni di ufficio pianificate per il primo semestre (gennaio-giugno) 2021. Con esso l’Autorità ha espresso – soprattutto alla luce di questi spiacevoli episodi di grave violazione della privacy – la necessità impellente, per le organizzazioni che conservano nei propri archivi dati personali, di rivedere e aggiornare le proprie policies in materia di data breach e di predisporre un’apposita procedura di gestione delle richieste e delle ispezioni del Garante.

I Casi

Sono tre i provvedimenti sanzionatori del Garante. Il primo riguarda un ospedale toscano punito con una sanzione da 10.000 euro per aver spedito, tramite posta, a un altro paziente una relazione medica contenente informazioni riguardanti la salute e la vita sessuale di un’altra persona.

Il secondo caso preso in esame riguarda, un ospedale emiliano sanzionato , sempre per 10.000 euro, a causa della consegna di cartelle cliniche a persone sbagliate e contenenti, inoltre, dati di un minore.

L’ultimo caso risulta quello più grave. Un’ASL dell’Emilia Romagna, ha fornito per errore informazioni riservate riguardanti la salute di un paziente a soggetto terzo, suo familiare, senza autorizzazione. La gravità si evince nella leggerezza dell’atto, poiché la paziente, tramite la sottoscrizione di apposito modulo, aveva espresso chiaramente la sua volontà a non comunicare alcuna informazione sul suo stato di salute. Tuttavia, un’infermiera, ignara del modulo sottoscritto dalla paziente, metteva a conoscenza, per via telefonica, il marito della stessa. Il Garante Privacy ha quindi sanzionato l’ASL, condannandola al pagamento di una sanzione pecuniaria pari a euro 50.000, a causa della violazione degli artt. 5, par. 1, lett. a), d) e f), 9 e 32, par. 1, lett. b) del GDPR

Il monito dell’Autorità Garante

Una violazione, quindi, di categorie particolari di dati attinenti alla sfera della salute dell’individuo e come tali devono essere adeguatamente protetti da qualsiasi ingiustificata ingerenza esterna. Tali informazioni, infatti, possono essere comunicati a terzi ove sussista un presupposto giuridico o su espressa indicazione dell’interessato. Al fine di prevenire altri casi, il Garante ha invitato tutte le strutture ospedaliere a rispettare i principi di liceità, correttezza e trasparenza del trattamento dei dati personali.

L’Autorità Garante ha, inoltre, evidenziato la necessità per le strutture ospedaliere di adottare tutte le misure tecniche e organizzative adeguate a evitare nuovamente la comunicazione erronea a soggetti terzi dei dati dei loro pazienti.

Conclusioni

Da questi fatti emerge la difficoltà per le strutture sanitarie nel trattare dati personali dei propri pazienti. Questi casi di data breach non sono dovuti ad attacchi informatici, ma a pratiche sbagliate da parte delle strutture sanitarie. Dunque, allo scopo di prevenire simili episodi di violazioni dei dati e per tutelare maggiormente gli interessati è fondamentale insistere sull’importanza di investire nella formazione dei dipendenti e nell’implementazione di adeguate misure tecniche e organizzative. Ciò allo scopo di rendere il personale sanitario più consapevole circa i rischi e i pericoli delle falle dei sistemi informatici e di sicurezza e di taluni comportamenti negligenti che possono comportare violazioni anche molto gravi.

Da questo emerge, infine, la necessità di introdurre all’interno delle strutture mediche una figura adeguata che possa seguire questi processi. La mancanza di un DPO consapevole del suo ruolo e realmente preparato non è più una situazione accettabile in un sistema che richiede a gran voce un orientamento costante verso i processi e che sia, quindi, adeguato e all’altezza dell’attuale avanzamento tecnologico.

Leggi la notizia –Newsletter 19/02/21 – Data breach sanitari, Garante privacy sanziona tre strutture

Cookie	Durata	Descrizione
AWSALBCORS	7 days	This cookie is managed by Amazon Web Services and is used for load balancing.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.
WLM_TEST_COOKIE	session	This cookie is used by the WishList Member. It checks whether the browser has enabled cookies or not.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_1975075_20	1 minute	Set by Google to distinguish users.
_gat_gtag_UA_92784998_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	16 years 3 months	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Durata	Descrizione
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durata	Descrizione
AWSALB	7 days	AWSALB is a cookie generated by the Application load balancer in the Amazon Web Services. It works slightly different from AWSELB.
captcha-cookie	1 day	No description
ccc	1 month	No description
xb	1 year	No description available.

Violazione dei dati sanitari: evento (in)evitabile?

I Casi

Il monito dell’Autorità Garante

Conclusioni

Il praticante avvocato oggi e il futuro della professione forense nell’era digitale

Information Security e Digital Forensics

Master PERF.ET

WebTV MRTV ‖ Lo ho-BIT – una digicrazia inaspettata

Newsletter

Lecce

Milano

Roma

Biella

Castellammare di Stabia

NAVIGA