GUARDA QUIhttps://www.accademiaitalianaprivacy.it/areaprivata/foto/496/01.png
mercoledì 24 febbraio 2021
di s-mart.biz
Il Garante per la Protezione dei dati personali ha sanzionato tre strutture sanitarie per varie inadempienze alle previsioni del GDPR. Come si sa, infatti, i dati sanitari sono ritenuti dati estremamente sensibili ed è obbligo normativo per le strutture sanitarie quello di adottare tutte le necessarie misure tecniche e organizzate per evitare non solo data breach, ma anche l'errata comunicazione di dati sanitari a soggetti diversi dall'interessato. Insomma le strutture sanitarie devono occuparsi anche di stabilire idonee procedure che riducano al minimo i rischi di errore del personale.
Le strutture sanzionate per errata comunicazione di dati sensibili a terzi
La prima struttura sanzionata è stata un ospedale toscano, che ha subito una sanzione dell'ammontare di 10.000 euro per aver inviato per posta al paziente sbagliato una comunicazione contenente informazioni sulla salute e la vita sessuale di una coppia terza.
La seconda struttura sanitaria multata, con una sanzione dello stesso importo, è un ospedale dell'Emilia Romagna: anche in questo caso la sanzione è conseguente alla consegna ad alcuni pazienti di referti e cartelle cliniche contenenti dati sensibili riferiti ad altre persone.
In entrambi i casi il Garante, per valutare il corretto ammontare della sanzione, ha voluto tenere di conto l'immediata disponibilità e volontà di collaborazione mostrata dalle due strutture sanitarie, anche alla luce del fatto che i due episodi si sono dimostrati non solo isolati, ma dovuti ad errore umano involontario. Inoltre i due ospedali hanno già pianificato ulteriori misure per minimizzare il rischio di errore umano.
La terza struttura sanzionata è una ASL dell'Emilia Romagna: una paziente aveva presentato esplicita richiesta affinchè nessuno soggetto terzo, famiglia compresa, potesse ricevere informazioni sul suo stato di salute. Un'infermiera non al corrente della richiesta, presentata formalmente dalla paziente tramite compilazione di apposito modulo, aveva chiamato al numero di casa presente nell'anagrafe aziendale anzichè al cellulare privato della paziente, conversando e rivelando così il suo stato di salute ad un familiare.
L'ASL si è mostrata subito collaborativa riconoscendo l'errore alla base di quello che è definibile come vero e proprio data breach: la sanzione prevista dal Garante è stata di 50mila euro per violazione del GDPR, ma già la paziente ha presentato richiesta di risarcimento danni dall'interessata. Anche in questo caso già c'è l'impegno, da parte dell'SL, di migliorare il sistema informatizzato di gestione dei contatti telefoni e a predisporre una modulistica unica contenente tutte le modalità che i pazienti potranno adottare per la comunicazione dei dati riferiti al proprio stato di salute.
Il Garante ha ribadito come le informazioni sullo stato di salute possano essere comunicati a soggetti terzi solo sulla base di un presupposto giuridico o su esplicita indicazione dell'interessato, previa esistenza di delega scritta. Ha quindi ricordato come le misure tecnico organizzative da adottare per evitare violazioni dei dati personali non debbano limitarsi alla cybersecurity, ma devono in generale minimizzare il rischio di tutte le possibili forme di data breach, comprese quelle dovute a errori umani / organizzativi.
mercoledì 9 ottobre 2024
Leggi tutto...
CONDIVIDI QUESTA PAGINA!