Istituto sanitario spedisce effetti personali all'ex dipendente, ma dentro le scatole ci sono le cartelle cliniche dei pazienti

Dopo che era andato in pensione, l'istituto ha pensato di inscatolare e spedire all'ex dipendente quelli che avrebbero dovuto essere gli effetti personali dimenticati sul luogo di lavoro. Chissà con quale sorpresa, l'uomo aveva però ricevuto pacchi molto più voluminosi di quello che poteva ragionevolmente aspettarsi rispetto all'ingombro di oggetti come la foto di famiglia o il souvenir dell'ultima vacanza lasciati sulla scrivania dell'ufficio.

Quando ha aperto le scatole ricevute, vi ha infatti trovato dentro non solo gli effetti personali, ma anche le cartelle cliniche di 252 ex pazienti (di cui 7 minorenni) ed i registri dei nominativi di circa 3.000 persone che avevano partecipato a terapie di riabilitazione per abuso di alcol e sostanze stupefacenti.

L'istituto in questione è infatti il National Center of Addiction Medicine, una ONG che in Islanda gestisce una clinica di disintossicazione e quattro centri di riabilitazione ambulatoriali e ambulatoriali, nonché un centro per i servizi familiari e un centro sociale. I suoi servizi sono forniti da uno staff di medici, psicologi, infermieri registrati, infermieri e consulenti specializzati nel dare supporto a tossicodipendenti ed alcolizzati.

Dopo aver condotto un'indagine, l'autorità di controllo islandese per la privacy ha concluso che l'accaduto era stata la conseguenza di una mancata attuazione di adeguate politiche di protezione dei dati e di adeguate misure tecniche e organizzative per proteggere i dati da parte del'istituto. La mancanza di misure adeguate per proteggere i dati personali ha quindi costituito una violazione del Gdpr, con particolare riferimento all'art. 5 par.1 sub f) e all'art. 32 del Regolamento UE 2016/679 che prescrivono al titolare del trattamento di garantire un'adeguata sicurezza dei dati personali.

Considerando che la violazione riguardava dati personali relativi alla salute di un numero elevato di interessati, in data 5 marzo 2020 l'autorità di vigilanza islandese ha quindi deciso di imporre all'istituto una sanzione amministrativa di 3 milioni di corone islandesi, corrispondenti a circa 20.000 euro.

Note Autore

Nicola Bernardi Nicola Bernardi

Presidente di Federprivacy. Consulente del Lavoro. Consulente in materia di protezione dati personali e Privacy Officer certificato TÜV Italia, Of Counsel Ict Legal Consulting, Lead Auditor ISO/IEC 27001:2013 per i Sistemi di Gestione per la Sicurezza delle Informazioni. Twitter: @Nicola_Bernardi

Prev Se il dirigente o l'amministratore della PA sono negligenti devono pagare di tasca propria la sanzione del Garante per la Privacy
Next Campagna #iorestoacasa: webinar gratuito sul rischio cyber delle aziende

Privacy Day Forum, il servizio di Adnkronos

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
captcha 
Privacy e Termini di Utilizzo