Nella comunicazione tra amministrazioni pubbliche i dati sanitari trasmessi devono essere soltanto quelli "indispensabili" alla attività da compiere. La Corte di cassazione, sentenza n. 9919/2022, ha infatti accolto il ricorso di un uomo contro un comune laziale per i danni derivanti da un illegittimo trattamento dei suoi dati personali in occasione della presentazione della domanda di pensione per infermità dovuta a causa di servizio.
Per leggere l'articolo integrale devi effettuare il login!
Ci vuole la valutazione di impatto privacy per trattare in maniera sistematica dati sanitari dei lavoratori. Se, poi, le persone sono profilate con un algoritmo che predice il comportamento degli individui ci deve essere un quadro rafforzato di garanzie: sul periodo di conservazione, sulle informazioni ai lavoratori, sulla proporzionalità dei dati raccolti, sulle modalità di esercitare i propri diritti.
Per leggere l'articolo integrale devi effettuare il login!
Dati sanitari a fini di ricerca, rating sulla solvibilità delle imprese, sistema statistico nazionale (Sistan), Spid, telemarketing. Sono questi i settori sui quali nei prossimi mesi punterà la sua lente il Garante per la protezione dei dati personali contenuti nel piano ispettivo per il primo semestre 2018 approvato nelle scorse settimane.
Quasi mezzo milione di pazienti avevano visto svanire in un attimo tutte le speranze di mantenere la privacy sul proprio stato di salute con le proprie informazioni mediche che erano state diffuse su internet, tra cui dati particolarmente delicati su sieropositivà Hiv, tumori, malattie genetiche, gravidanze, e anche trattamenti farmacologici e dati genetici, in un massivo data breach che aveva coinvolto la Dedalus nel febbraio 2021. A distanza di circa un anno, arriva una sanzione da 1,5 milioni di euro per la nota società informatica che è il principale fornitore di software sanitari e diagnostici in Europa e uno dei maggiori nel mondo.
Non aver impedito che i dipendenti potessero “sbirciare” il dossier sanitario dei colleghi costerà ad un’azienda ospedaliera 30.000 euro. A tanto ammonta la sanzione comminata dal Garante privacy per tre violazioni di dati personali comunicate all’Autorità dallo stesso ospedale a conclusione di normali controlli periodici. Gli accessi indebiti hanno riguardato dati sanitari di dipendenti in cura presso lo stesso nosocomio.
Una società farmaceutica inglese che fornisce medicinali a clienti e case di cura teneva giacenti all'aperto nel retro della propria sede circa 500mila documenti contenenti dati sanitari, lasciandoli esposti alle intemperie e per questo danneggiati e bagnati, ma il Garante per la privacy inglese non ha mostrato alcuna indulgenza, infliggendo una multa di 275.000 sterline, corrispondente a un importo di oltre 322mila euro.
Nei giorni scorsi un attacco hacker con richiesta di riscatto (ransomware) era stato lanciato contro i sistemi informatici della Regione Basilicata, creando difficoltà nel sistema sanitario regionale. Il 1° febbraio la direzione dell'ASP ha comunicato "a seguito dell’accidentale ed imprevedibile evento informatico potrebbe verificarsi una violazione di dati personali (anche sensibili) degli utenti.
Se finora gli attacchi hacker sembravano quasi tutti concentrati verso il sistema bancario e finanziario, con la plausibile spiegazione di una maggiore facilità di monetizzare le informazioni trafugate riguardanti carte di credito e credenziali di accesso ai conti online degli utenti, recentemente pare che le informazioni sanitarie rappresentino la nuova frontiera del grande business (lecito e illecito) dei dati.
Il Garante privacy ha comminato due sanzioni per complessivi 300mila euro a una nota società che produce dispositivi medici per il monitoraggio, la prevenzione e il trattamento di diverse patologie.
Meta, un ospedale e un’organizzazione non-profit sono state denunciate da alcuni utenti statunitensi per aver raccolto illegalmente dati sanitari, successivamente utilizzati per visualizzare inserzioni personalizzate su Facebook. Si tratta di un’enorme violazione della privacy attuata sfruttando il codice che l’azienda di Menlo Park offre agli sviluppatori per monitorare le attività dei visitatori sui siti web. La class action è stata presentata presso un tribunale della California.
