NEWS

Online per errore i dati sanitari di un paziente: nessuna procedura ma solo istruzioni orali, multato l’ente

Dopo aver ricevuto un reclamo per l'illecita pubblicazione di dati sensibili di un paziente ricoverato in una clinica psichiatrica forense sul sito web della Regione di Örebro, il Garante per la privacy svedese ha avviato un'indagine, appurando che la segnalazione era fondata. Infatti, nel comunicato reso noto dalla stessa autorità per la protezione dei dati personali lo scorso 13 maggio, viene confermato che "le informazioni sensibili del paziente sono state erroneamente pubblicate e quindi rese accessibili al pubblico sul sito web della regione ".

Se i dati personali vanno online per errore ci possono essere gravi violazioni della privacy

Degno di nota, è che nell'ambito dell'istruttoria, l'autorità svedese per la protezione dei dati ha contestato l'assenza di una procedura scritta sottolineando "che non esistevano istruzioni scritte relative alla pubblicazione di documenti e dati personali sul sito web. Le istruzioni per la pubblicazione delle informazioni venivano invece comunicate oralmente".

Ma tali istruzioni, che sarebbero state impartite solo a voce non sono state affatto seguite dagli addetti, portando alla pubblicazione accidentale del documento contenente i dati sensibili su internet.

Come è vero che "Verba volant, scripta manent", il grossolano errore ha di conseguenza indotto l'autorità a concludere che il Comitato Sanitario della regione di Orebro non avesse adottato misure organizzative sufficienti per garantire che i dati personali fossero protetti dalla pubblicazione errata sul sito web della Regione, e per questo motivo ha ordinato al Comitato di definire una specifica procedura stabilendo istruzioni scritte e introducendo misure che garantiscano che coloro che pubblicano dati personali sul sito della regione lo facciano secondo le istruzioni stabilite e non per passaparola.

Pubblicare documenti con dati personali su ordine verbale può comportare violazioni della privacy

Tale violazione, rammenta come il Gdpr abbia introdotto ormai da due anni il principio di "accountability"(art.25), ovvero la "responsabilizzazione" che grava sui titolari del trattamento che richiede l'adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l'applicazione del Regolamento europeo.

Tenendo conto di tutto ció, e che l'ente non aveva né uno scopo legittimo, né una base giuridica, né tantomeno un'esenzione dal divieto generale di trattare i dati personali sensibili, nella sua decisione l'autorità svedese per la protezione dei dati non solo ha ordinato al Comitato sanitario della regione di Örebro di rimuovere il documento erroneamente pubblicato, ma anche di adottare adeguate misure organizzative, irrogando una sanzione amministrativa di 120.000 corone svedesi (pari a circa 11.000 euro).

Fonte: European Data Protection Board

Note Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati personali, iscritta presso il Ministero dello Sviluppo Economico ai sensi della Legge 4/2013. Email: urp@federprivacy.org 

Prev European Data Protection Board: l'Ungheria chiarisca su misure di sospensione Gdpr
Next Garante Privacy UE: Contact tracing non ostacoli la protezione dei dati personali

Federprivacy, Gdpr per far decollare economia digitale

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
captcha 
Privacy e Termini di Utilizzo