Sanità, il Garante Privacy multa società di formazione: esposti i dati sulla salute di un ragazzo

Condividi questo articolo

L’Autorità per la protezione dei dati personali ha sanzionato una società di formazione per aver condiviso online i dati sanitari di un ragazzo, fra il materiale di un corso per medici. Invece, bisogna scongiurare il rischio di trattamenti non autorizzati o illeciti dei dati personali

Pubblicato il 18 Dic 2023

Mirella Castigli

Giornalista

Il Garante Privacy multa una società di formazione, che opera nell’ambito della sanità, per aver esposto i dati sanitari di un ragazzo.

“La diffusione sul web dei dati relativi alla salute, nonché di dati relativi a condanne penali e reati di una persona deceduta tempo addietro, – commenta Anna Cataleta, Senior Partner di Partners4Innovation (P4I) – rappresenta una violazione della normativa data protection di non poco conto. Difatti, il Garante ribadisce che alle persone decedute continuano ad applicarsi le tutele previste dalla disciplina in materia di protezione dei dati personali”.

Ecco la dinamica dell’accaduto e in cosa consiste il provvedimento sanzionatorio.

Indice degli argomenti

Garante Privacy: multa a una società di formazione nella sanità

Un genitore ha rilevato la presenza online dei propri dati personali e delle informazioni sulla salute e sulle indagini giudiziarie relative al figlio deceduto. Esposte in rete erano biografia, perizie psichiatriche, anamnesi, medicinali assunti, reati per cui era indagato. Tutti disponibili fra i documenti di un corso formativo per medici psichiatri.

WHITEPAPER

La Top 5 delle minacce informatiche e come contrastarle

Privacy/Compliance

Cybersecurity

Inizio modulo

Leggi l'informativa sulla privacy

  • Acconsento alla comunicazione dei dati a terzi appartenenti ai seguenti settori merceologici: servizi (tra cui ICT/digitali), manifatturiero, commercio, pubblica amministrazione. I dati verranno trattati per finalità di marketing tramite modalità automatizzate e tradizionali di contatto (il tutto come specificato nell’informativa)

Fine modulo

La scoperta ha condotto il genitore a rivolgersi al Garante Privacy che ha multato la società organizzatrice del corso di formazione, colpevole dell’esposizione online dei dati sanitari, comminandole una sanzione pari a 18mila euro.

I documenti rientravano nel materiale didattico impiegato per spiegare nei dettagli ai medici la patologia di cui il ragazzo deceduto era affetto. Una volta concluso il corso, gli organizzatori avevano reso disponibile il materiale sulla particolare patologia a chi lo aveva frequentato, attraverso un link spedito per mail. Tuttavia, l’accesso online al materiale era a disposizione di chiunque fosse a conoscenza dell’Url.

“È fondamentale, invece, assicurarsi che i dati personali siano sempre trattati con strumenti che garantiscano un’adeguata sicurezza degli stessi (per esempio, mediante misure tecniche e organizzative adeguate) – avverte Cataleta -, così da scongiurare il rischio di trattamenti non autorizzati o illeciti“.

Il provvedimento sanzionatorio

Il Garante Privacy ribadisce che le tutele della normativa privacy si applicano anche ai dati delle persone decedute.

Inoltre, ha dichiarato che la società organizzatrice del corso avrebbe dovuto adottare misure tecniche, organizzative e di verifica opportune, in grado di assicurare la riservatezza dei dati trattati in modalità permanente.

“Pertanto, anche in casi come questi è fondamentale assicurarsi di anonimizzare correttamente i dati personali oggetto di trattamento, – prosegue Anna Cataleta – non potendosi configurare anonimizzazione la mera rimozione delle generalità dell’interessato o la sostituzione delle stesse con un codice pseudonimo. Di anonimizzazione, infatti, si parla solo se il dato non consenta in alcun modo l’identificazione diretta o indiretta di una persona“.

La società avrebbe, infatti, dovuto effettuare la verifica dell’adeguatezza delle misure di anonimizzazione applicate ai dati personali della reclamante e del figlio deceduto. Ma non solo. La società avrebbe dovuto, per esempio, adottare una procedura di autenticazione informatica, al fine di limitare l’accesso alla documentazione solo ai medici partecipanti al corso formativo.

“In tal senso – mette in guardia Anna Cataleta – il Garante afferma che è sempre opportuno considerare e valutare attentamente il rischio di re-identificazione dell’interessato, tenendo conto dell’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, delle tecnologie disponibili al momento del trattamento e degli sviluppi tecnologici”.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo