L’Autorità Garante della Protezione dei dati personali ha sanzionato tre aziende sanitarie per accesso illecito – mediate l’uso di algoritmi – ai dati sanitari dei pazienti.
>>>Leggi Garante Privacy – Provvedimento n. 415 del 15-12-2022<<<
1. Il caso
L’ Autorità Garante della Protezione dei dati personali riceveva segnalazione in merito alla delibera della Giunta della Regione Friuli Venezia Giulia, la n. 1737 del 20 novembre 2020, mediante la quale si dava indicazione ai Medici di Medicina Generale di validare, al fine della corresponsione pro rata di parte del compenso variabile, “attraverso il portale informatico regionale, una lista di utenti/assistiti preventivamente individuati dall’Azienda sanitaria, secondo proprio criterio, come in condizioni di complessità e comorbidità al fine di stratificazione statistica compilando schede informatiche in cui riportare dati bio-umorali personali, terapie, stato patologico, indirizzi familiari, condizioni/abitudini di vita, ecc.. Venina inoltre segnalato che la succitata delibera avrebbe imposto ai medici una comunicazione dei dati sulla salute dei propri pazienti senza possibilità per gli stessi di verificare se l’Azienda sanitaria abbia [preventivamente] assunto il consenso al trattamento dei dati personali degli stessi per finalità di “stratificazione statistica”, evidenziando, inoltre, come tale specifica disciplina preveda “la trasmissione ai fini statistici o amministrativi dei dati in modo anonimo”.
Potrebbero interessarti anche:
2. La fase istruttoria
Nel corso dell’attività istruttoria svolta dall’Autorità Garante, che si era mossa dopo la segnalazione di un medico, è emerso che il trattamento dei dati degli assistiti veniva svolto in assenza di una idonea base normativa, senza fornire agli interessati tutte le informazioni necessarie (in particolare sulle modalità e finalità del trattamento) e senza aver effettuato preliminarmente la valutazione d’impatto prevista dal GDPR.
3. Le osservazioni del Garante
Con il provvedimento, l’Autorità Garante ha accertato che l’Azienda ha effettuato un trattamento di dati personali, anche relativi alla salute degli assistiti del servizio sanitario regionale, in assenza di una idonea base giuridica e quindi in violazione dei principi applicabili al trattamento e delle disposizioni di cui agli artt. 5, par. 1, lett. a), 9, del GDPR, nonché dell’art. 2-sexies del Codice Privacy.
Il Garante ha inoltre sottolineato che i trattamenti effettuati hanno riguardato dati relativi alla salute di un numero elevato di soggetti vulnerabili e che tale fattispecie rientra tra quelle per le quali il titolare è tenuto ad effettuare, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti ex art. 35 del GDPR.
4. In conclusione
Accertate dunque le violazioni e valutato che nel caso specifico le operazioni, attraverso l’uso di algoritmi, avevano riguardato dati sulla salute di un ingente numero di assistiti, l’Autorità Garante della Protezione dei dati personali ha ordinato di procedere con il pagamento della sanzione di 55.000 euro e di procedere alla cancellazione dei dati elaborati.
Volume consigliato
La tutela della privacy in ambito sanitario
L’opera mira a fornire agli operatori del settore sanitario, pubblico e privato, gli strumenti per comprendere in modo chiaro e semplice la copiosa normativa relativa al trattamento dei dati sanitari, in modo che gli stessi possano adempiere con tranquillità agli obblighi su di loro gravanti, volti alla cura e alla protezione dei dati personali dei loro assistiti. In particolare, l’Autore, dopo aver illustrato le caratteristiche principali dei dati sanitari, necessarie per poter individuare quali informazioni rientrano in detta categoria, si dedica all’esame di tutte le disposizioni che incidono sul loro trattamento: dal codice privacy fino al GDPR, passando per le linee guida adottate dal Garante nel corso degli anni in tema di dossier sanitario, siti web dedicati alla salute, referti on-line, indagini di customer satisfaction nonché per la normativa in tema di fascicolo sanitario elettronico. Il trattamento dei dati in ambito sanitario, in considerazione della delicatezza delle informazioni che riguardano lo stato di salute degli interessati, è sempre stato estremamente pericoloso. L’opera si rende ancor più utile oggi, in un mondo in cui anche nell’ambito sanitario i dati personali assumono un’importanza fondamentale e vengono trattati attraverso diversi strumenti tecnologici ed elettronici, rientrando la protezione di tali dati tra i principali adempimenti che i professionisti e le strutture sanitarie debbono curare per poter fornire le proprie prestazioni senza preoccupazioni di incorrere in responsabilità.Pier Paolo Muià Si è laureato in Giurisprudenza presso l’Università degli Studi di Firenze. Esercita la professione di avvocato tra Firenze, Prato e Pistoia, occupandosi in particolare di responsabilità medica, diritto di internet, privacy e IP. È autore di numerose pubblicazioni sulle principali riviste giuridiche nazionali e collabora stabilmente con il portale giuridico Diritto.it. È stato relatore in diversi convegni, anche per ordini professionali medici.
Pier Paolo Muià | 2018
Scrivi un commento
Accedi per poter inserire un commento