Search User Login Menu
Search Close
Menu
  1. Chi siamo
    1. Statuto
    2. Modulo di Adesione
    3. Contatti
  2. Study Tour
  3. Formazione
  4. Convegni
  5. Convenzioni
    1. Universitarie
    2. Altre convenzioni

Comunicazione di dati sanitari a terzi tramite il servizio di pubblicazione di immagini e referti radiologici online
2613

Comunicazione di dati sanitari a terzi tramite il servizio di pubblicazione di immagini e referti radiologici online

Il Garante per la protezione dei dati personali sanziona il titolare del trattamento per aver consentito agli utenti dell’app mobile l’accesso ai dati sanitari di altri pazienti

Francesca Gardini, Ufficio giuridico

Un Policlinico Universitario ha notificato al Garante, ai sensi dell’art. 33 del Regolamento (UE) 2016/679, una violazione di dati personali avvenuta nel corso dell’integrazione tra il sistema, attraverso cui viene fornito al pubblico il servizio di consultazione online dei referti, e il portale accessibile ai pazienti; a causa di un errore umano nella configurazione di tale integrazione - consistente nell’impostazione del tutto accidentale del valore booleano true in luogo di false - alcuni pazienti hanno avuto accesso, mediante dispositivo mobile, ai dati relativi alla salute, in particolare, immagini radiologiche associate a dati identificativi e referti clinici, di altri pazienti.

Il Garante per la protezione dei dati personali, all’esito dell’istruttoria, ha rilevato che il Policlinico Universitario ha consentito agli utenti dell’App mobile di consultazione online delle immagini e dei referti radiologici di accedere ai dati relativi alla salute di 74 interessati, visualizzati effettivamente da 39 utenti, e che ha, pertanto, effettuato una comunicazione di categorie particolare di dati degli interessati a terzi in assenza di un idoneo presupposto giuridico e, quindi, in violazione dei principi di base del trattamento di cui agli artt. 5 e 9 del Regolamento.

L’Autorità, in particolare, ha rilevato l’illiceità del trattamento dei dati personali effettuato dal Policlinico Universitario per violazione dei principi di «liceità, correttezza e trasparenza», nonché di «integrazione e riservatezza» del trattamento, di cui all’art. 5, par. 1, lett. a) e f) del Regolamento, e assenza di un idoneo presupposto normativo, in violazione degli artt. 75 del D.lgs. 196/2003 e 9 del Regolamento, sanzionando, conseguentemente, il titolare del trattamento con provvedimento del 1° ottobre 2020 (doc. web. 9469345).

A tale proposito si segnala che la sanzione amministrativa pecuniaria, applicabile al caso di specie, è stata determinata, ai sensi dell’art. 83, par. 5, lett. a) del Regolamento, tenuto anche conto della fase di prima applicazione delle disposizioni sanzionatorie, nella misura di euro 20.000,00, ritenendola effettiva, proporzionata e dissuasiva; a tal fine, infatti, sono stati valutati, nel loro complesso, ai sensi dell’art. 83, par. 2 del Regolamento, i seguenti elementi, (i) la notifica da parte del titolare della violazione, (ii) la natura dei dati e il numero degli interessati coinvolti, (iii) l’assenza di elementi di volontarietà del titolare nel causare l’evento, (iv) l’immediata presa in carico della problematica a cui è seguita l’individuazione di soluzioni correttive e risolutive, (v) l’elevato grado di cooperazione sin da subito del titolare.
Previous Article Le novità sul lavoro
Next Article La malattia COVID-19
Back To Top