Sanità e GDPR: prima sanzione del Garante Portoghese

Come tutti sappiamo con il Regolamento 679 si è stabilito un codice per la tutela dei dati personali, ovvero tutti quei dati che possono identificare o rendere identificabile una persona fisica. Effettivamente basta pensare a tutte le sottoscrizioni, iscrizioni, newsletter e quant’altro comporta la fornitura dei nostri dati personali ad aziende, enti, blog, è chiaro che ormai siamo identificabili in qualsiasi modo.

Questi però sono dati generici di identificazione della persona, che in alcuni casi può essere sia fastidioso, come nel caso dei call center che chiamano a qualsiasi ora del giorno e della notte, ma possono essere pericolosi nel caso di utilizzo da parte di persone malintenzionate, come furto d’identità, uso delle nostre password o clonazione delle carte di credito.

La commissione durante la stesura del testo ha posto particolare attenzione ad un’altra serie di dati, che forse sottovalutiamo, perché vengono forniti in ambienti dei quali ci fidiamo, ovvero i dati sanitari, che il garante identifica come dati personali particolari (salute, religione, razza, ecc.).

Ebbene i dati medici, tutti quei dati che identificano o tracciano il nostro decorso clinico, sono dati particolarmente a rischio, in quanto non tutte le strutture sanitarie, dai laboratori di analisi agli ospedali sono completamente immuni da falle o disattenzioni.

La dimostrazione arriva dal Portogallo dove il Garante delle Privacy Portoghese ha comminato una sanzione ad un ospedale per un importo complessivo di 400 mila euro.

Leggi anche il caso del Data Breach Americano scoperto dal ricercatore Jeremiah Fowler sulla violazione di informazioni mediche su circa 137000 persone.

A seguito di un ispezione svolta nel 2018, sotto segnalazione del sindacato dei medici, è emerso che nell’ospedale portoghese, l’accesso ai dati informatici non teneva conto dei requisiti minimi previsti dalla normativa.

Durante l’ispezione si accertava un accesso indiscriminato e ingiustificato di quasi seicento dipendenti ai dati sanitari dei pazienti.
Nel sistema venivano verificate infatti 985 utenze attive con profilo di autorizzazione riservato al personale medico, nonostante che detto organico contasse realmente solo 296 professionisti.

Il Garante, approfondendo l’ispezione, ha preso atto dell’assenza di procedure nell’autenticazione degli utenti del sistema informatico e dei relativi profili di accesso, il mancato corretto utilizzo dei profili e dei codici di accesso previsti nei sistemi gestionali utilizzati dall’ospedale stesso, nonché l’esistenza attiva di molti profili di fatto inattivi collegati a utenti che avevano operato nella struttura ospedaliera in forza di contratti a termine, mai disattivati.

La sanzione comminata teneva conto sia della tipologia dei dati sia del lasso di tempo di violazione.
Inoltre, si è accertata la dolosità del parte del titolare in quanto non venivano applicati in modo corretto i programmi gestionali forniti dal Ministero della Sanità, che avrebbero evitato tali mancanze.

Nelle strutture sanitarie queste problematiche possono essere all’ordine del giorno, si pensa, infatti erroneamente, che i dati gestiti all’interno della struttura sanitaria siano di uso comune a tutto il personale.

Non è detto che i dati siano di utilità per tutti gli operatori, ovvero alcuni dati possono essere fondamentali per il medico curante, ma non importati per il personale impiegato o ausiliario.
Partendo da questo ragionamento si inizia già ad applicare un primo requisito della norma, ovvero selezionare chi può accedere al dato garantendo un accesso specifico.

Fabio Pinna

​Sono un Consulente in materia di sicurezza sul lavoro e sistemi di gestione dei dati per medie e grandi aziende private e enti pubblici.

>