Questo articolo è stato letto 113 volte
Violazione dati in azienda ospedaliera, il Garante Privacy sanziona
Il Garante della Privacy ha sanzionato l’accesso indebito ai dati sanitari di alcuni dipendenti di un’azienda ospedaliera per la somma di 30mila euro. Tre le violazioni comunicate all’Autorità in seguito a controlli di routine, una delle quali perpetrata mediante l’utilizzo delle credenziali di un medico che aveva lasciato incustodita la sua postazione. Autori delle altre due trasgressioni un tecnico radiologo e uno specializzando.
Il fatto
Gli accessi, come riconosciuto dalla stessa azienda ospedaliera, non erano giustificati da ragioni operative ma per “mera curiosità”. È stata riscontrata dunque una colpevole imperizia da parte del personale nel predisporre misure tecniche e organizzative a tutela del dossier sanitario aziendale, dando luogo all’indebito trattamento dei dati personali dei dipendenti conseguente alla violazione. Il Garante ha accertato che l’azienda ha spontaneamente avviato le procedure di revisione di accesso ai dossier, da terminare tassativamente entro 90 giorni.
La normativa elusa
Una negligenza aggravata dal mancato adeguamento da parte dell’ospedale alle Linee guida in materia sanitaria, predisposte dal Garante nel 2015. La violazione non si sarebbe verificata, probabilmente, qualora l’azienda avesse limitato l’accesso al dossier sanitario al solo personale incaricato della cura del paziente, curando con maggiore attenzione i profili di autorizzazione e la formazione del personale abilitato. La disciplina prevista dal Regolamento UE 679/2016 impone l’adozione di tali misure, contemplando i principi di protezione dati fin dalla progettazione (privacy by design) e per impostazione predefinita (privacy by default).
>> CONSULTA IL PROVVEDIMENTO DEL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI.
© RIPRODUZIONE RISERVATA
