Garante sanziona struttura sanitaria dal cui sito internet si poteva facilmente accedere ai dati sanitari di 1700 utenti
Il Garante per la protezione dei dati personali riceveva un reclamo nel quale veniva denunciato che, accedendo al sito internet dell’Azienda socio sanitaria territoriale di Milano, ai fini della prenotazione di una prestazione sanitaria, era possibile visualizzare chiaramente le informazioni relative a coloro che, tramite il portare dell’azienda, avevano aderito alla campagna vaccinale influenzale 2020/2021. Il reclamante spiegava che ciò era possibile rimuovendo l’estensione “Prenotazione.php” dall’indirizzo internet dell’Azienda utilizzato dagli utenti per la prenotazione.
A fronte del reclamo presentato, l’Autorità procedeva ad effettuare i necessari controlli. Innanzitutto, aveva potuto constatare che nel sito internet indicato non era possibile rinvenire i file indicati e non era possibile raggiungere le pagine web indicate. Inoltre, constatava che sul server che ospita il sito dell’Azienda veniva utilizzato un software di base non aggiornato, tale da poter compromettere la riservatezza e l’integrità dei dati al suo interno contenuti e trattati.
In considerazione di ciò, il Garante riteneva che si trattasse di trattamento di dati personali non conforme alla disciplina dettata in materia e, dunque, invitata l’Azienda sanitaria a presentare allo stesso memorie difensive nelle quali potesse rappresentare i fatti oggetto del reclamo.
شركة, in particolare, riferiva che i fatti erano avvenuti in un contesto particolare, in quanto il quadro pandemico aveva sottoposto a pressione il sistema sanitario, locale, e nazionale, nel suo complesso. Rappresentava, inoltre, che il suddetto sito internet, appositamente predisposto per ricevere le prenotazioni sanitarie, era stato realizzato in soli tre giorni al fine di sostituire in breve tempo le numerose richieste di prenotazione che pervenivano via e-mail.
La struttura sanitaria faceva, inoltre, presente che, essendo consapevole di aver predisposto un sistema non aggiornato, aveva successivamente modificato e aggiornato il software utilizzato dall’Azienda. Infine, la struttura sanitaria rilevava come, il Responsabile avesse dichiarato che, durante la fase di migrazione dei dati, ossia di aggiornamento, erano state predisposte tutte le misure idonee a evitare rischi per la lesione dei diritti e delle libertà degli interessati.
>> Leggi l’ordinanza di ingiunzione del Garante privacy, 27 يناير 2022 nei confronti di Azienda socio sanitaria territoriale Nord di Milano
Consigliamo il volume:
I rischi nel trattamento dei dati – e-Book in pdf
Michele Iaselli, 2021, Maggioli Editore
L’ebook analizza gli aspetti pratici dell’attività di analisi dei rischi connessi al trattamento dei dati, partendo dal quadro normativo e fornendo risposte alle principali FAQ in materia di DPIA.
Michele IaselliAvvocato, Funzionario del Ministero della Difesa, Docente a…
9,90 € 9,41 €
Acquista
su www.maggiolieditore.it –>
Il trattamento dei dati relativi alla salute
Innanzitutto, il Garante ha osservato che, la fattispecie oggetto di esame, riguarda una possibile violazione dei dati personali di circa 1700 interessati.
Inoltre, il Garante ha osservato che l’oggetto della possibile violazione riguarda una particolare categoria di personali, ossia i dati relativi alla salute, per i quali il titolare del trattamento deve adottare maggiori cautele in ragione della delicatezza e importanza dei dati trattati.
In ragione della loro natura, i dati sanitari, in quanto idonei a rivelare informazioni sullo stato di salute psicofisica dell’interessati, sono qualificati come meritevoli di una specifica protezione sotto il profilo dei diritti e delle libertà fondamentali. Il GDPR, في الواقع, dispone, الفن السابقين. 9, il generale divieto di trattamento di questa particolare tipologia di dati, con unica eccezione prevista per il settore sanitario, in quanto sono dati necessari all’erogazione della prestazione sanitaria complessivamente intesa.
GUARDA l’INTERVISTA all’Avv. Pier Paolo Muià sul trattamento dei dati sanitari
Inoltre, il GDPR dispone che il consenso al trattamento di questi dati sia informato e specifico e che venga prestato liberamente dall’interessato.
Ciò detto, i dati personali devono essere trattati secondo il principio di integrità e riservatezza, in conformità con la previsione contenuta nell’art. 5, par. 1, اللاتفية. f) e in base al quale i dati devono essere trattati in modo tale da garantire una sicurezza adeguata al rischio cui sono potenzialmente esposti.
غرامة التل, è onere del titolare ridurre al minimo i rischi di violazione dei dati trattati, attraverso la predisposizione di strutture informatiche adeguate.
Inoltre, l’articolo 32 del regolamento prevede che, “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio“. In altri termini, nella valutazione del livello di sicurezza, il titolare deve tener conto sia del possibile rischio derivante da accessi non autorizzati, sia dalla possibile perdita o distruzione dei dati.
La valutazione del Garante
Sulla base dei fatti emersi a seguito dell’istruttoria e delle previsioni normative in materia di protezione dei dati personali, come sopra riepilogati, l’Autorità Garante ha ritenuto che l’Azienda sanitaria aveva attuato un trattamento illecito dei dati personali violando il disposto degli artt. 5, par. 1, اللاتفية. f), 25, 32 البريد 33 del GDPR.
Rimandando alle considerazioni di cui al precedente paragrafo per quanto riguarda le previsioni dell’art. 5 e dell’art. 32,
in base all’art. 25 del GDPR, il titolare del trattamento, all’atto del trattamento stesso, deve adottare misure tecniche ed organizzative adeguate, al fine di attuare efficacemente i principi di protezione dei dati e garantire che il trattamento abbia tutti i requisiti previsti dal GDPR nonché tuteli i diritti degli interessati. Inoltre, il titolare deve attuare misure tecniche ed organizzative adeguate per garantire che siano trattati solo i dati personali necessari per ciascuna finalità del trattamento.
فن. 33 del GDPR, invece, dispone che rientra tra gli obblighi del titolare anche la notifica all’Autorità di controllo, senza ingiustificato ritardo e ove possibile, entro 72 ore dal momento in cui ne ha avuto conoscenza, di ogni violazione della sicurezza dei dati personali che presenti un rischio per i diritti e le libertà delle persone fisiche.
In considerazione di tutto quanto sopra, quindi, il Garante, nel determinare la sanzione da applicare, ha tenuto conto del fatto che la condotta lesiva della privacy posta in essere dall’Azienda socio sanitaria aveva esaurito i suoi effetti e che detta struttura aveva predisposto una nuova piattaforma per i servizi di prenotazione, introducendo una nuova funzione di tracciamento e un nuovo protocollo di comunicazione sicura.
Pertanto, l’Autorità ha ritenuto che non sussistevano i presupposti per l’applicazione delle misure correttive ex art. 58, par. 2 del GDPR e si è limitata ad irrogare una sanzione amministrativa pecuniaria di €. 20.000 e la pena accessoria della pubblicazione dell’’ordinanza ingiunzione sul sito web del Garante.
Consigliamo il volume:
Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali
Monica Mandico, 2019, Maggioli Editore
Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad…
32,00 € 30,40 €
Acquista
su www.maggiolieditore.it –>
Diventa autore di Diritto.it
Scopri di più!
Ti potrebbe interessare anche
Intelligenza artificiale ai tempi del Covid-19 e violazione dei dati personali
di Carmina Valentino
29 أبريل 2020
Può il datore compromettere la privacy del dipendente nei luoghi di lavoro?
di Adelaide Casciato
23 أيلول 2021
L’uso dei parchimetri evoluti comporta il trattamento di dati personali degli utenti e pertanto necessita il rispetto della normativa privacy
di Muia’ Pier Paolo
29 أيلول 2021
Decreto capienze e privacy: i nuovi scenari
di Luisa Di Giacomo
9 ديسمبر 2021
The post Garante sanziona struttura sanitaria dal cui sito internet si poteva facilmente accedere ai dati sanitari di 1700 utenti appeared first on Diritto.it.
مصدر: Diritto.it