• Enterprise Solutions

Data breach: l’autodenuncia non basta ad evitare la sanzione

E' recentemente accaduta nel settore ospedaliero, la violazione di dati personali sanitari che ha portato il Garante ad emanare un provvedimento (n. 141 del 9 luglio scorso) tramite il quale si evidenzia come la tempestività del Titolare del trattamento nell'effettuare la notificazione di un Data Breach non esoneri lo stesso da responsabilità per il trattamento illecito di dati personali.


Circa una settimana prima della notifica, l'Istituto Ospedaliero aveva ricevuto la segnalazione di un paziente che dichiarava di aver trovato nel proprio fascicolo sanitario elettronico i dati sanitari di un altro paziente.


Le indagini interne e l'istruttoria condotta dal Garante Privacy sono durate circa 5 giorni, al termine dei quali, pur tenendo conto del fatto che la notifica era stata correttamente eseguita, l'Autorità di Controllo ha censurato l'Istituto.


Infatti nonostante l'adozione di misure correttive, il trattamento avrebbe violato i richiamati principi di integrità e riservatezza, attribuendo erroneamente un referto ad un soggetto diverso dall'interessato.

Secondo il Garante, il Data Breach sarebbe stato quindi causato da una non corretta applicazione delle misure tecniche e organizzative predisposte dalla Fondazione, al fine di poter garantire la corretta identificazione dell'interessato.

Errore umano, e sicuramente non intenzionale, da parte di un operatore in servizio presso il Titolare del trattamento, che è costato però una sanzione con ammonimento all'Ospedale, oltre ad una negativa pubblicità derivata dal diffondersi della notizia tra i pazienti.


Come comportarsi allora per prevenire questo tipo di incidenti?


Il GDPR prescrive al Medico-Titolare le misure di sicurezza da adottare al fine di evitare o limitare i danni che ne conseguono. L’art. 32 del Regolamento UE 2016/679 elenca alcuni esempi di misure di sicurezza utili ad eludere un Data Breach:

  • la pseudonimizzazione, ovvero la conservazione dei dati personali in modo da impedire l’identificazione dell’interessato a terzi non autorizzati;

  • la cifratura dei dati che comporta la loro codificazione mediante sistema cifrato fino a renderli illeggibili ai non autorizzati;

  • la predisposizione di accorgimenti utili ad assicurare permanentemente la riservatezza, l’integrità e la disponibilità dei sistemi in cui viene effettuato il trattamento (come la predisposizione di chiavi di accesso sia per i devices informatici sia per i programmi software e i database utilizzati dal Titolare);

  • l’adeguata vigilanza e protezione fisica dell’ufficio in cui sono materialmente custoditi sia gli archivi cartacei sia quelli digitali;

  • la capacità di ripristino immediato dell’accesso ai dati personali in caso di incidente;

  • la predisposizione di una procedura di test per verificare l’efficacia delle misure di sicurezza adottate.

Naturalmente la programmazione di misure atte a prevenire o limitare i danni di un data breach non sono mai prescritte in modo assoluto e identico per tutti i Titolari e devono essere proporzionate e adeguate alla tipologia dei dati trattati, ai rischi ed ai costi di attuazione previsti.


Per prevenire un Data Breach in ambito sanitario è evidente che un Ospedale dovrà dotarsi di tutte le più importanti misure di sicurezza, avendo una mole notevole di dati da proteggere.


Per questo motivo si consiglia a tutti i responsabili di strutture sanitarie di dotarsi di un'adeguata formazione, dei migliori strumenti e delle procedure idonee atte a prevenire tali incidenti e circostanze spiacevoli.


Per qualsiasi informazione o per una consulenza gratuita e senza impegno, contattaci, saremo lieti di fornirti il supporto necessario e personalizzato in base alle tue specifiche esigenze!


Chiamaci -> Cel. +39 371 46 371 45 - 371 46 30 129

Scrivici -> E-mail: info@enterprise-solutions.net

Chatta -> Cliccando sul box "Serve aiuto" o sul bottone blu con i 3 puntini ". . ." dal tuo smartphone.

Seguici anche su Facebook


7 visualizzazioni0 commenti