g-docweb-display Portlet

Newsletter 19/05/21 - Garante, sì all’informazione scientifica, ma attenzione alla privacy dei pazienti - Sussidi Covid, Garante: i dati dei beneficiari vanno protetti - Lavoro: informazioni corrette ai dipendenti sui sistemi aziendali in uso

Stampa Stampa Stampa

Logo newsletter

NEWSLETTER N. 477 del 19 maggio 2021


Garante, sì all’informazione scientifica, ma attenzione alla privacy dei pazienti
Un malato scopre online dati e foto della sua operazione chirurgica

ospedale

È necessario prestare particolare attenzione a pubblicazioni o divulgazioni scientifiche di studi clinici, accertandosi che il paziente sia stato preventivamente informato, abbia dato il suo consenso e che i suoi dati siano stati opportunamente anonimizzati. Lo ha ricordato il Garante per la protezione dei dati personali nel sanzionare, in tre diversi provvedimenti, un dottore, una Ausl e un’associazione di medici chirurghi coinvolti nella pubblicazione on-line di documenti sulla salute di un paziente. Il caso di violazione dei dati personali (data breach) era stato segnalato al Garante da una Azienda sanitaria locale chiamata in causa da un paziente che, dopo essersi curato presso la struttura, aveva trovato fotografie e altre informazioni riferibili alla sua salute pubblicate sul sito di un’associazione medica. Tali documenti erano reperibili anche tramite comuni motori di ricerca.

Nel corso dell’istruttoria è emerso che un dottore, il quale aveva avuto in cura il paziente presso la Ausl, aveva scaricato documenti dell’interessato dagli archivi informatici dell’Azienda per poi utilizzarli per una relazione in un congresso medico. Aveva poi usato il materiale della presentazione per partecipare a un concorso gestito da un’associazione di chirurghi. Il suo lavoro scientifico era stato anche pubblicato in rete senza alcuna forma di ulteriore oscuramento.

Dai riscontri è infatti emerso che il dottore, pur essendo autorizzato ad accedere alla documentazione medica per finalità di cura, non aveva chiesto il consenso al paziente, né il permesso alla Ausl, di poterla utilizzare per informazione scientifica. Il medico non aveva neppure proceduto a effettuare a un’efficace anonimizzazione dei dati usati per le diapositive e la successiva relazione scientifica. Durante l’istruttoria il dottore aveva provato a giustificare la diffusione della documentazione sanitaria sulla base del consenso rilasciato alla Ausl dal paziente, per il trattamento dei suoi dati per finalità di “indagine epidemiologica e ricerca scientifica”. Nel provvedimento il Garante ha però ricordato che quello specifico consenso, peraltro rilasciato solo all’Azienda, non giustifica in ogni caso la divulgazione dei dati sanitari, e che il dottore aveva trattato dati personali e documenti clinici al di fuori delle finalità di cura. Per tali motivi ha ricevuto dall’Autorità una sanzione di 5.000 euro.

L’associazione chirurgica che aveva pubblicato la relazione con i dati sanitari sul proprio sito, tra l’altro senza l’autorizzazione del dottore vincitore del premio, ha invece ricevuto una sanzione di 2.000 euro.

Nel terzo provvedimento, il Garante ha rilevato che la violazione dei dati causata dal medico si era verificata in quanto l’Azienda sanitaria non aveva adottato tutte le misure tecniche e organizzative volte a ridurre il rischio che il proprio personale autorizzato ad accedere ai documenti clinici per finalità di cura, potesse poi utilizzarli per altri scopi. L’episodio è però risultato isolato e gestito in maniera tempestiva da parte della struttura sanitaria che, tra l’altro, aveva già promosso iniziative volte a regolamentare l’utilizzo dei documenti aziendali per la partecipazione a convegni e seminari, addirittura promuovendo a livello regionale l’adozione di un apposito codice di condotta approvato dal Garante stesso. La Asl ha ricevuto quindi solo un ammonimento.


Sussidi Covid, Garante: i dati dei beneficiari vanno protetti
L’Autorità sanziona il comune di Palermo

Corona virus e protezione dati

La condizione di fragilità economica va tutelata anche sul piano della riservatezza e il titolare del trattamento è tenuto a rispettare i principi in materia di protezione dei dati fin dalla progettazione dei sistemi e per impostazione predefinita.

E’ quanto ha ribadito il Garante per la privacy nel sanzionare il Comune di Palermo per 40.000 euro per non aver protetto adeguatamente i dati personali dei cittadini che richiedevano sussidi alimentari.

Nel reclamo presentato al Garante, un cittadino lamentava che un operatore di un’associazione aveva potuto accedere alla sua domanda di buoni spesa per l’emergenza Covid senza esserne autorizzato e visualizzare i suoi dati personali.

Per assistere gli utenti nella compilazione delle richieste di sussidi, il Comune si era avvalso del supporto di soggetti esterni (Enti del Terzo Settore, Sindacati e Parrocchie, c.d. OpT) che aveva accreditato ad usare la piattaforma informatica di gestione dei sussidi, accessibile dal sito comunale.

In base alla documentazione acquisita, l’Autorità ha accertato che era possibile, per un operatore di qualsiasi organizzazione accreditata, consultare tutte le pratiche inserite nella piattaforma del Comune e visualizzare i dati anagrafici e la fascia economica Isee dei richiedenti, senza registrare le operazioni di consultazione effettuate, con conseguente impossibilità di identificare gli utenti che avevano effettuato le predette consultazioni.

Il Comune aveva infatti rilasciato, di base, a ciascuna OpT un'unica utenza di accesso, che l’organizzazione faceva utilizzare a tutti i propri addetti. Qualunque operatore poteva così accedere ai dati di tutte le domande, anche presentate presso altri OpT e che avevano già completato l’iter previsto. La funzione di ricerca dei beneficiari, prevedeva l’inserimento dei soli primi tre caratteri del codice fiscale, rendendo così facilmente accessibili per un numero elevato di posizioni, le informazioni relative alla condizione di fragilità dei richiedenti i sussidi.

Nello stabilire l’entità della sanzione l’Autorità, pur considerando la necessità di fronteggiare con urgenza il disagio della pandemia, nonché gli sforzi fatti nel corso del tempo per adottare le necessarie misure per rendere la piattaforma conforme ai richiamati principi, ha tenuto conto del fatto che la violazione ha interessato un numero elevato di cittadini in stato di bisogno (circa 18.000) e si è protratta per circa due mesi.


Lavoro: informazioni corrette ai dipendenti sui sistemi aziendali in uso

lavoratore

Una società manifatturiera non potrà più utilizzare i dati dei dipendenti trattati illecitamente attraverso un sistema informatico in uso presso l’azienda. La società non aveva informato correttamente i lavoratori delle caratteristiche del sistema che aveva impiegato anche oltre i limiti stabiliti dall’autorizzazione dell’Ispettorato territoriale del lavoro. Per questi motivi dovrà pagare una sanzione di 40mila euro e mettersi in regola con le misure correttive stabilite dal Garante per la privacy.

L’Autorità, intervenuta a seguito del reclamo di un sindacato, ha appurato che, a differenza di quanto sostenuto dalla società, il sistema, che prevedeva l’inserimento di una password individuale sulla postazione di lavoro prima di iniziare la produzione, raccoglieva anche dati disaggregati e per finalità ulteriori rispetto a quelle dichiarate nelle informative.

È risultato, infatti, che anche i dati sulla produzione erano riconducibili a lavoratori identificabili, attraverso l’utilizzo di ulteriori informazioni in possesso del datore di lavoro. E che i dati di un singolo dipendente fossero stati utilizzati per altre finalità, non previste dalle informative e non autorizzate dall’Ispettorato, è stato di fatto confermato, nell’ambito di un procedimento disciplinare, dalla verifica effettuata dal direttore delle risorse umane sui “fermi” della macchina alla quale il lavoratore era addetto.

Dagli accertamenti del Garante è emerso, inoltre, che il sistema informatico coesisteva con la precedente modalità di organizzazione del lavoro, basata sulla compilazione di moduli cartacei nei quali il nominativo dei dipendenti è indicato in chiaro. Moduli che poi venivano conservati e registrati su un apposito software, ma senza alcuna separazione, tanto che i dati in essi contenuti sono stati utilizzati nel procedimento disciplinare. In questo modo la società contravveniva a quanto indicato nelle informative sul funzionamento del sistema e nell’autorizzazione rilasciata dall’Ispettorato, che vietavano espressamente l’utilizzo dei dati raccolti a fini disciplinari.

Irregolarità sono state riscontrate anche nei tempi di conservazione dei dati dei lavoratori.

L’Autorità quindi, ritenuto illecito il trattamento effettuato, ha ordinato alla società di modificare le informative rese ai lavoratori, indicando nel dettaglio tutte le caratteristiche del sistema, e le ha ingiunto il pagamento di una sanzione.


L'ATTIVITÁ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall'Autorità

NEWSLETTER
del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza Venezia, n. 11 - 00187 Roma.
Tel: 06.69677.2751- Fax: 06.69677.3785
Newsletter è consultabile sul sito Internet www.garanteprivacy.it

Iscrizione alla Newsletter - Cancellazione dal servizio - Informazioni sul trattamento dei dati personali