Il Garante Privacy multa una società di formazione, che opera nell’ambito della sanità, per aver esposto i dati sanitari di un ragazzo.
“La diffusione sul web dei dati relativi alla salute, nonché di dati relativi a condanne penali e reati di una persona deceduta tempo addietro, – commenta Anna Cataleta, Senior Partner di Partners4Innovation (P4I) – rappresenta una violazione della normativa data protection di non poco conto. Difatti, il Garante ribadisce che alle persone decedute continuano ad applicarsi le tutele previste dalla disciplina in materia di protezione dei dati personali”.
Ecco la dinamica dell’accaduto e in cosa consiste il provvedimento sanzionatorio.
Indice degli argomenti
Garante Privacy: multa a una società di formazione nella sanità
Un genitore ha rilevato la presenza online dei propri dati personali e delle informazioni sulla salute e sulle indagini giudiziarie relative al figlio deceduto. Esposte in rete erano biografia, perizie psichiatriche, anamnesi, medicinali assunti, reati per cui era indagato. Tutti disponibili fra i documenti di un corso formativo per medici psichiatri.
La scoperta ha condotto il genitore a rivolgersi al Garante Privacy che ha multato la società organizzatrice del corso di formazione, colpevole dell’esposizione online dei dati sanitari, comminandole una sanzione pari a 18mila euro.
I documenti rientravano nel materiale didattico impiegato per spiegare nei dettagli ai medici la patologia di cui il ragazzo deceduto era affetto. Una volta concluso il corso, gli organizzatori avevano reso disponibile il materiale sulla particolare patologia a chi lo aveva frequentato, attraverso un link spedito per mail. Tuttavia, l’accesso online al materiale era a disposizione di chiunque fosse a conoscenza dell’Url.
“È fondamentale, invece, assicurarsi che i dati personali siano sempre trattati con strumenti che garantiscano un’adeguata sicurezza degli stessi (per esempio, mediante misure tecniche e organizzative adeguate) – avverte Cataleta -, così da scongiurare il rischio di trattamenti non autorizzati o illeciti“.
Il provvedimento sanzionatorio
Il Garante Privacy ribadisce che le tutele della normativa privacy si applicano anche ai dati delle persone decedute.
Inoltre, ha dichiarato che la società organizzatrice del corso avrebbe dovuto adottare misure tecniche, organizzative e di verifica opportune, in grado di assicurare la riservatezza dei dati trattati in modalità permanente.
“Pertanto, anche in casi come questi è fondamentale assicurarsi di anonimizzare correttamente i dati personali oggetto di trattamento, – prosegue Anna Cataleta – non potendosi configurare anonimizzazione la mera rimozione delle generalità dell’interessato o la sostituzione delle stesse con un codice pseudonimo. Di anonimizzazione, infatti, si parla solo se il dato non consenta in alcun modo l’identificazione diretta o indiretta di una persona“.
La società avrebbe, infatti, dovuto effettuare la verifica dell’adeguatezza delle misure di anonimizzazione applicate ai dati personali della reclamante e del figlio deceduto. Ma non solo. La società avrebbe dovuto, per esempio, adottare una procedura di autenticazione informatica, al fine di limitare l’accesso alla documentazione solo ai medici partecipanti al corso formativo.
“In tal senso – mette in guardia Anna Cataleta – il Garante afferma che è sempre opportuno considerare e valutare attentamente il rischio di re-identificazione dell’interessato, tenendo conto dell’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, delle tecnologie disponibili al momento del trattamento e degli sviluppi tecnologici”.
