Divulgazione dati sanitari: dati personali dei pazienti pubblicati online

Data breach dati particolari di un paziente causa divulgazione senza consenso, il Garante sanziona

Attenzione alla pubblicazione di studi scientifici online. Lo ricorda il Garante sanzionando per la divulgazione di dati personali un dottore, un’associazione chirurgica e ammonendo un’azienda sanitaria. Un paziente ha trovato fotografie e altri dati sanitari online. I dati sono stati pubblicati sul sito di un’associazione medica senza che ne venisse preventivamente informato l’interessato e senza aver prestato il suo consenso.

 

L’INDAGINE

È emerso dall’indagine che un paziente si è rivolto alla Ausl competente a causa di una patologia. Il dottore che ha seguito il caso ha scaricato tutta la documentazione del curato. La cartella è stata adoperata dal medico per una presentazione nel corso di un congresso svoltosi tra chirurghi e per la partecipazione di un concorso. Lo studio è stato anche pubblicato on-line dall’associazione chirurgica diventando quindi reperibile attraverso comuni motori di ricerca.

 

LA DENUNCIA

La violazione è stata denunciata dallo stesso paziente che si è trovato ad essere vittima di un data breach di dati particolari relativi alla sua condizione di salute. Lo stesso ha quindi chiamato in causa l’Azienda sanitaria locale presso cui era stato seguito durante le cure, che a sua volta ha compiuto la segnalazione al Garante. La Ausl non ha adottato tutte le misure tecniche e organizzative per ridurre il rischio che il personale autorizzato ad accedere alle cartelle cliniche dei clienti, potesse usarle per fini diversi dalla cura.

 

LA VIOLAZIONE

Il dottore era autorizzato ad accedere alla cartella clinica del paziente proprio perché suo medico curante, tuttavia per il solo fine di cura non di divulgazione. Non era infatti in possesso, per i fini di informazione scientifica

  • né del consenso del paziente
  • né del permesso della Ausl.

Da sottolineare come il dottore non abbia proceduto ad anonimizzare i dati personali del soggetto che è stato curato, che sono quindi stati fatti circolare senza adottare alcuna misura per garantire la sua privacy.

La difesa adottata dal medico curante si basava sul fatto che il paziente ha rilasciato il consenso alla Ausl per il trattamento dei suoi dati per finalità di “indagine epidemiologica e ricerca scientifica”. Tuttavia, il Garante ha dichiarato nel suo provvedimento che il consenso rilasciato dal paziente alla sola Azienda, non giustifica in alcun modo la divulgazione dei dati sanitari. Il Garante ha anche affermato come il medico abbia trattato i dati personali e documenti clinici oltre le finalità di cura del paziente, violando così la tutela dei suoi dati personali. Senza considerare anche come il paziente non sia mai stato preventivamente informato della possibilità di divulgazione dei suoi dati e del loro utilizzo per fini diversi da quelli di cura.

 

LE SANZIONI

Il dottore ha ricevuto una sanzione di 5.000 euro da parte dell’Autorità Garante.
L’associazione chirurgica che ha pubblicato i dati sanitari sul proprio sito ha ricevuto una sanzione di 2.000 euro. La pubblicazione ha reso accessibili i dati personali a un numero indefinito di persone.
Infine l’Azienda sanitaria ha ricevuto solo un ammonimento, in quanto l’episodio non si era mai verificato ed è stato gestito dalla stessa in maniera tempestiva. Tanto che la Auls ha adottato un codice di condotta che è stato approvato dal Garante stesso e si è fatta promotrice di iniziative che hanno scopo di regolamentare l’uso dei documenti aziendali per fini di “indagine epidemiologica e ricerca scientifica”.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *


Torna in alto