La protezione dei dati nel mondo sanitario
L’esame di una pesante sanzione affibbiata dall’autorità Garante portoghese ad una struttura sanitaria.
La commissione nazionale per la protezione dei dati ha trovato che in un centro ospedaliero erano presenti numerose violazioni delle prescrizioni del regolamento generale europeo; la sanzione applicata è, almeno alla luce dei guai riscontrati, perfino modesta, ma probabilmente ha un valore simbolico, per mettere in guardia altre strutture sulla necessità di effettuare interventi correttivi. Ecco l’elenco puntuale delle anomalie riscontrate dagli ispettori della commissione nazionale per la protezione dei dati. Non è stato reperito alcun documento che descriva una corrispondenza tra le competenze funzionali degli utenti e i profili di accesso alle informazioni; in altre parole, nel definire il profilo di un utente, che accedeva al sistema informativo sanitario, non veniva stabilita una correlazione con le competenze specifiche. Non è stato trovato alcun documento che descrivesse le regole per creare gli utenti del sistema informativo dell’ospedale, vale a dire gli autorizzati al trattamento. Nove dipendenti tecnici godevano di un profilo di accesso riservato al personale medico, il che permetteva a questi autorizzati al trattamento di esaminare i protocolli terapeutici di tutti i soggetti ricoverati in ospedale. Le credenziali di accesso rilasciate ai medici erano uguali per tutti, indipendentemente dalla specialità del medico. Questa situazione è considerata in piena violazione del principio di protezione per impostazione predefinita, anche chiamato principio del “need to know”, previsto dall’articolo 25 del regolamento.
Gli utenti autorizzati sotto il profilo “medico” erano 985, ma l’esame dell’organigramma dell’ospedale indica soltanto 296 medici.
I profili di accesso per medici, che non operavano più all’interno della struttura sanitaria, erano ancora attivi.
Esistevano 18 profili di accesso non attivi e l’ultimo era stato disattivato nel novembre 2016
Le indagini hanno messo in evidenza che la struttura sanitaria aveva operato con sistematica negligenza, ben al corrente del fatto che stava trattando i dati in modo contrario alla legge
Assai interessante è anche esaminare il ragionamento che ha portato all’applicazione della sanzione, che tutto sommato sembra relativamente bassa, stiamo parlando di qualche centinaio di mila euro, a fronte delle violazioni riscontrate.
La commissione nazionale per la produzione dei dati ha effettuato le seguenti valutazioni:
- è stato ritenuto particolarmente grave il fatto che le categorie di dati coinvolti facessero riferimento a dati particolari
- la struttura sanitaria si è attivata subito per mitigare i danni potenzialmente subiti dagli interessati coinvolti
- non vi erano precedenti violazioni riscontrate dalla commissione
- la struttura sanitaria ha cooperato in modo costruttivo con la commissione per la protezione dei dati, per mettere sotto controllo le anomalie rilevate
- le violazioni sono state riscontrate a seguito della pubblicazione di un articolo sul quotidiano locale e non a fronte di un ricorso da parte di un interessato.
È anche interessante rilevare come la commissione nazionale abbia messo in evidenza una incompatibilità giuridica, esistente in Portogallo, laddove si afferma che un’entità pubblica non può essere assoggettata a sanzioni da parte di un’altra entità pubblica. Si tratta di una situazione incredibile, che è stata messa sotto controllo da questo intervento correttivo della commissione nazionale.
https://www.formicasrl.it/?p=137235PrivacyL’esame di una pesante sanzione affibbiata dall’autorità Garante portoghese ad una struttura sanitaria. La commissione nazionale per la protezione dei dati ha trovato che in un centro ospedaliero erano presenti numerose violazioni delle prescrizioni del regolamento generale europeo; la sanzione applicata è, almeno alla luce dei guai riscontrati, perfino modesta,...RossellaRossella La Ferlaricer@areaprogetti.itAdministratorFORMICA "Sicurezza sul lavoro" di Giovanni Formica