Il Garante Privacy ha sanzionato una società di formazione online per aver reso pubblici dati sanitari di un un ragazzo nei materiali di un corso online
Il reclamo della madre del ragazzo: esposti i dati sanitari
Questa vicenda ha inizio con un reclamo presentato dalla madre del ragazzo. La signora era infatti venuta a conoscenza del fatto che dati e informazioni legate allo stato di saluto del figlio, deceduto prematuramente, erano finiti nei materiali di un corso di formazione online per medici.
Tra i dati, condivisi con terzi e pubblicati sul web, risultavano perizie psichiatriche dalle quali erano estrapolabili dati come biografia, anamnesi, medicinali assunti, reati per il quali il soggetto era finito sotto indagine. L’azienda organizzatrice dei corsi aveva diffuso perfino alcuni dati della madre del ragazzo. Questi materiali risultavano facenti parte del “Materiale clinico non diffusibile e trasmesso ai partecipanti alla XX con il vincolo del segreto professionale”.
Il Garante Privacy, una volta verificata la documentazione, ha richiesto informazioni al redattore dei documenti.
L’attività istruttoria del Garante
Il Garante Privacy ha potuto verificare che i dati in oggetto sono stati condivisi con terzi nell’ambito di un corso organizzato da un’azienda specializzata in convegni in ambito medico – scientifico e rivolto a laureati in Laureati in Medicina e Chirurgia, Specialisti o Specializzandi in Psichiatria.
Non a caso il medico redattore dei materiali si è difeso affermando come sia prassi comune quella di presentare “Casi clinici reali” ad integrazione dei materiali prettamente teorici. Lo stesso ha sottolineato come il materiale condiviso avesse mero scopo formativo in un contesto in cui i partecipanti sono sottoposti al vincolo del segreto professionale. Inoltre il redattore aveva comunicato ai partecipanti il divieto di divulgazione dei dati.
Per approfondire > Consenso al trattamento dati e sanità: un tema giuridico che tocca gli operatori della sicurezza
Il medico ha quindi dichiarato di non avere responsabilità nella divulgazione dei dati avendo scoperto a posteriori la pubblicazione indebita di tali materiali.
Il Garante ha quindi richiesto ulteriori informazioni direttamente alla società organizzatrice del convengo. L’azienda ha sottolineato di aver appreso soltanto dalla richiesta di chiarimenti pervenuta da parte dell’ufficio del Garante del fatto che i dati risultassero accessibili sul web tramite un link. In particolare il link incriminato era stato comunicato via email a tutti i partecipanti al corso ed era liberamente accessibile da chiunque conoscesse l’URL.
Per saperne di più > Dati sensibili e GDPR: quali sono e come trattarli a norma di legge
La sanzione del Garante
Il Garante privacy, preso atto della situazione, ha optato per sanzionare l’azienda di formazione online. In particolare si legge nella nota pubblicata in merito
” il Garante, oltre a ribadire che ai dati delle persone decedute continuano ad applicarsi le tutele della normativa privacy, ha affermato che la società avrebbe dovuto mettere in atto misure tecniche, organizzative e di verifica adeguate a garantire in via permanente la riservatezza dei dati trattati. Oltre a verificare l’adeguatezza delle misure di anonimizzazione adottate sui dati personali della reclamante e del figlio deceduto, la società avrebbe dovuto, ad esempio, impiegare una procedura di autenticazione informatica per consentire l’accesso alla documentazione soltanto ai medici che avevano frequentato il corso formativo”.
Il Garante, nello stabilire l’ammontare della sanzione, ha tenuto di conto il fatto che l’azienda abbia proceduto, in corso di istruttoria, ad eliminare il link. Ha così comminato una sanzione di 18.000 euro per trattamento illecito di dati sanitari e giudiziari.
Qui è disponibile il provvedimento completo
Non sei sicuro che i trattamenti dati in atto nella tua azienda siano minimizzati? Non sei sicuro della tipologia di dati che desideri trattare? Chiedilo ai nostri esperti, ti aiuteremo a raggiungere i tuoi obiettivi in conformità a tutti gli obblighi previsti dal GDPR
