Le aziende sanitarie devono adottare tutte le misure tecniche e organizzative necessarie per evitare che i dati dei pazienti siano comunicati per errore ad altri destinatari (data breach).
Lo ha ribadito il Garante per la privacy nel sanzionare un’azienda sanitaria del Veneto per una violazione di dati personali (data breach), che ha coinvolto 39.852 assistiti, minori di 6 anni e maggiori di 65, con reddito inferiore a 36.151,98 euro.
Il caso
I pazienti avevano ricevuto nella cassetta della posta il certificato contenente i dati personali (nome, cognome, luogo e data di nascita, codice fiscale, codice di esenzione) di un altro assistito.
Dalle verifiche effettuate dall’Autorità – a seguito della ricezione di alcuni reclami e della notifica di data breach da parte dell’Asl – è emerso che la violazione era stata causata da un problema tecnico di disallineamento dei dati nel database contenente le anagrafiche dei pazienti.
La sanzione
La sanzione, di 10mila euro, è stata calcolata tenendo conto che l’azienda sanitaria ha immediatamente dimostrato un elevato grado di collaborazione con il Garante. L’episodio è risultato isolato e non volontario.
L’ammontare è stato determinato in relazione a:
– l’Azienda ha dimostrato un elevato grado di cooperazione durante la fase istruttoria e procedimentale e non ha commesso precedenti violazioni pertinenti;
– il trattamento ha riguardato un numero molto elevato di interessati e ha comportato la comunicazione dei dati di un interessato a un unico soggetto diverso;
– la violazione non è stata determinata da atteggiamenti intenzionali del titolare e la scelta di procedere con l’invio massivo al domicilio degli assistiti dei certificati di esenzione, non riconfermata per l’anno 2023, è stata assunta, nel contesto emergenziale da pandemia da Covid-19, al fine di evitare l’accesso in sede della popolazione e scongiurare in tal modo gli assembramenti presso gli sportelli dell’Azienda.
Misure attuate
L’azienda, inoltre, ha pianificato ulteriori misure per ridurre al minimo eventuali futuri errori. In particolare mediante l’attivazione di un portale online attraverso cui sarà possibile scaricare direttamente i certificati d’esenzione in formato digitale.
(Garante Privacy)
Leggi anche: