Home
Network ALL-IN
Quotidiano
Specializzazioni
Rubriche
Strumenti
Fonti
26 luglio 2022
Ricerca medica e dossier sanitario, European Health Data Space e diffusione di dati personali da parte della PA: le ultime dal Garante Privacy

Dal via libera allo studio sulle patologie toraciche alla necessità che lo Spazio europeo dei dati sanitari rispetti le norme sulla privacy, fino alle sanzioni inflitte a due Asl e ad un Comune per diffusione ingiustificata e trattamento illecito di dati personali. Questi i temi dell'ultima newsletter del Garante Privacy.

La Redazione
Dossier sanitario: sanzionate due Asl per accessi abusivi
Le aziende sanitarie devono adottare le misure tecniche e organizzative necessarie per evitare che il personale sanitario non curante acceda ai dati dei pazienti. È quanto ha ricordato il Garante privacy, sanzionando due Asl della Regione Friuli-Venezia Giulia per trattamento illecito di dati.
L'Autorità, avviata un'istruttoria dopo le numerose segnalazioni pervenute, ha rilevato che l'accesso al dossier sanitario avveniva attraverso sistemi che, non essendo stati correttamente configurati, consentivano a tutti coloro che prestavano servizio nelle due Asl - e in tutte quelle della Regione - di acquisire informazioni su qualsiasi paziente presente o non presente nelle due strutture. Esso ha, poi, accertato una serie di illeciti imputabili alla società che gestisce l'applicativo per la gestione del dossier sanitario, tra cui la mancata predisposizione di un sistema di alert, volti ad individuare comportamenti anomali o a rischio relativi alle operazioni eseguite dai soggetti autorizzati al trattamento.
Tenuto conto di ciò, è stata comminata una sanzione di 50.000 euro ad un'Asl e di 70.000 euro all'altra, con la prescrizione per la società informatica di adottare interventi correttivi all'applicativo, in grado di garantire un'adeguata sicurezza e integrità dei dati personali e scongiurare accessi non consentiti, entro il termine di 60 giorni.
 
Ricerca medica: ok al consenso a "fasi progressive"
Parere favorevole del Garante al trattamento dei dati da parte dell'Azienda Ospedaliera Universitaria Integrata di Verona, volto allo studio dei pazienti affetti da patologie neoplastiche, infettive, degenerative e traumatiche del distretto toracico. 
Potrà procedersi con la creazione di una banca dati e con l'attività di ricerca ma il personale addetto dovrà fondare la raccolta - e il successivo trattamento di dati sulla salute per scopi di ricerca medica - sul consenso “a fasi progressive”. È, quindi, necessario un primo consenso, espresso dai pazienti al momento di partecipare allo studio, a condizione che l'Azienda Ospedaliera acquisisca successivamente specifici consensi dai pazienti o il parere del Garante per quelli deceduti o non più contattabili.
 
PA: attenzione ai dati che vanno online
L'Autorità è intervenuta su richiesta di un reclamante che lamentava la diffusione di informazioni riservate contenuti all'interno di un curriculum vitae pubblicato sul sito web istituzionale di un Comune, con cui da tempo aveva cessato l'attività lavorativa. Nel corso dell'attività istruttoria, risultando comprovato quando lamentato dall'interessato, è stato accertato che la diffusione dei dati è avvenuta in maniera non conforme ai principi di “liceità, correttezza e trasparenza” e “minimizzazione dei dati”. Motivo che ha portato all'applicazione di una sanzione di 10 mila euro nei confronti dell'Ente locale.
Prestare la massima attenzione a non diffondere dati che non siano pertinenti rispetto alle finalità di trasparenza perseguite quando si pubblicano atti e documenti online.
 
Garanti Ue: Spazio europeo dei dati sanitari ed rispetto delle norme sulla privacy
Il Comitato europeo per la protezione dei dati (Edpb) e il Garante europeo della protezione dei dati (Edps), nel parere congiunto sulla proposta della Commissione europea per lo Spazio europeo dei dati sanitari (Ehds - European Health Data Space), hanno raccomandato il pieno rispetto delle norme poste a protezione dei dati dei pazienti europei.
Nell'accogliere con favore l'impegno a rafforzare i diritti delle persone rispetto ai propri dati elettronici sanitari, le due Autorità hanno, tuttavia, espresso anche una serie di preoccupazioni inerenti:
  • il disallineamento tra GDPR e previsioni della proposta sui diritti degli interessati;
  • i rischi connessi all'uso secondario dei dati sanitari elettronici
  • i rischi di accesso illegale ad una grande molte di dati dal contenuto altamente sensibile;
  • la sovrapposizione tra Autorità deputate alla protezione delle privacy ed i nuovi enti introdotti dalla proposta.