Vuoi ricevere i nostri aggiornamenti?
Gli obblighi privacy per la condivisione di casi clinici nei corsi di formazione per medici
Il Garante per la protezione dei dati personali con il provvedimento del 16 novembre 2023 (doc. web n. 9960948) ha sanzionato una società che aveva organizzato un evento formativo per medici a seguito della diffusione su internet di dati relativi alla salute e a indagini su reati relativi al figlio, deceduto, della reclamante.
La condivisione del materiale contenente il caso clinico tramite URL
La società organizzatrice dell’evento aveva caricato il materiale formativo sul proprio sistema gestionale e generato un URL di servizio al fine di condividerlo con i partecipanti al corso. Il materiale didattico conteneva la presentazione di casi clinici e in particolare alcune relazioni di perizie psichiatriche in cui si riportavano molte informazioni relative al figlio della reclamante quali biografia, anamnesi, medicinali assunti, reati per i quali era stato indagato (peraltro, in una sezione del documento, il cognome del paziente era in chiaro).
La società apprendeva la notizia della diffusione on line del materiale formativo solo a seguito della notifica della violazione da parte del Garante e provvedeva tempestivamente a rimuovere dal proprio gestionale tutti i contenuti.
Si ipotizzava che uno dei partecipanti al corso avesse indebitamente causato la diffusione in rete del materiale formativo nonostante in esso fosse contenuta la dicitura di “materiale clinico non diffusibile e trasmesso ai partecipanti del corso con il vincolo del segreto professionale”.
La società, in propria difesa, dichiarava:
- di non aver autorizzato alcun soggetto alla diffusione della documentazione relativa al paziente
- e che la diffusione non era dipesa da carenze relative alle misure di sicurezza informatiche del proprio gestionale ma esclusivamente da fatto illecito di terzi.
Le conclusioni del Garante privacy
L’autorità ha dichiarato illecito il trattamento di dati personali effettuato dalla società per violazione degli articoli 5 e 32 del GDPR.
La società, quale titolare del trattamento, era infatti tenuta a mettere in atto misure tecniche e organizzative idonee ad assicurare la riservatezza dei dati personali risultati invece oggetto di violazione.
Fermo restando che il responsabile scientifico che ha redatto la documentazione e l’ha successivamente utilizzata per finalità didattiche non aveva correttamente anonimizzato i dati, alla società è stato contestato:
- di non aver valutato l’adeguatezza delle misure di anonimizzazione adottate sui dati personali del figlio della reclamante,
- di aver consentito l’accessibilità, senza il superamento di alcuna procedura di autenticazione informatica, all’indirizzo web ove la documentazione contenente il caso clinico era stata caricata.
Il Garante ha ordinato alla società il pagamento di una sanzione amministrativa pari a 18.000 euro pur tenendo in considerazione la pronta rimozione del link di accesso al materiale formativo contente i dati personali.
Rubrica "Privacy in Sanità: imparare dalle sanzioni"
Leggi gli altri articoli e accedi agli ulteriori contenuti presenti nella nostra rubrica dedicata.