Vuoi ricevere i nostri aggiornamenti?

Registrati per accedere ai contenuti riservati e iscriverti alla nostra newsletter
Registrati
Back

Sanità: l’attività del Garante Privacy nel 2023

18/07/2024
Maria Livia Rizzo

Lo scorso 3 luglio l’Autorità Garante per la protezione dei dati personali ha presentato la Relazione sull’attività svolta nel quarto anno di mandato del Collegio.

Tra i diversi temi affrontati dal Garante, quelli legati agli ambiti della sanità – anche in connessione con le innovazioni tecnologiche – occupano una posizione di rilievo. L’Autorità è infatti intervenuta su tematiche connesse a digitalizzazione, intelligenza artificiale, PNRR sempre con particolare attenzione ai soggetti vulnerabili, come i pazienti e alla tutela dei dati sanitari.

In ambito sanitario il Garante è intervenuto su diversi fronti. Vediamo quali.

Sanità digitale

I principali ambiti di intervento hanno riguardato la riforma del Fascicolo sanitario elettronico (FSE) 2.0 e la realizzazione del sistema nazionale di telemedicina, che si collocano nelle azioni di attuazione della Missione 6 (salute) del PNRR.

Nel settore della sanità digitale, l’Ufficio è inoltre intervenuto con riferimento ai trattamenti di dati sulla salute effettuati attraverso i sistemi informativi delle strutture sanitarie pubbliche e private utilizzati per la gestione dei dati e dei documenti clinici e, in particolare, in rapporto a quelli effettuati attraverso il dossier sanitario e alle componenti aziendali e regionali del FSE.

Trattamenti di dati personali nell’ambito dei sistemi informativi sanitari centrali

Il Garante ha espresso il proprio parere favorevole sugli schemi di decreto ministeriali relativi a:

  • Modalità di conferimento delle informazioni riguardanti i dati identificativi del fabbricante e l’elenco dei tipi di dispositivi medici su misura messi a disposizione sul territorio nazionale (provv. 27 aprile 2023, n. 186, doc. web n. 9896484)
  • Tempi di conservazione dei dati personali eventualmente forniti contestualmente alle comunicazioni di incidenti con i dispositivi medici in vitro attuativo dell’art. 13, comma 9, d.lgs. 5 agosto 2022, n. 138 (provv. 17 maggio 2023, n.192, doc. web n. 9897587)
  • Istituzione del Sistema informativo per il monitoraggio dell’assistenza riabilitativa (SIAR) e relativo allegato tecnico (provv. 22 giugno 2023, n. 259, doc. web n. 9918016).
  • Istituzione del Sistema informativo per il monitoraggio delle attività erogate dai consultori familiari (SICOF) (provv. 22 giugno 2023, n. 260, doc. web n. 9918033).
  • Istituzione del Sistema informativo per il monitoraggio dell’assistenza domiciliare (SIAD) (provv. 6 luglio 2023, n. 284, doc. web n. 9919981)
  • Istituzione del Sistema informativo per il monitoraggio delle prestazioni erogate nell’ambito dell’assistenza sanitaria in emergenza-urgenza (provv. 6 luglio 2023, n. 283 doc. web n. 9919963).
  • Sistema informativo nazionale per le dipendenze (SIND) (provv. 12 ottobre 2023, n. 471, doc. web n. 9947458)

L’Autorità è invece intervenuta con un parere negativo sullo schema di decreto le prescrizioni dei medicinali rilasciate nel territorio italiano su richiesta di un paziente che intenda utilizzarle in uno Stato membro ai sensi dell’art. 12, comma 9, d.lgs. n. 38/2014 (cd. ricetta transfrontaliera) (provv. 26 gennaio 2023, n. 24, doc. web n. 9856677).

Trattamenti per finalità di cura e amministrative correlate alla cura

Le istruttorie avviate nel 2023 dal Garante con riferimento ai trattamenti di dati per finalità di cura e amministrative correlate alla cura hanno riguardato, in particolare:

  • Comunicazioni illecite di dati effettuate per errore (ad es. tramite lo scambio o l’errata intestazione/consegna/trasmissione di documenti sanitari o l’invio di e-mail con i destinatari inseriti in copia conoscenza);
  • Attacchi ransomware;
  • Pubblicazione di dati sanitari sul web;
  • Mancata eliminazione di documentazione sanitaria cartacea lasciata in stato di abbandono in un ex sanatorio;
  • Affissione di cartelli contenenti informazioni sanitarie;
  • Utilizzo illecito dei dati di un caso clinico per la redazione di una tesi;
  • Invio di sms con reminder di visite mediche non richieste;
  • Accessi illeciti ai dati tramite piattaforma di refertazione online;
  • Smarrimento di materiale biologico;
  • Trattamento dei dati connessi alla sanzione per mancato assolvimento dell’obbligo vaccinale.

Trattamenti per finalità ulteriori rispetto a quelle di cura e/o amministrative correlate alla cura

L’Autorità è intervenuta con provvedimenti sanzionatori anche con riferimento a vicende che hanno riguardato:

  • Comunicazione da parte di un’azienda sanitaria ai servizi cimiteriali di un Comune dell’elenco delle donne che avevano effettuato un intervento di interruzione di gravidanza, unitamente alla documentazione relativa, per ciascuna di esse, all’autorizzazione al trasporto e al seppellimento dei prodotti abortivi;
  • Illecita comunicazione da parte di un medico dei dati di un paziente a una azienda di dispositivi medici;
  • Pubblicazione online illecita di dati sanitari nell’ambito di un corso di formazione

Esercizio dei diritti

Nel corso del 2023 il Garante ha anche trattato reclami proposti nei confronti di strutture sanitarie pubbliche e private per non avere fornito riscontro a istanze avanzate dagli interessati nell’esercizio dei diritti garantiti dagli artt. 15-22 del GDPR.

I numeri

Scendendo nel dettaglio delle cifre relative al complesso dell’attività svolta dal Garante Privacy:

  • data breachnotificati nel 2023 all’Autorità da parte di soggetti pubblici e privati ammontano a 037.
  • Nel 2023 sono stati adottati 634 provvedimenti collegiali.
  • L’Autorità ha fornito riscontro a 281 reclami e segnalazioni riguardanti, tra l’altro la sanità, la sicurezza informatica e il lavoro.
  • Le comunicazioni di notizie di reatoall’autorità giudiziaria sono state 7 e hanno riguardato violazioni in materia di controllo a distanza dei lavoratori, falsità nelle dichiarazioni e notificazioni al Garante, accesso abusivo a un sistema informatico.
  • I provvedimenti correttivi e sanzionatori sono stati 394.
  • Le sanzioni riscosse sono state di circa 8 milioni.
  • 2037 i data breach notificati all’Autorità.
  • Le ispezioni effettuate nel 2023 sono state 144 in linea rispetto a quelle dell’anno precedente.

Per quanto riguarda quest’ultimo punto, gli accertamenti svolti, anche con il contributo del Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza, hanno riguardato diversi settori, sia nell’ambito pubblico che privato: tra questi, ricerca scientifica, data breach, siti web ed uso dei cookie.

Diritto Sanitario Privacy
Share

Privacy in Sanità: imparare dalle sanzioni

Leggi gli articoli della nostra rubrica digitale

Vuoi approfondire l'argomento?

Contattaci