Privacy in Sanità:
imparare dalle sanzioni

Se, da un lato, rappresentano una tra le eventualità più temute dalle organizzazioni, le sanzioni comminate dal Garante Privacy sono anche un valido strumento per comprendere sul piano pratico come trattare correttamente i dati personali.
Conoscere il contenuto delle pronunce dell'Autorità è spesso strategico per evitare di ripetere gli stessi illeciti o violazioni per i quali altri enti o aziende sono stati multati.
Ovviamente con una sorta di "disclaimer": i provvedimenti del Garante sono sempre impugnabili, nei termini, tramite ricorso al Tribunale ordinario.
Quanto stabilito dal Garante può essere quindi disatteso dal Giudice di primo grado e poi dalla Corte di Cassazione.
Ma i provvedimenti dell'Autorità rimangono in ogni caso un essenziale punto di riferimento per la corretta interpretazione della normativa in tema di data protection.

Questa rubrica ha lo scopo di raccogliere, analizzare e commentare, in particolare, le sanzioni applicate nel settore sanitario.

App e siti per il contatto medico-paziente: pubblicate le regole del Garante privacy

La realizzazione e l’utilizzo di piattaforme web e app che mettono in contatto medici e pazienti richiede il rispetto degli obblighi previsti in materia di protezione dei dati per gli strumenti di sanità digitale. Per questo motivo, il Garante privacy ha pubblicato un Compendio che descrive gli adempimenti necessari alla conformità normativa per sviluppatori software e professionisti sanitari.  Di questo documento forniamo una sintesi schematica per agevolare l’orientamento tra le indicazioni dell’Autorità.


Limitare gli accessi al dossier sanitario: le regole da seguire

Il Garante Privacy ha sanzionato un’Azienda sanitaria che, al fine di gestire l’emergenza da Covid-19, aveva configurato il DSE in modo da permettere al personale sanitario l’accesso ai dati dei pazienti di tutti i reparti dell'ospedale e del pronto soccorso. L'accesso al dossier sanitario, invece, deve essere limitato al solo personale sanitario che è effettivamente coinvolto nel percorso di cura del paziente adottando specifiche misure di sicurezza.


App mediche: sanzionata società di dispositivi medici per aver violato dati di pazienti diabetici

A esporre un fabbricante di dispositivi medici a un rischio di sanzione per violazione dei dati personali può essere anche un errore umano nell’invio di informazioni sull’utilizzo di un’app sanitaria. La comunicazione illecita di dati effettuata da una società leader del settore, e sanzionata dal Garante, rappresenta un tipico evento a cui può essere soggetta qualsiasi organizzazione. Specifiche misure di sicurezza – correttamente implementate all’interno di un sistema di gestione privacy – sono obbligatorie ai sensi dell’art. 32 GDPR per contribuire a prevenire incidenti di questo tipo.


Comunicazione illecita di dati sanitari: cosa non fare e come prevenire

Il GDPR richiede al Titolare del trattamento di approntare misure tecniche ed organizzative, spesso anche complesse, per garantire la tutela dei dati e il rispetto dei principi del trattamento; l’attenzione deve essere quantomai elevata quando i dati personali trattati sono dati particolari, come accade in ambito sanitario.  Spesso però le violazioni sono causate da errori umani, anche banali, che causano dei veri e propri data breach e soprattutto espongono il Titolare a provvedimenti sanzionatori da parte del Garante. Quanto costano questi “errori” alla sanità?


Postare sui social i risultati di un trattamento medico-estetico può costare caro se l’informativa privacy non è adeguata

La diffusione di dati relativi alla salute è in linea di principio vietata. Girare un video che riprende un trattamento medico estetico eseguito su un paziente costituisce un trattamento di dati relativi alla salute e di conseguenza, la pubblicazione del video non è ammessa. Grazie al recente provvedimento del Garante nei confronti di un centro medico estetico, scopriamo insieme entro quali limiti e con quali misure di sicurezza è possibile postare sui social immagini o video di questo tipo e a quali aspetti prestare attenzione per essere conformi alle disposizioni in materia di protezione dei dati personali.


Quali errori da evitare nel rapporto con il dpo?

Torniamo a parlare del Data Protection Officer (DPO), dopo aver affrontato una serie di profili utili a comprenderne i contorni e il ruolo. Prendendo spunto da un provvedimento emanato dal Garante per la protezione dei dati personali, trattiamo oggi il tema del ruolo e della posizione del DPO da una prospettiva diversa. Tenuto conto delle prescrizioni del Regolamento UE 2016/679 (GDPR), cosa non deve fare il titolare del trattamento nei rapporti con il DPO?


Gli obblighi privacy per la condivisione di casi clinici nei corsi di formazione per medici

Il Garante per la protezione dei dati personali con il provvedimento del 16 novembre 2023 (doc. web n. 9960948) ha sanzionato una società che aveva organizzato un evento formativo per medici a seguito della diffusione su internet di dati relativi alla salute e a indagini su reati relativi al figlio, deceduto, della reclamante.


Come vanno indicate le basi giuridiche nell’informativa privacy?

Il Regolamento UE 2016/679 è pienamente operativo da cinque anni e l’aderenza nel rispetto ai principi del trattamento dei dati personali ha fatto enormi passi in avanti. Rimangono, però, ancora frequenti le violazioni e le conseguenti sanzioni.  Impariamo come evitarle.


Webinar "Le sanzioni privacy nel settore sanitario nell’anno 2022"

Registrazione del webinar realizzato dallo Studio Legale Stefanelli&Stefanelli - Trasmesso in streaming il primo dicembre 2023

Il webinar ha lo scopo di approfondire i provvedimenti emessi nel 2022 dal Garante Privacy nel settore della sanità.

I provvedimenti sono analizzati in base ai soggetti destinatari delle sanzioni (es. strutture del SSN, Cliniche private, Medici liberi professionisti, Aziende di dispositivi medici, etc.) e alle tipologie di violazioni commesse, evidenziandone gli aspetti salienti.

Whitepaper "Sanzioni privacy settore sanitario nell'anno 2022"

A cinque anni dalla piena applicazione del GDPR (2018), continuiamo a tenere monitorato l’andamento delle sanzioni del Garante Privacy nel settore della sanità.
Il Whitepaper offre una sintesi dei provvedimenti e delle sanzioni comminate dal Garante italiano nel 2022. 
I provvedimenti sono organizzati in base al soggetto a cui è stata applicata la sanzione, alla tipologia di violazione posta in essere e alla sanzione applicata.
Uno strumento di sintesi utile per chi tratta dati nel settore sanitario per avere una mappatura delle attività maggiormente a rischio.