Privacy in Sanità:
imparare dalle sanzioni

Se, da un lato, rappresentano una tra le eventualità più temute dalle organizzazioni, le sanzioni comminate dal Garante Privacy sono anche un valido strumento per comprendere sul piano pratico come trattare correttamente i dati personali.
Conoscere il contenuto delle pronunce dell'Autorità è spesso strategico per evitare di ripetere gli stessi illeciti o violazioni per i quali altri enti o aziende sono stati multati.
Ovviamente con una sorta di "disclaimer": i provvedimenti del Garante sono sempre impugnabili, nei termini, tramite ricorso al Tribunale ordinario.
Quanto stabilito dal Garante può essere quindi disatteso dal Giudice di primo grado e poi dalla Corte di Cassazione.
Ma i provvedimenti dell'Autorità rimangono in ogni caso un essenziale punto di riferimento per la corretta interpretazione della normativa in tema di data protection.

Questa rubrica ha lo scopo di raccogliere, analizzare e commentare, in particolare, le sanzioni applicate nel settore sanitario.

Webinar "Le sanzioni privacy nel settore sanitario nell’anno 2023"

Registrazione del webinar realizzato dallo Studio Legale Stefanelli&Stefanelli - Trasmesso in streaming il 17 ottobre 2024.

Il webinar ha lo scopo di approfondire i provvedimenti emessi nel 2023 dal Garante Privacy nel settore della sanità.

I provvedimenti sono analizzati in base ai soggetti destinatari delle sanzioni (es. strutture del SSN, Cliniche private, Medici liberi professionisti, Aziende di dispositivi medici, etc.) e alle tipologie di violazioni commesse, evidenziandone gli aspetti salienti.

Whitepaper "Sanzioni privacy settore sanitario nell'anno 2023"

Dalla piena applicazione del GDPR sono passati sei anni e lo Studio Legale  Stefanelli&Stefanelli continua a tenere monitorato l’andamento delle sanzioni del  Garante Privacy nel settore della sanità. Cosa emerge confrontando le sanzioni inflitte dall’autorità nel 2022 con quelle comminate nel corso del 2023?
In questo white paper vi proponiamo un'analisi delle principali casistiche:  uno strumento di sintesi utile per chi tratta dati nel settore sanitario per avere una mappatura delle attività maggiormente a rischio.


Perdere la cartella clinica: le sanzioni privacy

La perdita della cartella clinica è un evento infausto che ha impatta non solo sotto il profilo risarcitorio in ambito processuale ma anche sotto quello sanzionatorio, a livello amministrativo, per violazione dei dati personali.  Come noto, in generale, nel settore sanitario l’indisponibilità di dati riferiti a un paziente si traduce spesso nella impossibilità di curare l’assistito. Per questo motivo, la perdita parziale di cartelle cliniche da parte di un’Azienda Sanitaria è stata notificata da quest’ultima al Garante Privacy ex art. 33 GDPR, sul presupposto che tale violazione di dati presentasse un rischio elevato per i diritti e le libertà dei pazienti. Nel caso specifico era stata smarrita la diaria medica cartacea di una paziente, riportante la descrizione delle condizioni cliniche quotidiane e il foglio di consenso all'esecuzione della procedura diagnostica (paracentesi) e la documentazione clinica di un altro paziente alla chiusura della cartella.


Ruoli privacy in sanità: come gestirli?

L’individuazione dei ruoli privacy nel settore sanitario resta un tema molto delicato che spesso richiede attenta analisi, considerato che da ciò deriva non solo la distribuzione delle relative responsabilità, ma anche la possibilità per gli interessati di conoscere il soggetto cui potersi rivolgere per esercitare i diritti di cui agli artt. da 15 a 22 del GDPR. Nell’articolo esaminiamo un interessante provvedimento dell’Autorità Garante.

Il Registro dei trattamenti può essere un ottimo biglietto da visita per le aziende!

Prendendo spunto da un intervento sanzionatorio dell'Autorità Garante nei confronti di un'associazione che aveva sviluppato un'applicazione sanitaria durante la pandemia da Covid-19, vediamo come deve essere compilato un registro dei trattamenti e come deve essere tenuto.


App e siti per il contatto medico-paziente: pubblicate le regole del Garante privacy

La realizzazione e l’utilizzo di piattaforme web e app che mettono in contatto medici e pazienti richiede il rispetto degli obblighi previsti in materia di protezione dei dati per gli strumenti di sanità digitale. Per questo motivo, il Garante privacy ha pubblicato un Compendio che descrive gli adempimenti necessari alla conformità normativa per sviluppatori software e professionisti sanitari.  Di questo documento forniamo una sintesi schematica per agevolare l’orientamento tra le indicazioni dell’Autorità.


Limitare gli accessi al dossier sanitario: le regole da seguire

Il Garante Privacy ha sanzionato un’Azienda sanitaria che, al fine di gestire l’emergenza da Covid-19, aveva configurato il DSE in modo da permettere al personale sanitario l’accesso ai dati dei pazienti di tutti i reparti dell'ospedale e del pronto soccorso. L'accesso al dossier sanitario, invece, deve essere limitato al solo personale sanitario che è effettivamente coinvolto nel percorso di cura del paziente adottando specifiche misure di sicurezza.


App mediche: sanzionata società di dispositivi medici per aver violato dati di pazienti diabetici

A esporre un fabbricante di dispositivi medici a un rischio di sanzione per violazione dei dati personali può essere anche un errore umano nell’invio di informazioni sull’utilizzo di un’app sanitaria. La comunicazione illecita di dati effettuata da una società leader del settore, e sanzionata dal Garante, rappresenta un tipico evento a cui può essere soggetta qualsiasi organizzazione. Specifiche misure di sicurezza – correttamente implementate all’interno di un sistema di gestione privacy – sono obbligatorie ai sensi dell’art. 32 GDPR per contribuire a prevenire incidenti di questo tipo.


Comunicazione illecita di dati sanitari: cosa non fare e come prevenire

Il GDPR richiede al Titolare del trattamento di approntare misure tecniche ed organizzative, spesso anche complesse, per garantire la tutela dei dati e il rispetto dei principi del trattamento; l’attenzione deve essere quantomai elevata quando i dati personali trattati sono dati particolari, come accade in ambito sanitario.  Spesso però le violazioni sono causate da errori umani, anche banali, che causano dei veri e propri data breach e soprattutto espongono il Titolare a provvedimenti sanzionatori da parte del Garante. Quanto costano questi “errori” alla sanità?


Postare sui social i risultati di un trattamento medico-estetico può costare caro se l’informativa privacy non è adeguata

La diffusione di dati relativi alla salute è in linea di principio vietata. Girare un video che riprende un trattamento medico estetico eseguito su un paziente costituisce un trattamento di dati relativi alla salute e di conseguenza, la pubblicazione del video non è ammessa. Grazie al recente provvedimento del Garante nei confronti di un centro medico estetico, scopriamo insieme entro quali limiti e con quali misure di sicurezza è possibile postare sui social immagini o video di questo tipo e a quali aspetti prestare attenzione per essere conformi alle disposizioni in materia di protezione dei dati personali.