Menu Chiudi

Il contesto del provvedimento n. 620 del 17 ottobre 2024


Con il provvedimento n. 620 del 17 ottobre 2024, l’Autorità Garante per la protezione dei dati personali ha sanzionato una società per la violazione del principio di integrità e riservatezza nel trattamento dei dati personali, in relazione a un incidente verificatosi durante l’invio di referti medici online. L’intervento è avvenuto a seguito di un reclamo presentato da un interessato, che ha denunciato un’inappropriata gestione della sicurezza nel trattamento di dati sensibili.
L’evento contestato riguardava l’invio di un referto a un indirizzo e-mail errato. Il referto, contenente dati personali di natura sanitaria, è stato inviato come semplice allegato all’e-mail, senza alcuna protezione come una password per limitarne l’accesso. Nonostante l’errato destinatario abbia confermato di aver cancellato il messaggio senza aprirlo, evitando così un’effettiva compromissione della confidenzialità, il Garante ha comunque proceduto con l’irrogazione di una sanzione, mitigata dalla tempestiva adozione di misure correttive da parte del titolare.
Le linee guida del 2009: un riferimento obbligatorio
Nell’ambito dell’istruttoria, il Garante ha richiamato le Linee guida in tema di referti on-line emanate il 19 novembre 2009, ribadendone la rilevanza prescrittiva sia per i soggetti pubblici sia privati. Queste linee guida, integrate con le disposizioni del Regolamento Generale sulla Protezione dei Dati (GDPR), stabiliscono criteri di riferimento fondamentali per la sicurezza dei trattamenti, soprattutto in ambiti sensibili come quello sanitario.

L’art. 32 del GDPR impone che le misure di sicurezza adottate siano adeguate alla natura dei dati trattati e ai rischi connessi. Nel caso specifico della refertazione online, queste misure devono rispecchiare il principio di privacy by design, prevedendo accorgimenti tecnici e organizzativi in grado di prevenire accessi non autorizzati o accidentali ai dati personali.


Tra le misure indicate dalle linee guida del 2009, spiccano:
1.Protezione degli allegati: i referti devono essere trasmessi come allegati protetti da modalità idonee (es. cifratura o utilizzo di password univoche) a impedire accessi illeciti.
2.Convalida degli indirizzi e-mail: è necessario adottare procedure di verifica degli indirizzi e-mail dei destinatari prima dell’invio, al fine di evitare errori di trasmissione.
3.Alternativa informativa: gli interessati devono essere informati chiaramente sulle opzioni disponibili, in alternativa alla trasmissione via e-mail, garantendo trasparenza e tutela della scelta.

Un aspetto cruciale emerso dal provvedimento riguarda la liceità della comunicazione tramite e-mail. Per rispettare il GDPR, è indispensabile raccogliere un consenso esplicito, libero e specifico da parte dell’interessato, documentandone la validità. Tale consenso può essere previsto in modalità occasionale o permanente, mantenendo sempre il diritto di revoca senza penalizzazioni.
Il Garante ha inoltre sottolineato che le misure prescritte rappresentano condizioni necessarie, ma non sufficienti, per garantire un livello adeguato di protezione. Ogni titolare del trattamento deve effettuare una valutazione puntuale dei rischi associati al trattamento dei dati, adottando soluzioni personalizzate e proporzionate al contesto operativo.
Questo provvedimento evidenzia ancora una volta come la gestione dei dati personali, in particolare in settori sensibili come quello sanitario, richieda un equilibrio costante tra sicurezza e privacy. La tecnologia offre molteplici strumenti per mitigare i rischi, ma il loro utilizzo deve essere integrato con una cultura della protezione dei dati che coinvolga processi, persone e strumenti.
La sanzione inflitta nel caso di specie non rappresenta solo un monito per le organizzazioni, ma anche un invito a rafforzare i propri sistemi di sicurezza e a rispettare pienamente i principi di privacy by design e privacy by default. La tutela dei dati personali non è solo un obbligo normativo, ma una garanzia essenziale per la fiducia degli utenti e per l’integrità del sistema.
Le strutture sanitarie, più di ogni altro settore, sono chiamate a garantire la sicurezza dei dati sensibili dei pazienti. L’incidente evidenziato nel provvedimento del Garante, seppur risolto senza danni concreti per il paziente, mette in luce una questione cruciale: la gestione della privacy e della sicurezza deve essere una priorità per tutte le organizzazioni sanitarie. È fondamentale che queste strutture investano non solo in tecnologie adeguate alla protezione dei dati (come sistemi di cifratura, autenticazione multifattore, e soluzioni di sicurezza avanzate), ma anche in una formazione continua del personale.


Formazione e Consapevolezza: Elementi Chiave per la Sicurezza
La formazione dei professionisti sanitari sulla protezione dei dati e sulle misure di sicurezza è una componente imprescindibile per evitare errori di gestione, come l’invio errato di referti. Non è sufficiente disporre di strumenti tecnologici avanzati; occorre anche che ogni membro del personale, dal medico all’amministrativo, sia consapevole della propria responsabilità e dell’importanza di adottare correttamente le procedure di sicurezza.
In aggiunta agli investimenti in tecnologie di protezione dei dati — come sistemi di cifratura, autenticazione multifattore e soluzioni di sicurezza avanzate — la formazione continua del personale rappresenta un pilastro fondamentale per prevenire errori come l’invio errato di referti. Ogni membro dello staff, dal medico all’amministrativo, deve essere consapevole della propria responsabilità e dell’importanza di adottare correttamente le procedure di sicurezza.
Come discusso nel nostro precedente articolo, https://www.uc-group.it/formazione-privacy-molto-di-piu-di-un-semplice-adempimento/ (che ti invitiamo a leggere) l’educazione continua in tema di privacy e protezione dei dati non solo migliora la conformità alle normative, ma rafforza anche la cultura organizzativa della sicurezza. La creazione di programmi strutturati di formazione, che integrino casi pratici e aggiornamenti normativi, è una strategia imprescindibile per mitigare i rischi legati al trattamento dei dati personali.
La privacy by design non è semplicemente una questione di progettazione tecnica, ma richiede che le organizzazioni investano in consapevolezza e competenze del personale. Solo con un approccio integrato tra tecnologia, formazione e processi è possibile garantire un livello di sicurezza adeguato a tutelare i diritti dei pazienti e la reputazione delle strutture sanitarie.
In un mondo sempre più digitalizzato, la sicurezza dei dati è una priorità non negoziabile