Non tutto si può pubblicare. Nemmeno da parte della pubblica amministrazione. E il parere del Responsabile della protezione dei dati (Dpo) non basta. Così una regione non può pubblicare sul proprio sito un documento riguardante l'esecuzione di una sentenza civile relativa a un debito maturato dall'ente (provvedimento del Garante n. 120 del 2 luglio 2020). Un comune e una unione comunale non possono pubblicare sui rispettivi siti web, nella sezione amministrazione trasparente o nell'albo online, atti amministrativi contenenti dati personali relativi a condanne penali e a reati (newsletter del Garante n. 467 del 27 luglio 2020).
Recentemente si scriveva di auspicate riforme in materia di trattamento di dati sanitari che promuovessero la circolazione e l’uso secondario dei dati per finalità di ricerca scientifica. E di come il quadro normativo vigente non consentisse di valorizzare pienamente i dati sanitari, il cui riutilizzo risultava invece limitato.
Per leggere questo articolo devi essere registrato ed effettuare il login!
Chi opera nel settore sanitario deve sempre mantenere il segreto professionale e rispettare la privacy dei propri assistiti non rivelando all’esterno informazioni sulla salute acquisite nell’ambito del rapporto fiduciario medico - paziente. Lo ha ribadito il Garante privacy nell’ammonire un’osteopata che aveva violato la disciplina privacy e anche il codice di deontologia medica.
I medici potranno trattare i dati dei pazienti, per finalità di cura, senza dover richiedere il loro consenso, ma dovranno comunque fornire loro informazioni complete sull’uso dei dati. Il medico che opera come libero professionista non è tenuto a nominare il Responsabile della protezione dati. Tutti gli operatori del settore dovranno tenere un registro dei trattamenti dei dati.
Anche in materia di sanità pubblica il responsabile della protezione dei dati personali (DPO) è un mero consulente che non deve firmare le informative o assumere ruoli tipici del titolare del trattamento. La responsabilità e gli obblighi privacy gravano infatti su quest'ultimo soggetto ovvero l'azienda sanitaria locale con tutta la sua struttura organizzativa e dirigenziale. Così il Garante per la protezione dei dati personali con l'ordinanza ingiunzione 8/2022.
Le aziende sanitarie devono mettere in atto tutte le misure tecniche e organizzative necessarie per evitare l’accesso ai dati dei pazienti da parte di personale medico e infermieristico non coinvolto nel processo di cura. Lo ha ribadito il Garante privacy nel sanzionare due Asl della Regione Friuli-Venezia Giulia. L’Autorità inoltre ha ordinato l’adozione di misure correttive alla società informatica che gestisce l’applicazione per la consultazione dei referti online.
Il Garante per la protezione dei dati personali ha sanzionato la Regione Lazio per la somma di 100.000 euro per non avere aggiornato i dati della piattaforma utilizzata dalle Asl per l’invito agli screening oncologici. L’Autorità è intervenuta a seguito del reclamo di una donna che aveva lamentato all’Autorità di aver ricevuto dalla Asl di Rieti un invito a partecipare al programma di screening del tumore del collo dell’utero, rivolto alla figlia deceduta nel 1995.
Il Garante per la privacy ha sanzionato tre Asl friulane, che, attraverso l’uso di algoritmi, avevano classificato gli assistiti in relazione al rischio di avere o meno complicanze in caso di infezione da Covid-19.
Viene a conoscenza da una chat che il proprio nome e cognome erano identificabili in un cartellone pubblicitario del pronto soccorso raffigurante un operatore sanitario al pc. È accaduto al paziente di una Asl che dopo la “scoperta” ha presentato un reclamo al Garante privacy per tutelare i propri diritti.
La ASL 1 Abruzzo ha reso noto di aver subìto un grave attacco informatico in cui sono stati sottratte informazioni sensibili dei pazienti delle province di Avezzano, Sulmona, e L’Aquila.
