Online per errore i dati sanitari di un paziente: nessuna procedura ma solo istruzioni orali, multato l’ente
Dopo aver ricevuto un reclamo per l'illecita pubblicazione di dati sensibili di un paziente ricoverato in una clinica psichiatrica forense sul sito web della Regione di Örebro, il Garante per la privacy svedese ha avviato un'indagine, appurando che la segnalazione era fondata. Infatti, nel comunicato reso noto dalla stessa autorità per la protezione dei dati personali lo scorso 13 maggio, viene confermato che "le informazioni sensibili del paziente sono state erroneamente pubblicate e quindi rese accessibili al pubblico sul sito web della regione ".
Degno di nota, è che nell'ambito dell'istruttoria, l'autorità svedese per la protezione dei dati ha contestato l'assenza di una procedura scritta sottolineando "che non esistevano istruzioni scritte relative alla pubblicazione di documenti e dati personali sul sito web. Le istruzioni per la pubblicazione delle informazioni venivano invece comunicate oralmente".
Ma tali istruzioni, che sarebbero state impartite solo a voce non sono state affatto seguite dagli addetti, portando alla pubblicazione accidentale del documento contenente i dati sensibili su internet.
Come è vero che "Verba volant, scripta manent", il grossolano errore ha di conseguenza indotto l'autorità a concludere che il Comitato Sanitario della regione di Orebro non avesse adottato misure organizzative sufficienti per garantire che i dati personali fossero protetti dalla pubblicazione errata sul sito web della Regione, e per questo motivo ha ordinato al Comitato di definire una specifica procedura stabilendo istruzioni scritte e introducendo misure che garantiscano che coloro che pubblicano dati personali sul sito della regione lo facciano secondo le istruzioni stabilite e non per passaparola.
Tale violazione, rammenta come il Gdpr abbia introdotto ormai da due anni il principio di "accountability"(art.25), ovvero la "responsabilizzazione" che grava sui titolari del trattamento che richiede l'adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l'applicazione del Regolamento europeo.
Tenendo conto di tutto ció, e che l'ente non aveva né uno scopo legittimo, né una base giuridica, né tantomeno un'esenzione dal divieto generale di trattare i dati personali sensibili, nella sua decisione l'autorità svedese per la protezione dei dati non solo ha ordinato al Comitato sanitario della regione di Örebro di rimuovere il documento erroneamente pubblicato, ma anche di adottare adeguate misure organizzative, irrogando una sanzione amministrativa di 120.000 corone svedesi (pari a circa 11.000 euro).
