L’ex dipendente fa la spia sulle vulnerabilità delle misure di sicurezza delle cartelle cliniche dei pazienti e l’ospedale prende 200.000 euro di multa
L' Agenzia spagnola per la protezione dei dati (AEPD) ha inflitto una multa di 200.000 euro agli ospedali HM per aver violato le norme sulla protezione dei dati personali, in particolare nella gestione delle cartelle cliniche elettroniche dei pazienti.
Secondo il provvedimento sanzionatorio dell'AEPD, il caso è nato dopo la denuncia di un ex dipendente della società controllata, che ha denunciato carenze nel sistema informativo ospedaliero utilizzato da tutti i centri del gruppo. La sanzione si concentra quindi sulle violazioni legate alla sicurezza dei dati personali dei pazienti, una questione critica in ambito sanitario, data la natura sensibile delle informazioni trattate.
Questa violazione è classificata nel Regolamento generale sulla protezione dei dati (GDPR) e si riferisce alla mancanza di misure tecniche e organizzative sufficienti per garantire la sicurezza dei dati personali, come richiesto dall'articolo 32 del regolamento europeo.
Il caso, che ha fatto scattare la multa per HM Hospitales, aveva avuto origine da una denuncia presentata il 29 agosto 2022 da un ex dipendente della società, che aveva segnalato una serie di gravi difetti nel software utilizzato dal gruppo ospedaliero per la Gestione completa delle cartelle cliniche dei pazienti, inclusi dati di laboratorio, appuntamenti medici e altri documenti essenziali.
Il segnalante aveva informato i responsabili delle vulnerabilità e dell’urgente necessità di agire, ma tali avvertimenti non erano stati ascoltati dalla società ospedaliera.
Questo sistema non era ospitato nelle strutture dell'HM Hospitales, ma sui server di una società tecnologica esterna, e secondo il denunciante, tale infrastruttura presentava carenze nella protezione dei dati sensibili archiviati e gestiti attraverso tale software, il che comportava rischi significativi per la sicurezza e la riservatezza delle cartelle cliniche di migliaia di pazienti.
Uno dei punti più allarmanti della denuncia era che il sistema non tracciava adeguatamente quali utenti avevano avuto accesso ai dati dei pazienti, compromettendo la tracciabilità dell'accesso alle informazioni mediche. Inoltre, il segnalante aveva informato il management della società attraverso diverse e-mail, nel 2019 e nel 2022, su queste vulnerabilità e sull'urgente necessità di adottare misure per correggerle. Tuttavia, questi avvertimenti non furono ascoltati in tempo.
La denuncia aveva inoltre evidenziato che il software utilizzato non era una creazione recente, ma era un'evoluzione di un sistema precedente, implementato nei centri HM Hospitales da oltre un decennio.
Tuttavia, questa evoluzione tecnologica non è stata accompagnata da controlli e aggiornamenti adeguati in termini di sicurezza informatica, il che ha contribuito all’accumulo di carenze nella protezione dei dati personali.
Il garante spagnolo ha individuato molteplici violazioni delle norme sulla protezione dei dati - In risposta a questa denuncia, l'AEPD aveva emesso una nota il 19 settembre 2022 per condurre un'indagine formale. L'obiettivo di questa indagine era valutare se le carenze segnalate rappresentassero una violazione delle attuali norme sulla protezione dei dati e, in particolare, determinare se l'azienda avesse implementato misure di sicurezza adeguate per proteggere le informazioni mediche dei pazienti, come richiede il GDPR.
In questo senso, e con tutte le informazioni raccolte durante l'indagine, l'AEPD ha individuato molteplici violazioni della normativa sulla protezione dei dati, che alla fine hanno portato a una multa di 200.000 euro a HM Hospitales per aver violato l'articolo 32 del GDPR, che ne impone l'attuazione misure tecniche e organizzative adeguate per garantire la sicurezza dei dati personali.
Fonte: ConSalud.es
