Il Garante per la protezione dei dati personali ha comminato una sanzione amministrativa pari a 20.000 euro al Policlinico “Università Campus Bio-medico di Roma” per aver violato la riservatezza dei referti on line di alcuni pazienti.

Infatti 39 pazienti, mentre consultavano le proprie radiografie, collegandosi con lo smartphone attraverso le proprie credenziali, hanno avuto libero accesso all’elenco di 74 altri assistiti, potendo così visualizzare i referti radiologici nonché l’intero l’elenco degli esami effettuati.

Il Policlinico, informato della violazione dei dati a seguito di una segnalazione, aveva tempestivamente interrotto la procedura di consultazione dei referti online, correggendo il bug, al fine proprio di evitare futuri accessi non autorizzati ai dati dei pazienti.

Il Policlinico aveva altresì provveduto a segnalare la violazione al fornitore del sistema e alla notifica del data breach in atto al Garante, così come previsto dal Regolamento UE.

La violazione, riconducibile ad un errore umano (nell’integrazione di due sistemi informatici), non aveva tuttavia prodotto reclami o richieste di risarcimento di danni di merito.

Il Garante, alla luce dell’illecita comunicazione di dati sanitari causata dall’errore informatico, a seguito di una dettagliata attività istruttoria, ha applicato la minor sanzione (di soli 20.000 euro), tenendo in dovuto conto l’elevato livello di cooperazione dimostrato dal Policlinico e della tempestiva risoluzione del problema ad opera della struttura sanitaria.

Il principio di accountability permette, nel rispetto del GDPR ed al verificarsi di una perdita di dati, di dimostrare la diligenza adottata e la compliance alla norma, per circoscrivere il danno [1].

 

[1] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9469345[1]