Data breach sanitari, il Garante Privacy sanziona tre strutture

Il Garante Privacy ha sanzionato due ospedali e una Asl per violazioni di dati personali causati da procedure inadeguate ed errori materiali del personale.

L’Autorità ha sottolineato che «le strutture sanitarie devono adottare tutte le misure tecniche e organizzative necessarie per evitare che i dati dei loro pazienti siano comunicati per errore ad altre persone» e che «le informazioni sullo stato di salute possono essere comunicate a terzi solo sulla base di un presupposto giuridico o su indicazione della persona interessata, previa delegascritta». Il Garante ha quindi invitato tutte le strutture sanitarie al pieno rispetto dei principi di correttezza e trasparenza.

No all’uso delle impronte digitali dei dipendenti

Il Garante Privacy ha sanzionato un’azienda sanitaria provinciale per l’utilizzo di un sistema di rilevazione delle presenze basato sul trattamento di dati biometrici dei dipendenti. Nel caso di specie, la base normativa attuata da parte della struttura sanitaria era carente ed inoltre, pur avendo informato il personale e i sindacati della scelta organizzativa compiuta, non sono state fornite tutte le informazioni sul trattamento, come richiesto dal Regolamento europeo in materia di privacy.

Per questi motivi il Garante ha dichiarato illecito il trattamento dei dati biometrici e ha applicato all’Asp 30.000 euro di sanzione. Ha inoltre disposto la cancellazione dei modelli biometrici memorizzati all’interno dei badge e chiesto all’Asp di far conoscere le iniziative che intende intraprendere per far cessare il trattamento dei dati biometrici dei dipendenti.

Linee guida sul riconoscimento facciale dal Consiglio d’Europa

Il Consiglio d’Europa ha chiesto regole rigide per evitare i grandi rischi per la privacy e la protezione dei dati posti dall’utilizzo crescente delle tecnologie di riconoscimento facciale.

Il Comitato Consultivo presso il Consiglio d’Europa ha dunque adottato linee guida in materia, affermando che: «tali tecnologie dovrebbero essere vietate e non dovrebbero essere impiegate, ad esempio, nelle procedure di assunzione di personale, nell’accesso ai servizi assicurativi e a all’istruzione. Allo stesso modo, non dovrebbe essere consentito l’uso del riconoscimento facciale al solo scopo di determinare il colore della pelle di una persona, le convinzioni religiose o di altro tipo, il sesso, l’origine etnica, l’età, le condizioni di salute o le condizioni sociali. L’uso di sistemi di riconoscimento facciale da parte delle forze dell’ordine dovrebbe essere consentito solo quando è strettamente necessario per prevenire un rischio imminente e grave alla sicurezza pubblica».

Le aziende che ne fanno uso devono quindi garantire il rispetto dei principi di protezione dati e le persone devono poter esercitare i propri diritti attinenti al caso.

Il Garante sottolinea inoltre che: «le Autorità di protezione dei dati che, in base all’art. 15 (3) della Convenzione 108+, devono essere consultate riguardo a proposte legislative e amministrative che comportino il trattamento dei dati personali mediante tecnologie di riconoscimento facciale. Le Autorità devono essere consultate prima di possibili sperimentazioni o utilizzi».