privacy

protezione dati personali

di

Garante della Privacy: no alla diffusione delle foto di un malato senza consenso. Sanzionato un medico per 5mila euro 

Garante della Privacy: no alla diffusione delle foto di un malato senza consenso. Sanzionato un medico per 5mila euro

Non è possibile pubblicare immagini di una persona malata senza consenso, neanche per finalità di ricerca medico scientifica, se prima non siano state anonimizzate.

A maggior ragione se ne ledono la dignità. Lo ha ribadito il Garante privacy che ha irrogato una sanzione di 5mila euro a un medico che aveva utilizzatole foto di un neonato affetto da una grave malformazione e poi deceduto, nell’ePoster di presentazione di una ricerca in occasione di un convegno di medicina. Lo studio era stato poi pubblicato sul sito della Società italiana di pediatria (Sip) e successivamente rimosso.

L’Autorità si è attivata a seguito della segnalazione della madre del bambino, che aveva trovato in rete l’ePoster con le foto che ritraevano il figlio affetto dalla malattia, in una culla dell’ospedale, con numerose informazioni sulla storia clinica della famiglia. Foto e informazioni che lo rendevano identificabile, seppur da una cerchia limitata di persone.

Nel corso dell’istruttoria il Garante ha accertato che il medico oltre a non aver adottato misure adeguate ad impedire l’identificabilità diretta e indiretta del minore, non aveva neanche chiesto il consenso ai genitori per la pubblicazione delle informazioni. Consenso che era necessario in caso di utilizzo di foto e/o immagini.

Nel definire il procedimento, il Garante ha ricordato che il Codice di condotta sull’utilizzo di dati sulla salute per finalità di studio e di pubblicazioni scientifiche approvato dall’Autorità prevede che il medico assicuri la non identificabilità dei soggetti coinvolti mediante l’adozione di specifiche misure di anonimizzazione e, qualora ciò non sia possibile, di pseudonimizzazione previo consenso dell’interessato.

Nel caso specifico, il medico avrebbe quindi dovuto acquisire il consenso dei genitori e poi sottoporre i dati a tecniche di pseudonimizzazione, nel rispetto della dignità del neonato, oppure anonimizzare i dati del minore. 

Rispondi

di

Garante privacy: online le Faq aggiornate sul Fascicolo sanitario elettronico

Garante privacy: online le Faq aggiornate sul Fascicolo sanitario elettronico

Sono online le Faq aggiornate del Garante privacy sul Fascicolo sanitario elettronico (FSE), il sistema che raccoglie l’insieme dei dati e dei documenti sanitari e sociosanitari dei cittadini, generati dalle strutture sanitarie pubbliche e private che li hanno in cura.

Le novità, oltre ad alcune integrazioni in tema di consenso, riguardano in particolare il dossier farmaceutico e l’Ecosistema dati sanitari (EDS).

Il dossier farmaceutico – precisano le Faq – è una sezione del FSE aggiornata dalla farmacia al momento della consegna dei farmaci. Consente di migliorare la qualità del servizio e favorire il monitoraggio, l’appropriatezza nell’erogazione dei medicinali e l’aderenza alla terapia, contribuendo alla sicurezza del paziente. Il dossier rientrerà tra i servizi offerti dall’EDS, che estrarrà dal FSE le informazioni relative alle prescrizioni e alle erogazioni farmaceutiche, con esclusione di quelle oscurate dall’assistito.

L’EDS, come indicato nelle Faq, è una componente del FSE alimentata con i dati e i documenti presenti nel Fascicolo – esclusi quelli oscurati dall’assistito – nonché con quelli resi disponibili dal sistema Tessera Sanitaria.

Su richiesta, l’EDS potrà fornire servizi di analisi ed elaborazione dei dati a cittadini, professionisti sanitari, Ministero della Salute, Agenas e Regioni. Tali servizi, secondo il parere del Garante sull’EDS, saranno attivabili solo a seguito della completa attuazione del FSE 2.0.

Attraverso l’EDS sarà inoltre possibile utilizzare i dati per finalità di prevenzione, controllo e gestione del sistema sanitario.

In ambito di ricerca scientifica medica, biomedica ed epidemiologica, l’EDS potrà rendere disponibili dati anonimizzati, accessibili esclusivamente al personale autorizzato del Ministero della Salute, di Agenas e delle Regioni o Province autonome.

Link: https://www.gpdp.it/temi/fse

Rispondi

di

Data breach, il Garante privacy sanziona The European House Ambrosetti per 85mila euro. Coinvolte oltre 61mila persone, password non protette e comunicazione tardiva agli interessati – Garante della Privacy Provvedimento del 17 aprile 2026

Data breach, il Garante privacy sanziona The European House Ambrosetti per 85mila euro. Coinvolte oltre 61mila persone, password non protette e comunicazione tardiva agli interessati - Garante della Privacy Provvedimento del 17 aprile 2026

Una sanzione di 85mila euro è stata irrogata dal Garante per la protezione dei dati personali a The European House – Ambrosetti spa, società di consulenza strategica e think tank, per carenze nelle misure di sicurezza. Le criticità sono emerse a seguito di un data breach che ha coinvolto 61.670 persone, tra cui dipendenti di aziende clienti e personale interno che utilizzavano i servizi online. Tardiva anche la comunicazione della violazione agli interessati, avvenuta solo dopo l’intervento dell’Autorità.

L’attacco informatico, riconducibile a un accesso non autorizzato ai sistemi tramite una vulnerabilità tecnica, ha comportato l’esfiltrazione di nomi, cognomi, indirizzi email, username e password. Dagli accertamenti del Garante sono emerse diverse violazioni della normativa privacy. In particolare, la società conservava una parte delle password in chiaro e un’altra mediante tecniche crittografiche non conformi agli standard di sicurezza più avanzati. Conservava inoltre credenziali relative a sistemi non più in uso, in violazione dei principi di limitazione della conservazione e di sicurezza dei dati.

L’Autorità ha anche accertato che la società, pur avendo notificato il data breach entro le 72 ore previste dalla normativa, non ha informato tempestivamente gli interessati, nonostante la violazione potesse rappresentare un rischio elevato per i loro diritti e libertà. La comunicazione agli utenti è avvenuta a distanza di circa due mesi dalla scoperta dell’incidente, solo dopo un provvedimento correttivo del Garante.

Con il provvedimento, il Garante ribadisce la necessità per i titolari del trattamento di adottare misure tecniche e organizzative adeguate e di assicurare una gestione tempestiva e trasparente delle violazioni dei dati personali. Le esigenze reputazionali rappresentate dalla società non possono prevalere sui diritti delle persone coinvolte.

Link: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/10252460

Rispondi