dati sanitari

di

App per diabetici: il Garante Privacy multa una società di dispositivi medici. Aveva inviato in chiaro e-mail a centinaia di pazienti diabetici – Garante della Privacy provvedimento del 08.02.2024

App per diabetici: il Garante Privacy multa una società di dispositivi medici. Aveva inviato in chiaro e-mail a centinaia di pazienti diabetici - Garante della Privacy provvedimento del 08.02.2024

Il Garante privacy ha comminato due sanzioni per complessivi 300mila euro a una nota società che produce dispositivi medici per il monitoraggio, la prevenzione e il trattamento di diverse patologie.

La prima, di 250mila euro, è stata applicata alla società per aver inviato alcune e-mail con gli indirizzi, in chiaro, di centinaia di destinatari, malati di diabete, che utilizzavano una sua app per la misurazione dei livelli di glucosio.

L’altra di 50mila euro, per non aver fornito un’informativa completa ai pazienti, fruitori dei servizi di healthcare.

Nel corso dell’istruttoria è emerso che, nell’inviare le e-mail aventi ad oggetto  un aggiornamento dell’applicazione, quindi una comunicazione di servizio, l’inserimento degli indirizzi email  nel campo “copia per conoscenza” anziché in “copia nascosta”, aveva consentito a tutti i destinatari di vedere gli indirizzi contenuti nella mailing list, con la conseguente comunicazione, da parte della società,  a terzi non autorizzati, di dati personali estremamente delicati, come quelli relativi alla salute.

L’incidente metteva anche in evidenza la mancata adozione da parte della società di misure tecniche e organizzative adeguate a ridurre il rischio di un data breach.

Dagli accertamenti del Garante per verificare la conformità dei trattamenti effettuati mediante i servizi offerti all’utenza, sono emerse inoltre altre violazioni che sono state considerate separatamente ai fini della quantificazione della sanzione amministrativa. In particolare, nell’informativa, non era indicata la base giuridica in virtù della quale veniva effettuata la comunicazione di dati personali dei pazienti che intendevano collegare il proprio account personale con quello del professionista sanitario, in qualità di titolare del trattamento, in violazione del principio di correttezza e trasparenza.

Link al documento: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9991183

di

Sanità: sanzionato un centro di medicina estetica per violazione della privacy. Sul profilo social della struttura il volto riconoscibile di un paziente – Garante della Privacy Provvedimento dell’11 gennaio 2024

Sanità: sanzionato un centro di medicina estetica per violazione della privacy. Sul profilo social della struttura il volto riconoscibile di un paziente - Garante della Privacy Provvedimento dell'11 gennaio 2024

Riconosce il proprio volto in un video postato sul profilo social del centro di medicina estetica dove si era sottoposto ad alcuni trattamenti al naso. Si rivolge al Garante Privacy che sanziona il centro medico con una multa di 8mila euro per trattamento illecito di dati sanitari.

L’Autorità ha accertato che effettivamente il video, postato dal centro medico per scopi divulgativi, riprendeva il volto riconoscibile del paziente per più di 30 secondi, senza che l’interessato avesse rilasciato uno specifico consenso alle riprese e alla relativa diffusione. Inoltre, il filmato era rimasto online accessibile a chiunque per 45 giorni, prima di venire rimosso dal centro medico a seguito della richiesta di cancellazione del paziente.

Con il provvedimento sanzionatorio, l’Autorità ha ribadito che è necessario prestare particolare attenzione nel diffondere immagini e informazioni riferite a casi clinici per scopi divulgativi o scientifici. Prima di farlo, occorre sempre accertarsi che il paziente sia stato preventivamente informato, abbia dato il proprio specifico consenso o che i suoi dati siano stati resi anonimi.

Il Garante, nel ricordare che in tale contesto, senza il consenso dell’interessato, è vietata la diffusione video di qualsiasi informazione sullo stato di salute, ha pertanto irrogato al centro medico una sanzione di 8mila euro per trattamento illecito di dati sanitari.  

L’Autorità ha inoltre ingiunto alla struttura sanitaria l’adozione di misure correttive per conformare l’informativa alla normativa privacy.

Link al documento: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9983210

di

Sanità: il Garante privacy sanziona una società per uso di dati non anonimizzati – Provvedimento del 01.06.2023

Sanità: il Garante privacy sanziona una società per uso di dati non anonimizzati - Provvedimento del 01.06.2023

Il Garante privacy ha comminato una sanzione di 15mila euro a una società per aver trattato illecitamente i dati sanitari di numerosi pazienti raccolti presso circa 7mila medici di medicina generale (Mmg), senza adottare idonee tecniche di anonimizzazione.

L’Autorità si è attivata a seguito di una segnalazione di un medico di base che lamentava una presunta violazione della disciplina privacy da parte della società, impegnata nella realizzazione di un progetto internazionale volto a migliorare le cure dei pazienti attraverso la raccolta e l’analisi di dati sanitari.

A tal fine i Mmg aderenti all’iniziativa dovevano aggiungere al gestionale in uso -denominato “Medico 2000” e fornito da un’azienda informatica partner della società – un’ulteriore funzionalità (c.d. add-on) volta ad anonimizzare automaticamente i dati dei pazienti e trasmetterli in un data base della stessa società. In cambio i medici ottenevano una serie di vantaggi, tra cui un compenso economico.

Continua a leggere