Un paziente dopo essersi curato presso un’Azienda sanitaria locale ha trovato fotografie e altre informazioni riferibili alla sua salute pubblicate sul sito di un’associazione medica. I documenti erano reperibili anche tramite comuni motori di ricerca.
L’Azienda ha comunicato il data breach al Garante sostenendo di non aver rilasciato alcuna autorizzazione all’utilizzo dei dati e della cartella clinica del paziente per scopi diversi da quelli di cura.
Nel corso dell’istruttoria è emerso che un dottore, che aveva avuto in cura il paziente, aveva scaricato i suoi dati dagli archivi informatici dell’azienda sanitaria e li aveva utilizzati per scopi di divulgazione scientifica senza neanche renderli anonimi.
Il Garante privacy ha così ammonito l’Asl per non aver messo in atto misure tecniche e organizzative adeguate a ridurre il rischio di violazioni. Mentre al medico e all’associazione coinvolta nella pubblicazione ha inflitto una sanzione.
Per le divulgazioni e pubblicazioni scientifiche di dati personali è quindi necessaria la preventiva anonimizzazione dei dati personali.
@RIPRODUZIONE RISERVATA
