Smarrimento di dati personali contenuti nei vetrini di un esame istologico. E' trattamento illecito di dati personali

Provvedimento del 21 dicembre 2023 [9980617] - Garante Protezione Dati Personali

Smarrimento di “dati biologici, di natura genetica, contenuti nei vetrini e tasselli istologici presenti all’interno della propria cartella clinica” (…) “per effetto della loro consegna a soggetti non meglio identificati e neppure identificabili da parte dell’Ospedale che li deteneva”.
La perdita dei materiali, rappresentati dai vetrini e dai tasselli di un esame istologico, non può essere considerata un illecito trattamento di dati personali, per la natura stessa dei campioni coinvolti; nel caso in esame, ad andare perduti non sono stati i dati genetici, bensì dei tasselli di materiale biologico, privi di per sé considerati, del carattere di dato personale, ovvero dell’elemento informativo richiesto come essenziale anche dall’art. 4, n. 1 del Regolamento (UE)2016/679;

Leggi tutto

Scambio di reperti biologici. E' violazione dei dati personali

Provvedimento 21 dicembre 2023 [9980617] - Garante Protezione dati Personali

Preliminarmente, occorre rilevare che, indipendentemente dalla qualificazione dei vetrini e dei tasselli di un esame istologico quali “dati genetici”, certamente gli stessi possono, nel caso di specie, essere riconducibili, in ogni caso, alle categorie particolari di dati personali previsti nell’art. 9 del Regolamento. Infatti i materiali biologici estratti dalla reclamante, associati ad elementi, nel caso di specie numerici (XX e XX), riferiti all’identità della persona fisica al quale appartiene (la signora XX), poiché rivelano informazioni in ordine all’avvenuta prestazione di servizi di assistenza sanitaria, costituiscono dati sulla salute, così come definiti dall’art. 4, par. 1, punto 15 del Regolamento e Cons. n. 35, protetti dalle peculiari garanzie dell’art. 9 del Regolamento.

Leggi tutto

Mancata predisposizione sicurezza è causa del data breach e perdita dati dell'azienda sanitaria

Provvedimento 28 settembre 2023 [9941232] - Garante Protezione dati Personali

ll titolare non aveva adottato misure e garanzie adeguate ad attuare efficacemente il principio di “integrità e riservatezza” e a proteggere da trattamenti non autorizzati o illeciti. Alla luce di quanto sopra esposto, si ravvisano gli estremi, altresì, di una violazione del descritto principio della “protezione dei dati fin dalla progettazione”, di cui all’art. 25, par. 1, del Regolamento, da parte dell’Azienda, considerati i rischi per i diritti e le libertà degli interessati derivanti dai trattamenti in esame, in relazione alla natura, all’ambito di applicazione, al contesto e alle finalità del trattamento.

Leggi tutto

Omonimia: l’errata attribuzione di codice fiscale ed indirizzo di residenza durante la consegna di alcune fatture emesse a fronte di relative prestazioni medico-sanitarie

Provvedimento 1 giugno 2023 [9909889] - Garante Protezione dati Personali

L’evento si è realizzato a seguito di un’errata attribuzione di codice fiscale ed indirizzo di residenza per via dell’omonimia tra i due soggetti coinvolti, al momento della consegna di alcune fatture a fronte di relative prestazioni medico-sanitarie. Di conseguenza, le suddette fatture sono risultate presenti nel cassetto fiscale del reclamante, sebbene le relative prestazioni medico-sanitarie siano state usufruite dal soggetto omonimo, al quale le fatture sono state consegnate fisicamente, senza che però venisse evidenziato da parte sua alcun errore. Tale errore di attribuzione ha inoltre causato l’errato invio nei confronti del soggetto reclamante di sms automatici, che avrebbero dovuto essere invece indirizzati al soggetto omonimo, finalizzati a ricordare l’imminenza dei prossimi appuntamenti presso il Centro.

Leggi tutto

Parlano bene di noi ma gli interessati sono riconoscibili. E' illecito trattamento dei dati

Provvedimento 2 marzo 2023 [9870171] - Garante per la protezione dei dati personali

La pubblicazione di documenti contenenti informazioni personali su una pagina del sito dell’Asl di Bari accessibile a chiunque configura una diffusione di dati personali; gli elogi pubblicati sul sito della predetta Azienda contengono informazioni idonee a rivelare lo stato di salute di numerosi assistiti della stessa. Consultando i predetti documenti è stato infatti possibile, nella quasi totalità dei casi, identificare gli autori degli stessi, in quanto i dati anagrafici sono stati cancellati in modo approssimativo, spesso con il tratto di un pennarello nero che tuttavia non impedisce di leggere le parti oscurate e quindi di associare le informazioni anagrafiche e di contatto dei soggetti che hanno presentato l’elogio a numerose informazioni relative al loro stato di salute.

Leggi tutto

La perdita di confidenzialità di dati che dovevano essere mascherati in base alle disposizioni del protocollo di studio e delle applicabili procedure operative standard (“SOP”).

Provvedimento del 17 settembre 2020 [9479382] - Garante Protezione Dati Personali

La violazione è consistita in un mascheramento manuale “tramite pennarello” da parte del centro di sperimentazione dei dati identificativi degli interessati, definito dalla società stessa “non idoneo”; Il “protocollo di studio prevede la pseudonimizzazione dei dati dei pazienti attraverso l’attribuzione di un codice numerico unico e il mascheramento dei dati identificativi, nonché la conservazione della lista degli identificativi presso i centri di sperimentazione, protetta da idonee misure tese a garantirne la confidenzialità”.

Leggi tutto

Non basta coprire con il pennarello il nome se si vede in trasparenza. Illecita comunicazione dei dati

Provvedimento del 17 settembre 2020 [9479364] - Garante Protezione Dati Personali

La procedura di cancellazione manuale con pennarello non può essere definita, come erroneamente ritenuto in taluni passaggi dall’OPBG, idonea a rendere anonime le informazioni personali, riferite ai 10 pazienti arruolati nello studio in esame, ciò in quanto, come anche rappresentato dall’OPBG stesso, tale procedura consentiva di fatto la visibilità dei nomi e cognomi dei pazienti “se esaminati con attenzione”; Il trattamento di dati personali in questione è stato effettuato in maniera non conforme ai principi di minimizzazione e sicurezza dei dati, con misure tecniche e organizzative non idonee a garantire un livello adeguato di riservatezza ai dati sulla salute degli interessati.

Leggi tutto