g-docweb-display Portlet

Newsletter del 28 novembre 2014 - Identità e patologie di un minore sul sito della Asl: stop del Garante Privacy - Dossier sanitario elettronico e privacy dei pazienti

Stampa Stampa Stampa



Identità e patologie di un minore sul sito della Asl: stop del Garante Privacy

 

Il Garante per la privacy ha vietato a una Asl l´ulteriore diffusione sul sito web istituzionale dei dati personali di un minore dai quali era possibile risalire alla sua identità e alle sue patologie.
 
L´Azienda sanitaria aveva pubblicato in internet le delibere relative alla liquidazione di fatture per l´inserimento di un minore in una comunità terapeutica riabilitativa, contenenti la descrizione dei disturbi di cui soffriva il ragazzo associati alle iniziali del suo nome e del cognome.
 
Nelle fatture allegate alle delibere, relative alla retta della Comunità, erano però pubblicati in chiaro e per esteso i dati anagrafici del giovane (nome, cognome, data e luogo di nascita) rendendo così identificabile il minore e causando una diffusione di dati sul suo stato di salute vietata dalle norme in materia di protezione dei dati personali. Tutte le informazioni, peraltro, erano immediatamente reperibili  in rete tramite l´inserimento delle generalità del minore nei più diffusi motori di ricerca.
 
Ritenendo illecito il trattamento, l´Autorità ha quindi vietato alla Asl l´ulteriore diffusione in internet dei dati personali del ragazzo contenuti nelle fatture e nelle delibere.
 
In ottemperanza al provvedimento del Garante l´Azienda sanitaria, oltre ad anonimizzare i dati, dovrà attivarsi presso i responsabili dei principali motori di ricerca per sollecitare la rimozione della copia delle predette deliberazioni e  delle fatture dagli indici  e dalla cache dei motori di ricerca.
 
L´Asl dovrà, inoltre, per il futuro, apportare opportuni accorgimenti al fine di rendere effettivamente anonimi i dati pubblicati, oscurando i dati identificativi e tutte le altre informazioni utili ad identificare l´interessato. Le Linee guida del Garante in materia di trasparenza e pubblicità, infatti, non ritengono sufficiente, per anonimizzare i dati personali contenuti negli atti e documenti pubblicati online, la prassi di sostituire il nome e il cognome dell´interessato con le sole iniziali.
 
L´Autorità ha ritenuto infine di valutare con separato provvedimento gli estremi per contestare alla Asl la violazione amministrativa prevista dal Codice privacy.
 
[E´ stata disposta la non pubblicazione del provvedimento ai sensi dell´art. 24 del Regolamento del Garante del 1° agosto 2013]

 

 



Dossier sanitario elettronico e privacy dei pazienti

Il Garante chiede al S. Orsola Malpighi di migliorare le modalità di raccolta e di consultazione dei dati sanitari

 
Il Garante privacy nell´ambito delle attività di controllo sui dossier sanitari elettronici ha prescritto [doc. web n. 3570631] all´Azienda ospedaliero universitaria S. Orsola Malpighi di Bologna una serie di misure per mettersi in regola con le norme sulla protezione di dati sanitari.
 
L´Azienda dovrà adottarle al più presto, e comunque non oltre il 31 marzo 2015.  Dall´ispezione svolta dal Garante, a seguito delle segnalazioni di alcuni pazienti, sono emerse infatti gravi violazioni da parte dell´Azienda ospedaliera. I dossier sanitari (le raccolte in formato digitale dei dati dei pazienti in cura presso il presidio), oltre un milione, erano stati costituiti senza il consenso informato del paziente. Ed erano inoltre liberamente consultabili da più di mille operatori sanitari tramite il sistema informatico di archiviazione e refertazione delle prestazioni sanitarie: bastava inserire anche solo porzioni di nome e cognome, date di nascita, o Cap di residenza per accedervi.  Procedure del tutto in contrasto sia con  il Codice privacy sia con le Linee guida del Garante che fin dal 2009 stabiliscono regole chiare in materia di dossier sanitario: al paziente deve essere consentito di scegliere in piena libertà se far costituire o meno un dossier sanitario con tutte o solo con alcune delle informazioni sanitarie che riguardano lo stesso; deve poter manifestare un consenso autonomo e specifico, distinto da quello che presta a fini di cura; gli deve essere inoltre garantita la possibilità di "oscurare" la visibilità di alcuni eventi clinici.
 
Il paziente, inoltre, deve essere adeguatamente informato: con un linguaggio comprensibile e dettagliato, l´informativa deve indicare chi  ha accesso ai suoi dati e che tipo di operazioni può compiere.
 
Il Garante ha dunque prescritto all´Azienda sanitaria che, fin quando il paziente non avrà espresso il consenso alla costituzione del dossier, i dati  relativi alle prestazioni sanitarie erogate dall´Azienda siano resi disponibili solo al medico e al reparto che lo ha in cura. L´Azienda, inoltre, dovrà acquisire consensi ad hoc del paziente sia per far confluire nel dossier sanitario le informazioni relative a eventi clinici pregressi,  sia per inserire quelle relative alle prestazioni erogate a seguito di atti di  violenza o di pedofilia, sieropositività, uso di sostanze stupefacenti, interruzione di gravidanza. L´Azienda, infine, dovrà garantire al paziente la possibilità di oscurare eventi clinici, presenti nel dossier, che desidera non siano immediatamente visibili.
 
Il provvedimento del Garante è stato inviato alla Regione Emilia Romagna affinché lo renda noto alle altre aziende del servizio sanitario regionale.



Prestiti, preventivi on line: maggiore rispetto per i consumatori in difficoltà
Il Garante vieta l´uso dei dati senza consenso per finalità di marketing

 
Le aziende che offrono servizi di preventivi on line per l´accesso al credito devono rispettare le regole a protezione dei dati personali e non possono "sfruttare" a fini di marketing  la debolezza dei consumatori nel delicato momento della ricerca di possibili fonti di finanziamento (prestiti personali, cessioni del quinto, consolidamento di debiti). Tanto più tenuto conto dell´attuale situazione di crisi economica.
 
È il principio che emerge da un provvedimento del Garante privacy [doc. web n. 3568046] che ha vietato ad una società di intermediazione on line l´utilizzo dei dati personali degli utenti a fini di marketing senza un loro consenso specifico al trattamento. L´intervento del Garante si è reso necessario per tutelare i numerosi consumatori che si rivolgono ai fornitori di servizi che fanno da tramite tra gli utenti e gli intermediari abilitati, come le banche o le società finanziarie: si pensi, infatti, che questi fornitori ricevono ogni giorno centinaia di richieste di preventivi.
 
L´Autorità, intervenuta in occasione di una segnalazione in cui si lamentava la ricezione di comunicazioni promozionali indesiderate, ha accertato che la società sottoponeva agli utenti un modello di richiesta di consenso unico, peraltro già pre-compilato nella casella relativa all´assenso, sia per la fornitura del servizio richiesto, sia per finalità diverse, quali l´invio di informazioni commerciali e la fidelizzazione del cliente. Il Codice Privacy stabilisce invece che gli interessati devono essere messi in grado di esprimere consapevolmente e liberamente le proprie scelte, manifestando un consenso specifico al trattamento per ciascuna distinta finalità perseguita dal titolare del trattamento.
 
Oltre al provvedimento di divieto, l´Autorità ha prescritto alla società di modificare e integrare l´informativa presente sul sito, avvisando chiaramente gli utenti riguardo a tutti i possibili trattamenti di dati effettuati, alle modalità con cui eventualmente intenda in futuro effettuare l´attività promozionale per conto proprio o di soggetti terzi e anche all´eventuale comunicazione ad altri soggetti. Infine, qualora la società intendesse continuare a raccogliere dati personali per finalità diverse da quella di erogazione del servizio, dovrà acquisire un consenso specifico per ciascuna finalità.

 

L´ATTIVITÁ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall´Autorità

 


NEWSLETTER
del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza di Monte Citorio, n. 121 - 00186 Roma.
Tel: 06.69677.2752 - Fax: 06.69677.3755
Newsletter è consultabile sul sito Internet www.garanteprivacy.it