AgendaDigitale, 07/03/2024, Rossella Mele, Esperta Privacy e Filomena Polito, Responsabile Protezione Dati in ambito sanitario – Valutatore Privacy
GDPR
Dati personali: come proteggere la privacy negli archivi digitali e cartaceiIl Garante Privacy ha emesso un’ordinanza contro una PA per la mancata osservanza dei principi di limitazione della conservazione e di integrità e riservatezza dei dati personali, secondo il GDPR. La violazione è emersa da documenti sanitari abbandonati, sollevando questioni sulla sicurezza e corretta gestione dei dati personali
Autorità Garante per la Protezione dei Dati Personali ha recentemente emesso il provvedimento 424/2023, un atto che segna un punto di svolta nel panorama della privacy e del trattamento dei dati personali. Questo provvedimento, che ha messo in luce una serie di violazioni dei principi fondamentali del GDPR, mette in evidenza l’importanza delle policy e degli strumenti di accountability nella gestione dei dati personali.
...
[i]Indice degli argomentiIl provvedimento 424/2023 dell’Autorità Garante Privacy
La violazione dei principi del GDPR
L’attività istruttoria del Garante
La difesa dell’Azienda
Le responsabilità del titolare del trattamento
Le violazioni specifiche riscontrate
Le conclusioni dell’Autorità Garante Privacy
La necessità di garantire compliance, correttezza e trasparenza
...
- imago1246.JPG (9.64 KiB) Osservato 120 volte
La violazione dei principi del GDPR
Il Provvedimento succitato prende origine da una segnalazione ricevuta dall’Autorità, in cui è stata lamentata una violazione della disciplina in materia di protezione dei dati personali in relazione alla presenza:
nei locali di una struttura in uso ad un’Azienda sanitaria (di seguito Azienda), di documentazione sanitaria (es. ricette, cartelle cliniche e radiografie);
sulla rete Internet di filmati dai quali si evinceva che tali documenti sanitari (es. ricette, cartelle cliniche e radiografie) erano in stato di abbandono e accessibili a chiunque.
Un’analoga segnalazione era già stata presentata al Garante negli anni precedenti e l’Autorità, dopo aver aperto un apposito procedimento istruttorio ne aveva disposto la chiusura in quanto, sulla base di quanto dichiarato in atti dal Titolare, sui fatti oggetto di istruttoria era stata presentata querela agli organi competenti ed era stato disposto il ritiro della predetta documentazione, afferente ad episodi clinici occorsi oltre 20 anni prima.
...
Le conclusioni dell’Autorità Garante Privacy
Il Provvedimento adottato dall’Autorità, ad una attenta lettura, offre spunti più che interessanti per i titolari del trattamento per l’adozione di policy ed altri strumenti di accountability finalizzati ad evitare possibili violazioni di dati personali analoghe a quella oggetto di segnalazione e essere in grado di comprovare il rispetto dei principi previsti dall’articolo 5 del Regolamento.
Ciò, in particolare relativamente ad archivi in cui sono presenti documenti analogici risalenti ad un lungo periodo di tempo, ed anche quando i documenti conservati non siano quelli originali, confluiti nell’archivio storico o di deposito ( o nel caso di titolari del trattamento aziende sanitarie, nelle cartelle cliniche), ma mere loro copie, che, in base al rispetto del principio di minimizzazione di cui alla lettera c) del primo paragrafo dell’articolo 5 del Regolamento, non avrebbero dovuto essere stati prodotti.
Il titolare infatti, anche avvalendosi delle strutture interne a ciò deputate o di fornitori di servizi di conservazione archivistica e del supporto del Responsabile della Protezione Dati, qualora mantenga documentazione analogica sarebbe tenuto a verificarne periodicamente , al fine di procedere al periodico scarto di archivio, sia la corretta conservazione che la relativa limitazione al periodo minimo necessario, provvedendo poi a indicarlo nelle informazioni elaborate ai sensi degli articoli 13 e 14 del Regolamento.
Infine è opportuno rappresentare che il titolare al fine di poter dimostrare il rispetto del principio di limitazione della conservazione, della limitazione delle finalità, integrità e riservatezza dovrebbe avviare periodicamente delle verifiche circa la possibile presenza di documentazione in stato di abbandono o non presidiata che riporti dati personali e in particolare appartenenti a categorie particolari nei propri locali, così da adeguare il trattamento alla normativa vigente, anche attraverso istruzioni documentate ai propri operatori in merito alla necessità di non mantenere copie, anche parziali, di documentazione già conferita all’archivio aziendale.
...