x

x

Privacy in sanità: il Garante inglese (ICO) sanziona un’azienda ospedaliera privata per non aver provveduto alla sicurezza dei dati personali dei pazienti

Privacy in sanità: il Garante inglese (ICO) sanziona un’azienda ospedaliera privata per non aver provveduto alla sicurezza dei dati personali dei pazienti
Privacy in sanità: il Garante inglese (ICO) sanziona un’azienda ospedaliera privata per non aver provveduto alla sicurezza dei dati personali dei pazienti

Con il provvedimento del 28 Febbraio 2017[1] l’Information Commissioner’s Office (ICO) – l’autorità britannica in materia di protezione dei dati personali – ha sanzionato con 200.000£ un’azienda ospedaliera privata americana, la HCA International Ltd, per non aver posto in sicurezza i dati personali delle pazienti sottoposte a fecondazione in vitro.

1. IL CASO E L’INDAGINE

L’azienda ospedaliera interessata dal provvedimento sanzionatorio è il Lister Hospital di Londra, della catena HCA, specializzato nella fecondazione in vitro.

Dall’indagine dell’ICO – scaturita da una segnalazione del 2015 nella quale una paziente lamentava il facile accesso alle registrazioni audio medico-paziente mediante una semplice ricerca web – è risultato che dal 2009 il nosocomio ha sistematicamente inviato numerose registrazioni non criptate di conversazioni riservate, tramite semplice mail, ad un provider indiano per la trascrizione, ignorando che quest’ultimo si servisse di server non protetti.

L’ICO ha inoltre ravvisato che la HCA non si è assicurata che il provider indiano cancellasse i files audio dopo ogni trascrizione, che non ha monitorato il responsabile del trattamento in merito alle misure di sicurezza da adottare e che non ha sottoscritto alcun tipo di contratto in merito al trattamento dei dati personali.

2. LE POSSIBILI CONSEGUENZE

Nell’indagine è scaturito che le registrazioni audio tra i medici e le pazienti sottoposte a fecondazione in vitro rimanevano a disposizione di chiunque sul web per oltre tre settimane.

Tra le possibili conseguenze delineate dall’ICO vi è il disagio che possono aver provato le pazienti dell’ospedale alla notizia del data breach: il caso ha messo in luce infatti come chiunque potesse ascoltare le registrazioni audio riservate di numerose pazienti, le quali peraltro soffrivano di delicati problemi di fertilità in un fragile periodo della loro vita.

3. IL QUADRO GIURIDICO

Ai sensi del Data Protection Act 1998 – il “Codice Privacy” del Regno Unito – vi è stata una sistematica violazione di diverse disposizioni di legge.

L’autorità britannica ha infatti rilevato che l’ospedale, titolare del trattamento (data controller), non ha ottemperato al dovere di attenersi ai principi in materia di protezione dei dati personali, così come statuito dalla Part I – Section 4 della normativa. Nel dettaglio l’ICO sottolinea che il settimo principio in materia di protezione dei dati personali – Schedule 1 Part I – afferma che devono essere disposte dal titolare del trattamento misure tecnico-organizzative appropriate contro trattamenti illeciti o non autorizzati di dati personali, nonché contro perdite accidentali, distruzione o lesioni di tali dati. Con riguardo allo sviluppo tecnologico e al costo di tali misure, il livello di sicurezza deve essere commisurato alla natura dei dati personali da proteggere, ai sensi della Schedule 1 Part II Par. 9.

Inoltre – ai sensi dei Paras. 11 - 12 lì dove il trattamento dei dati personali è posto in essere da un responsabile del trattamento(data processor), il titolare deve – per ottemperare al settimo principio – scegliere un responsabile che fornisca sufficienti garanzie tecnico-organizzative in merito alla sicurezza del trattamento, e porre in essere adeguate procedure che assicurino la conformità a tali misure di garanzia. Tuttavia il titolare è esentato da queste prescrizioni nei casi in cui il trattamento è effettuato per mezzo di un contratto, nel quale è presente la forma scritta, il responsabile del trattamento agisce mediante le istruzioni del titolare ed adempie a tutte le disposizioni che sono imposte al titolare dal settimo principio del Data Protection Act 1998.

4. LA SANZIONE

In base alla Part VI – Section 55A l’ICO ha notificato al titolare del trattamento una sanzione pecuniaria per violazione dei principi in materia di protezione dei dati personali nonché per danni e disagi sostanziali agli interessati, nonché per aver omesso di adottare tutte le misure ragionevoli per prevenire la violazione medesima.

La misura della sanzione pecuniaria – riguardo al numero di interessati coinvolti, alla natura sensibile dei dati personali e alle possibili conseguenze che avrebbe comportato un data breach più importante – nel massimo edittale di 500.000£, è stata ridotta a 200.000£. Questo per la presenza di circostanze attenuanti, tra le quali spiccano la collaborazione piena con l’autorità e la messa in sicurezza del sistema informatico da parte di HCA International Ltd.

5. CONCLUSIONI

Steve Eckersley dell’ICO ha affermato, in merito a questo caso, che la reputazione della professione medica si basa sulla fiducia, e la HCA International Ltd non solo ha infranto la legge, ma ha anche tradito la fiducia delle sue pazienti. Infatti queste persone hanno descritto tutti i più intimi dettagli sulla loro fertilità, comprese le varie opzioni di trattamento medico, auspicando la massima riservatezza. L’ospedale, che aveva il dovere di mantenere le informazioni sicure, ha causato ancora più disagio alle sue pazienti, le quali peraltro attraversavano già un momento difficile e delicato. Il tutto è ancora più grave se ci si riferisce ad un ospedale che per sua natura deve essere consapevole degli obblighi in materia di privacy e protezione dei dati, nonché in materia di salvaguardie adeguate, in tutti i settori della sua attività. La situazione inoltre avrebbe potuto essere del tutto evitata se HCA avesse controllato le modalità del trattamento da parte della società provider responsabile.

Con il Regolamento 2016/679 in vigore dal 25 maggio 2018 le sanzioni in materia di protezione dei dati personali potranno raggiungere i 20 milioni di euro, ovvero il 4% del fatturato mondiale annuo. È facile constatare come tutte le aziende – sanitarie e non – debbano adeguarsi il prima possibile, e questo vale anche per il Regno Unito del post Brexit[1].

 

[1] Cfr. https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2017/02/private-health-firm-fined-200-000-after-ivf-patients-confidential-conversations-revealed-online/

[2] Cfr. http://www.lexology.com/library/detail.aspx?g=bbca22e6-aa05-4adf-866d-ad2a38e19a88