CGM Global
Soluzioni per la Telemedicina
Offri ai Pazienti un servizio professionale, interamente gestito da remoto e con le più avanzate tecnologie.
TELEMEDICINA
Chi Siamo
Scopri tutto sulla visione, la missione e le persone che danno forma a CompuGroup Medical in tutto il mondo.
Per motivi di sicurezza, ti consigliamo di utilizzare un browser aggiornato,
ad esempio Microsoft Edge, Google Chrome, Safari o Mozilla Firefox.
A tal proposito segnaliamo il provvedimento del 1.10.2020, con cui il Garante ha inflitto una sanzione pari ad €. 20.000,00 ad un policlinico per aver violato la riservatezza dei referti on line di alcuni utenti. Nel caso di specie è emerso che a causa di un bug informatico 39 utenti, mentre consultavano le proprie radiografie, accedendo con le proprie credenziali al servizio di refertazione on line, avevano avuto la possibilità di accedere all'elenco alfabetico di 74 altri assistiti, visualizzare i loro referti radiologici e l'elenco degli esami.
La violazione era avvenuta nel passaggio tra due sistemi informatici di cui si avvaleva l’istituto ospedaliero. In particolare, nel corso dell’integrazione tra il “vecchio” sistema ed il “nuovo”, a causa di un errore umano nella configurazione di tale integrazione, alcuni utenti (nello specifico solo quelli che avevano effettuato l’accesso mediante un proprio dispositivo mobile) avevano avuto la possibilità di visualizzare dati personali relativi ad altri utenti.
A seguito della segnalazione il policlinico aveva immediatamente sospeso il servizio e provveduto alla correzione dell’errore informatico che aveva causato la violazione dei dati.
A conclusione dell’istruttoria, il Garante, considerando che la condotta aveva esaurito i suoi effetti, visto che trattamento l’errore informatico che aveva determinato la violazione dei dati oggetto del data breach era stato corretto, ha ingiunto al policlinico la sanzione di €. 20.000,00 non ritenendo sussistenti i presupposti per l’adozione di ulteriori misure correttive di cui all'art. 58, par. 2, del Regolamento.
Quali sono gli adempimenti rispetto al registro dei trattamenti e alla valutazione d’impatto?
La refertazione online, con le sue specifiche caratteristiche e misure di sicurezza, deve essere inserita all'interno del Registro delle attività di trattamento in base all'art. 30 del GDPR.
Qualora il titolare intenda implementare l’uso di nuove tecnologie per offrire su larga scala nuovi servizi digitali di refertazione dovrà effettuare, prima di procedere al trattamento, la valutazione d’impatto (cd. DPIA) secondo le regole previste dal GDPR.
Proprio a questo riguardo il Garante, nella sua ultima relazione annuale, ha rilevato come siano giunte in ambito sanitario numerose richieste di valutazione preventiva da parte di aziende sanitarie: in alcuni casi il Garante ha rilevato la mancanza di elementi essenziali della valutazione di impatto, tale da non consentire di poter esprimere il parere sulla richiesta.
In particolare, il Garante ha sottolineato come nella richiesta di consultazione preventiva il titolare sia chiamato a indicare le misure che sono state individuate in fase di DPIA per affrontare (e ridurre) i rischi che un determinato trattamento può comportare per i diritti e le libertà delle persone, affinché il Garante possa valutarne l’adeguatezza e prevedere eventuali ulteriori misure preventive.
Il Garante ha riportato l’esempio di consultazione preventiva avanzata da una società operante in ambito sanitario in relazione alla possibilità di procedere alla consegna dei referti ai pazienti attraverso l’app Telegram: anche in questo caso il Garante ha risposto di non poter rendere il parere richiesto perché la domanda non presentava le ragioni per le quali si intendeva introdurre, nel rispetto dei principi di minimizzazione e di proporzionalità dei dati, una modalità differente di consegna dei referti all'interessato rispetto a quelle indicate nel D.P.C.M. 8 agosto 2013 relativo alle modalità di consegna, da parte delle Aziende sanitarie, dei referti medici tramite web, posta elettronica certificata e altre modalità digitali.
La richiesta è risultata altresì priva dell’indicazione dei rispettivi ruoli e delle responsabilità dei titolari e dei responsabili del trattamento, né erano state indicate le ragioni dell’inidoneità delle misure e delle garanzie previste per proteggere i diritti e le libertà degli interessati tali da dover richiedere la consultazione preventiva del Garante. La valutazione d’impatto si era limitata, infatti, a descrivere le menzionate modalità di consegna dei referti e a indicare sommariamente i rischi, senza procedere a determinare le specifiche misure adottate per ridurli.
L’utilizzo dell'app Telegram avrebbe determinato una sistematica comunicazione di categorie particolari di dati alla società Telegram LLC, con riferimento alla quale non sono state indicate le misure e le garanzie con le quali il titolare del trattamento avrebbe inteso proteggere i diritti e le libertà degli interessati nell'ambito del suddetto flusso di dati sulla salute.
Valutazioni analoghe potrebbero farsi per altri servizi di messaggistica istantanea molto diffusi, come ad es. Whatsapp: tali servizi di messaggistica istantanea (realizzati per comunicazioni di carattere personale, privi di configurazioni ad hoc per le finalità diverse e ulteriori che permettano di adottare misure appropriate e specifiche per tutelare i dati del paziente, e di verificare periodicamente tali misure), se da un lato potrebbero garantire maggiore immediatezza nella comunicazione (e nello specifico, nella disponibilità del referto), dall'altro devono essere in grado di realizzare un sistema di refertazione aderente al principio di accountability alla base della protezione dei dati fin dalla progettazione e protezione dei dati per impostazione predefinita.
Il Garante ha poi dedicato particolare attenzione agli adempimenti relativi alle misure di sicurezza, per le quali oltre ad adottare protocolli di comunicazione sicuri (https), sistemi di autenticazione forte dell’interessato (strong authentication) e provvedere alla protezione del file allegato nel caso di invio del referto tramite posta elettronica (come già illustrato nei precedenti paragrafi), il titolare del trattamento deve:
- adottare specifiche misure e accorgimenti tecnici così da conformarsi ai livelli di protezione dei dati previsti sia in base alle Linee Guida in materia di refertazione online del Garante che al DPCM 08/08/2013 - disponibili, rispettivamente, ai seguenti link:
- prevedere idonei sistemi di autenticazione e autorizzazione per i soggetti autorizzati a seconda dei ruoli e delle finalità dei trattamenti.
- definire differenti livelli di protezione a seconda che la consultazione online dei referti avvenga tramite servizi Web, tramite posta elettronica anche certificata o supporto elettronico. Chiunque abbia accesso o tratti i dati dei referti online deve essere opportunamente formato.