Il Garante privacy sanziona un’azienda ospedaliera per violazione degli standard di sicurezza imposti dal GDPR

Il Garante per la privacy, con provvedimento del 23 gennaio 2020, ha sanzionato un’azienda ospedaliera veronese per la mancata adozione di misure di sicurezza “adeguate” ai sensi del GDPR.

All’origine del caso vi è la verificazione di plurimi Data Breach: alcuni dipendenti, infatti, avevano acceduto indebitamente ai dati del dossier sanitario di colleghi curati nella medesima struttura.

All’esito dell’istruttoria, il Garante riscontrava la mancata adozione, da parte dell’ente ospedaliero, di un sistema di autorizzazione idoneo a limitare l’accesso ai dossier al solo personale sanitario che interviene nel processo di cura del paziente, nonché la mancata effettuazione di corsi di formazione in materia di privacy per il personale. I Data Breach, peraltro, erano stati agevolati da violazioni di norme di sicurezza basilari, come quelle che impongono agli incaricati, prima di allontanarsi dalla propria postazione lavorativa, di impostare misure che impediscano accessi indesiderati ai dati.

Il Garante ha evidenziato come le violazioni riscontrate avrebbero potuto essere evitate semplicemente attenendosi alle “Linee guida in materia di Dossier sanitario” del 4 giugno 2015, tuttora rilevanti.

(Garante per la protezione dei dati personali, provvedimento del 23 gennaio 2020)