AEPD: multa al gruppo HM Hospitales per violazione delle norme sulla privacy dei dati

L’Agenzia Spagnola per la Protezione dei Dati – AEPD – ha imposto una multa nei confronti delle strutture dell’HM Hospitales per violazione delle norme sulla protezione dei dati personali.

La mancata applicazione di adeguate misure di sicurezza ha rappresentato un rischio per la protezione delle informazioni personali dei pazienti.

 

Sanzione nei confronti del gruppo HM: la vicenda

La vicenda è in corso dal 2022, a seguito di una denuncia di un ex dipendente del gruppo ospedaliero. Il dipendente in questione aveva evidenziato una serie di criticità nel software utilizzato per gestire le cartelle cliniche elettroniche dei pazienti.

Innanzitutto, è stato rilevato che il sistema informatico si trovava sui server di un’azienda tecnologica esterna. Secondo il denunciante, questa configurazione esterna presentava notevoli debolezze nella protezione dei dati sensibili dei pazienti, esponendo le cartelle cliniche a potenziali rischi per la sicurezza e la riservatezza.

In aggiunta, il software impiegato dal gruppo ospedaliero non era di ultima generazione, ma si trattava di una versione aggiornata di un sistema implementato nei centri HM Hospitales di oltre dieci anni fa. Ciononostante, è emerso che non sono stati effettuati adeguati aggiornamenti di sicurezza informatica.

Infine, è stata rilevata una mancanza di tracciabilità sugli accessi ai dati clinici. Infatti, il sistema non monitorava adeguatamente quali utenti avessero avuto accesso alle informazioni mediche dei pazienti, rendendo difficile individuare eventuali accessi non autorizzati.

A seguito delle criticità rilevate, l’Agenzia Spagnola per la Protezione dei dati – AEPD – ha imposto alla società una sanzione del valore di 200.000,00 €.

 

Le violazioni emerse

Dalla vicenda emergono diverse violazioni in materia di privacy che hanno messo a rischio la sicurezza e la gestione dei dati personali dei pazienti.

Alcune violazioni emerse riguardano:

 

  • Inadeguate misure di sicurezza: la sanzione imposta riguarda principalmente la mancata adozione di misure tecniche e organizzative adeguate a garantire la sicurezza dei dati personali dei pazienti, come richiesto dall’articolo 32 del GDPR. Questa carenza indica una gestione inadeguata della sicurezza informatica, con potenziali esposizioni dei dati sensibili;

 

  • Gestione inadeguata dei dati sensibili nel settore sanitario: i dati dei pazienti sono considerati dati sensibili e, pertanto, richiedono livelli di protezione superiori. La mancata gestione di queste informazioni rappresenta una violazione particolarmente grave, dato il contesto sanitario e la delicatezza delle informazioni trattate;

 

  • Utilizzo di un sistema non adeguatamente aggiornato: l’infrastruttura impiegata è una versione evoluta di un sistema di oltre dieci anni fa, ma senza i necessari aggiornamenti di sicurezza. L’uso di un sistema obsoleto e privo di aggiornamenti di sicurezza aumenta le vulnerabilità, esponendo i dati personali a maggiori rischi;

 

  • Mancanza di tracciabilità degli accessi: dalla vicenda è emerso che il sistema non monitorava correttamente quali utenti accedevano ai dati dei pazienti, compromettendo la tracciabilità degli accessi. Questo rappresenta una grave violazione della privacy, poichè non permette di rilevare eventuali accessi non autorizzati e, al contempo, non garantisce la riservatezza delle informazioni mediche dei pazienti;

 

  • Assenza di sicurezza per i dati conservati su server esterni: le informazioni dei pazienti sono state memorizzate su server di una società esterna, ma non sono state predisposte le necessarie misure di protezione. Il GDPR impone che l’uso di servizi esterni sia regolato da contratti che definiscano specifiche misure di sicurezza per i dati personali – come richiesto dall’articolo 28.

Condividi