A causa della condivisione online dei dati sanitari di un ragazzo, l’Autorità per la protezione dei dati personali ha previsto un provvedimento sanzionatorio ad una società organizzatrice di un corso di formazione in ambito sanitario. La pubblicazione di dati relativi alla salute e/o reati di una persona rappresenta una grave violazione della normativa in materia di data protection.
L’accaduto
Un genitore ha notato la pubblicazione online dei dati personali – tra cui delle informazioni sulla salute e sulle indagini giudiziarie- del proprio figlio deceduto.
In particolare, sono stati resi disponibili informazioni inerenti alla propria biografia, perizie psichiatriche, anamnesi, cure mediche e, infine, i reati per cui era indagato.
I dati erano disponibili e consultabili all’interno di documenti di un corso formativo per medici psichiatri. Nello specifico, questi documenti rientravano nel materiale didattico impiegato dai medici per spiegare, nel dettaglio, la patologia del ragazzo deceduto.
A fine corso, gli organizzatori del corso di formazione hanno reso accessibile, attraverso un link all’interno di una mail, il materiale inerente alla patologia del ragazzo a tutti i frequentanti.
Successivamente, è emerso che chiunque disponesse di quel link potesse accedere al materiale presente.
Provvedimento sanzionatorio
A seguito di questa scoperta, il genitore ha deciso di rivolgersi al Garante Privacy che ha ammonito la società di formazione comminando una multa del valore di 18.000 euro.
Il Garante Privacy ha deciso di sanzionare la società organizzatrice per la mancata adozione di misure tecniche e organizzative adeguate, al fine di garantire la riservatezza dei dati, trattati in modalità permanente, del ragazzo.
In aggiunta, ha affermato che la società avrebbe dovuto verificare l’adeguatezza delle misure di anonimizzazione applicate ai dati personali del ragazzo deceduto e del rispettivo genitore, al fine di non consentire, in alcun modo, l’identificazione diretta o indiretta di una persona. Difatti, è necessario, anche in questi casi, anonimizzare correttamente i dati personali oggetto di trattamento.
Infine, il Garante ha fatto notare che la società avrebbe dovuto adottare una proceduta di autenticazione informatica, al fine di limitare l’accesso alla documentazione solamente ai partecipanti del corso formativo.
È evidente, secondo il Garante, che le tutele in merito alla normativa privacy devono essere applicate anche ai dati delle persone decedute. Allo stesso tempo, il Garante afferma la necessità di considerare e valutare attentamente il rischio di re-identificazione dell’interessato, tenendo in considerazione i fattori obiettivi (fra cui: tecnologie utilizzate al momento del trattamento, le risorse economiche e temporali necessari all’identificazione e gli sviluppi tecnologici.
