Le aziende sanitarie devono adottare tutte le misure tecniche e organizzative necessarie per evitare che i dati dei pazienti siano comunicati per errore ad altri destinatari.
Lo ha ribadito il Garante per la privacy nel sanzionare un’azienda sanitaria del Veneto per una violazione di dati personali (data breach), che ha coinvolto 39.852 assistiti, minori di 6 anni e maggiori di 65, con reddito inferiore a 36.151,98 euro.
I pazienti avevano ricevuto nella cassetta della posta il certificato contenente i dati personali (nome, cognome, luogo e data di nascita, codice fiscale, codice di esenzione) di un altro assistito.
Dalle verifiche effettuate dall’Autorità – a seguito della ricezione di alcuni reclami e della notifica di data breach da parte dell’Asl – è emerso che la violazione era stata causata da un problema tecnico di disallineamento dei dati nel database contenente le anagrafiche dei pazienti.
La sanzione, di 10mila euro, è stata calcolata tenendo conto che l’azienda sanitaria ha immediatamente dimostrato un elevato grado di collaborazione con il Garante e che l’episodio è risultato isolato e non volontario.
L’azienda, inoltre, ha pianificato ulteriori misure per ridurre al minimo eventuali futuri errori, in particolare mediante l’attivazione di un portale online attraverso cui sarà possibile scaricare direttamente i certificati d’esenzione in formato digitale.