Durante questa emergenza sanitaria, quello che sta succedendo, in maniera sempre più frequente, è la possibilità, per un numero elevatissimo di soggetti, di doversi sottoporre a trattamenti sanitari quali tamponi, test sierologici e altre analisi, oppure di trovarsi nella situazione che venga rilevata la possibile positività al virus, ad esempio all'ingresso in azienda se venga rilevata una temperatura superiore ai 37,5° oppure per la positività di un collega.
Queste circostanze stanno diventando familiari a tutti noi ma spesso sottovalutiamo che assumono connotati ancor più importanti se si tratta il problema da una prospettiva diversa, quella della privacy.
Dati sanitari: cosa sono e quali tutele prevede il legislatore.
Riportiamo integralmente da
La potenziale gravità di queste vicende [v. il caso Milano Cor] sotto il profilo della violazione della privacy dei soggetti coinvolti risiede nella tutela non adeguata rispetto a una categoria di dati personali che, più di altre, può comportare pregiudizi e possibili effetti negativi, qualora sfuggisse alla sfera di controllo del soggetto a cui si riferisce. Quelli trattati nelle ipotesi sopra analizzate, infatti, sono dati sanitari, definiti ai sensi dell’articolo 4 GDPR come “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute”, definizione ulteriormente ampliata nel Considerando 35 del GDPR, dove viene precisato che sono considerabili tali anche “le informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica, compresi i dati genetici e i campioni biologici; e qualsiasi informazione riguardante, ad esempio, una malattia, una disabilità, il rischio di malattie, l’anamnesi medica, i trattamenti clinici o lo stato fisiologico o biomedico dell’interessato, indipendentemente dalla fonte, quale, ad esempio, un medico o altro operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro”.
Questa tipologia di dati viene ricompresa nella categoria dei dati particolari dall’articolo 9 GDPR, trattandosi di informazioni in grado di rivelare aspetti molto personali del soggetto, così come l’origine razziale e le opinioni politiche.
Data la particolare valenza di questi dati, il legislatore, sia europeo, che nazionale, ha predisposto in primis una sorta di divieto generale al trattamento di questi dati, seguito però, ovviamente, da una serie di eccezioni, rappresentate dalla manifestazione del consenso dell’interessato, dalla sussistenza di un pubblico interesse, dalla necessità di tutelare un interesse vitale, nonché per finalità di medicina preventiva, del lavoro e altri trattamenti sanitari.
L’impianto di tutele predisposto per la protezione di questa tipologia di dati si fonda su specifiche ragioni e, soprattutto, sulle possibili conseguenze negative per il soggetto interessato in caso di loro violazione. Si pensi, ad esempio, ai rischi di:
esposizione dei dati in questione alla conoscenza di soggetti terzi, non autorizzati, che potrebbero utilizzare in mala fede i dati acquisiti;
possibili risvolti negativi sul piano reputazionale, sia nella sfera privata che in quella professionale;
possibile esposizione ad attacchi mirati, volti all’acquisizione e all’utilizzo di questi dati per varie forme di ricatto, truffa o sostituzione di persona, tutte fattispecie perseguibili penalmente.
L’accertamento di una violazione di questi livelli di tutela fa quindi scaturire conseguenze importanti sul piano della responsabilità e conseguentemente su quello sanzionatorio: il GDPR sul punto prevede, all’articolo 83, sanzioni amministrative pecuniarie fino a 20 milioni di euro, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
Conclusioni
Alla luce di quanto descritto e vista l’importanza di garantire un livello di tutela elevato per la categoria dei dati sanitari, è auspicabile una maggiore attenzione da parte di tutti, istituzioni, aziende, organizzazioni e di tutti coloro che, a vario titolo, trattano questi dati, per la sicurezza di tali informazioni.
Resta legittimo il trattamento di tali dati sanitari di soggetti, purchè ne resti garantita sicurezza e protezione in tutte le fasi del trattamento, in particolare nel momento della loro comunicazione.
Eventuali leggerezze, determinano gravi violazioni che saranno valutate, e pesantemente sanzionate, dall’Autorità Garante.
Non basta il primo adeguamento. Con il passare del tempo è necessario intervenire con aggiornamenti per mantenersi conformi. al regolamento. Ecco un elenco tutti i passaggi da compiere per la revisione ed aggiornamento del Sistema di gestione privacy. Responsabilità [per il GDPR "accountability"] è il principio cardine attorno a cui si sviluppa tutto il GDPR. Non basta adeguarsi, ma bisogna mantenersi "compliant" [conformi] al regolamento anche con il passare del tempo. Ecco un utile vademecum con tutti i passaggi da compiere per non sbagliare, in particolare nella revisione e...
Scritto da: Luigi DuraccioGli antivirus free o basati sulle firme non sono più sufficienti. Gli attacchi sono cambiati e vanno cambiati anche gli strumenti per difendersi. Tutti abbiamo provato un antivirus gratuito. Molti lo utilizzano ancora oggi! Purtroppo oggi non è più possibile affidare la propria sicurezza ad un prodotto gratuito. Lo dicono i fatti e i numeri che riporto più avanti in questo articolo. Un antivirus gratuito poteva andare bene, forse, 20 anni fa, quando effettivamente il loro unico compito era quello di fermare i virus, uno alla volta. Si trattava di un virus per...
Scritto da: Luigi DuraccioSe non hai subito un attacco non aspettare il "se", invece, minimizza gli effetti del "quando". La tua decisione di agire in anticipo potrebbe valere letteralmente molte migliaia di euro! Matt Bromiley, consulente senior di Mandiant Managed Defense, ci parla dei migliori trucchi e suggerimenti per proteggere i sistemi IT aziendali dal ransomware. "Se c'è una minaccia informatica in cima alla mente di tutti in questo momento, deve essere un ransomware. Una volta una minaccia "fastidiosa", il ransomware è diventato un settore multimilionario per...
Scritto da: Luigi DuraccioFonte: Informatore Informatico Vi prego, ditemi che non utilizzate "123456" o "password". Utilizzate le vostre iniziali e la data di nascita? Forse è ancora peggio! In questo articolo voglio aiutarvi e spiegarvi come creare una password impenetrabile e facile da ricordare. C'è da dire che gli informatici continuano a dirvi di usare password complesse ma non vi spiegano perchè è importante, come fare e, soprattutto, come ricordarsela. Infatti non è difficile creare una password sicurissima, ad esempio: "$drg|gk§?__dd66uy°#!" ma poi come facciamo a ricordarla? Dovrete segnarvela da qualche...
Scritto da: Luigi DuraccioL’estate è il momento preferito dai criminali informatici per sferrare i loro attacchi. Ecco un elenco di semplici regole da seguire per non cadere vittime degli hacker! L’estate è un momento ideale per gli hacker per sferrare i loro attacchi approfittando degli uffici non presidiati e delle distrazioni degli utenti. A causa di comportamenti imprudenti accedono agli account ed ai dispositivi per rubare dati e informazioni. Una volta in viaggio si pensa a proteggere denaro ed effetti personali. Ma è necessario anche...
Scritto da: Luigi DuraccioFonte: privacylab.it Autore: Andrea Chiozzi La gestione del responsabile esterno è una questione sempre più importante, sia perché è un obbligo di legge, ma anche perché il Garante sta facendo le pulci su questo aspetto. Ti do una notizia. L’autorità Garante, in tutte le ispezioni che sta facendo, sta chiedendo ai titolari del trattamento chi sono i responsabili esterni, come sono stati identificati e come sono stati verificati. Quando, secondo il GDPR, un’azienda deve nominare un responsabile esterno? Quando decide di affidare all'esterno delle attività che potrebbe fare al suo interno e che preferisce dare fuori. I...
Scritto da: Luigi DuraccioIl 10 luglio 2021, il Garante per la protezione dei dati personali ha approvato le nuove linee guida per l’uso dei cookie. Se hai un sito web e sede in Italia, tali requisiti ti riguardano. Hai 6 mesi di tempo per adeguarti (fino al 10 gennaio 2022, 6 mesi a partire dal 9 luglio 2021, data della pubblicazione delle linee guida nella Gazzetta Ufficiale). Con questa guida vogliamo aiutarti a capire cos’è cambiato e come rispettare i requisiti con il minimo sforzo. Le novità in breve. Cookie...
Scritto da: Luigi DuraccioCookie: dal Garante privacy nuove Linee guida a tutela degli utenti No a scrolling e a cookie wall se non in casi particolari, limiti alla reiterazione della richiesta di consenso Il Garante per la protezione dei dati personali ha approvato nuove Linee guida sui cookie, con l’obiettivo di rafforzare il potere di decisione degli utenti riguardo all’uso dei loro dati personali quando navigano on line. Il provvedimento è stato adottato tenendo conto degli esiti della consultazione pubblica promossa alla fine dello scorso anno. Clicca...
Scritto da: Luigi DuraccioAggiornare software e dispositivi è una buona prassi di sicurezza, non una perdita di tempo. Ecco perché è importante intervenire. Vi spiego come farlo senza perdere tempo! Gli aggiornamenti non si limitano solo a fornire nuove funzionalità e correggere bug, ma eliminano anche le vulnerabilità relative alla sicurezza sfruttate dai criminali informatici. Ecco perché la gestione delle patch è essenziale per la sicurezza aziendale. Tuttavia, alcuni dipendenti sono riluttanti ad aggiornare i dispositivi aziendali e lasciano che all’interno della rete aziendale ci...
Scritto da: Luigi DuraccioMartinelli S.r.l. Via Circonvallazione N/E, 98 - 41049 Sassuolo (MO) | Tel: 0536 868611 Fax: 0536 868618 | info@martinelli.it
P.Iva 02262430362 - C.F. 01413050350 - Iscriz. registro Imprese di Modena 01413050350 - Capitale Sociale 350.000 i.v.