IN PRIMO PIANO

Il documento si sviluppa in 10 punti in cui si indicano gli obblighi e gli adempimenti da rispettare al momento di trattare dati personali così delicati.
Attraverso le piattaforme digitali, che nella maggior parte dei casi fanno capo a società stabilite in paesi europei diversi dall’Italia o in Paesi terzi, i dati sia personali che sanitari dei pazienti vengono utilizzati per molteplici finalità da diversi soggetti che intervengono a vario titolo nelle operazioni di trattamento e che possono assumere diversi ruoli di protezione dei dati (titolare, contitolare e responsabile del trattamento).
Il compendio fornisce chiarimenti con riferimento a 3 tipologie di trattamenti:

• dati dei pazienti necessari per offrire loro servizi anche di tipo amministrativo correlati alla prestazione sanitaria richiesta (ad es. creazione dell’account, prenotazione di una visita medica);
• dati personali dei professionisti sanitari trattati per diversi scopi (ad es. gestione dell’agenda del medico e recensioni degli utenti);
• dati sulla salute dei pazienti, trattati per finalità di diagnosi e cura (es. condivisione di documenti sanitari come prescrizioni o referti). 

Per ciascuna delle 3 differenti tipologie di trattamenti, il compendio identifica le specifiche basi giuridiche, i ruoli, le responsabilità e gli obblighi in capo a siti e app e ricorda la necessità di adottare misure di sicurezza tecniche e organizzative, volte a ridurre i rischi di distruzione, perdita, modifica, divulgazione non autorizzata di dati o accesso accidentale o illegale.
Un paragrafo è dedicato alle informazioni da rendere ai pazienti che, in conformità ai principi di correttezza e trasparenza, devono essere semplici e chiare oltre che concise, trasparenti, intelligibili e facilmente accessibili.
 
Data: 28 marzo 2024

OSSERVATORIO VECOMP

Controversa la conservazione dei metadati delle e-mail dei dipendenti
La pubblicazione del documento di indirizzo sulla gestione dei metadati delle e-mail dei dipendenti e il successivo avvio di una consultazione pubblica ha acceso il dibattito sul limite temporale “standard” per la conservazione dei metadati fissato a 7 giorni.

Per richiamare l’attenzione su alcuni aspetti che potrebbero essere in contrasto con la disciplina di protezione dei dati e le norme a tutela del lavoratore, il Garante aveva pubblicato a dicembre 2023 il documento di indirizzo: “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, con cui veniva indicato in 7 giorni - estensibili di altre 48 ore per comprovate esigenze - il periodo di conservazione dei metadati degli account dei servizi di posta elettronica.
 
Per rispondere alle numerose richieste di chiarimento, il Garante ha dunque deciso di differire l’efficacia del documento di indirizzo e promuovere una consultazione pubblica di 30 giorni sulle forme e modalità di utilizzo che renderebbero necessaria una conservazione dei metadati superiore a quella ipotizzata nel documento di indirizzo (GU n. 64 del 16 marzo 2024).
 
Datori di lavoro pubblici e privati, esperti della disciplina di protezione dei dati e tutti i soggetti interessati avranno a disposizione 30 giorni, a partire dalla pubblicazione in Gazzetta ufficiale, per inviare al Garante le proprie osservazioni, i commenti, le informazioni, le proposte e tutti gli elementi ritenuti utili, tramite posta ordinaria o alle caselle protocollo@gpdp.it oppure protocollo@pec.gpdp.it.
 
Data: 16 marzo 2024
Fonte



 

HISTORIES

Regione Lazio: 3 sanzioni del Garante
Arrivano le sanzioni del Garante per le violazioni informatiche accadute al servizio sanitario della Regione Lazio durante il Covid. Durante l’attacco ransomware, l’inadeguata sicurezza dei sistemi ha causato enormi danni impedendo ai pazienti di accedere ai servizi.
 
Il Garante ha emesso 3 sanzioni significative, rispettivamente di 271mila, 120mila e 10mila euro, nei confronti di LAZIOcrea (società che gestisce i sistemi informativi regionali), la Regione Lazio e la ASL Roma 3. Queste sanzioni seguono l’attacco informatico ai sistemi informatici della Regione Lazio avvenuto tra il 31 luglio e il 1° agosto 2021, che ha causato un data breach nel sistema sanitario regionale.
L’attacco, perpetrato attraverso un ransomware introdotto nel sistema tramite un portatile di un dipendente regionale, ha provocato il blocco di numerosi servizi sanitari, inclusi le prenotazioni, i pagamenti, il ritiro dei referti e la registrazione delle vaccinazioni. Questo ha impedito ad Asl, aziende ospedaliere e case di cura di utilizzare i sistemi informativi regionali per trattare i dati sulla salute di milioni di assistiti per un periodo che va da poche ore a diversi mesi.
Dalle indagini del Garante è emerso che LAZIOcrea e la Regione Lazio hanno commesso numerose e gravi violazioni della normativa sulla privacy, principalmente a causa dell’uso di sistemi non aggiornati e della mancanza di adeguate misure di sicurezza per rilevare tempestivamente le violazioni dei dati personali e proteggere le reti informatiche.
Durante l’attacco informatico, circa 180 server virtuali sono stati resi inaccessibili e LAZIOcrea ha spento tutti i sistemi senza poter individuare quelli compromessi, né evitare la propagazione del malware. Inoltre, LAZIOcrea non ha gestito adeguatamente il data breach e le sue conseguenze, soprattutto per le numerose strutture sanitarie coinvolte.
La Regione Lazio, in qualità di titolare del trattamento, avrebbe dovuto esercitare una vigilanza più efficace su LAZIOcrea, garantendo un adeguato livello di sicurezza e protezione dei dati fin dalla progettazione.
Le sanzioni del Garante sono state determinate considerando la gravità delle violazioni e il grado di responsabilità dei soggetti coinvolti. In particolare, la ASL Roma 3 ha ricevuto una sanzione di 10mila euro per non aver notificato il data breach ai soggetti interessati.
 
Data: 11 aprile 2024
Fonte