CARTELLA CLINICAGARANTE PRIVACYGDPRPUBBLICAZIONISANZIONI“Strutture sanitarie pubbliche e private: attenzione!”

27 Gennaio 20220

L’Autorità Garante per la protezione dei dati personali ha ribadito nell’Ordinanza di ingiunzione nei confronti di Società Med Store Saronno s.r.l. che “i Titolari possono affidare un trattamento “a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto di misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i principi del #GDPR 2016/679”, anche per la sicurezza del trattamento, tenuto conto degli specifici rischi derivanti dallo stesso (artt. 28, par. 1, 24 e 32 del Regolamento; cfr. anche Cons. n. 81).

 

I profili soggettivi

Una Casa di cura, in provincia di Varese, ha notificato al Garante – ai sensi dell’art. 33 del #GDPR 2016/679 – un #DataBreach a seguito di un attacco informatico riconducibile al gruppo hacker LulzSec_ITA. Tale evento ha comportato la pubblicazione, sul profilo Twitter del gruppo hacker, di immagini radiologiche riconducibili alla Casa di cura. La Casa di cura ha confermato di aver affidato ad un’azienda esterna l’installazione sul web di un software che consentiva ai medici di avere #accesso da remoto ad immagini diagnostiche.

 

La norma quale unico strumento di tutela

Va dunque ricordato che, in materia di sicurezza dei dati personali, il Titolare e il responsabile del trattamento devono mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” (…). Nel valutare l’adeguato livello di sicurezza si deve tener conto, in special modo, dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati” (s.v. art. 32 del GDPR 2016/679).

 

La determinazione delle sanzioni pecuniarie

Rilevata la violazione degli artt. 5 e 32 del GDPR 2016/679, il Garante ha dichiarato l’illiceità del trattamento di dati personali effettuato dalla Società Med Store Saronno s.r.l. Inoltre ha ordinato alla medesima di pagare la somma di € 7.000,00 a titolo di sanzione amministrativa pecuniaria per la violazione dei dati personali.

______________________

Testo del provvedimento n. 423 del 2 dicembre 2021 del Garante Privacy: Ordinanza ingiunzione nei confronti di Società Med Store Saronno s.r.l. – 2 dicembre 2021

 

*I diritti delle immagini appartengono ai rispettivi proprietari.

Hai dubbi in merito? Noi saremo lieti di aiutarTi a trovare la soluzione per la Tua realtà aziendale.

Contattaci

Leave a Reply

Rimani in contatto con noiSocial links
Ti terremo aggiornato su tutte le novità del mondo compliance.
AboutContatti
Siamo qui per te
infoSede legale
La nostra Sede
Rimani in contatto con noiSocial links
Ti terremo aggiornato su tutte le novità del mondo compliance.

© 2020 Renorm – Tutti i diritti riservati – Powered by Italian Alchemy and Webita

© 2020 Renorm – Tutti i diritti riservati – Powered by Italian Alchemy and Webita