Provvedimento del Garante contro ASL Bari evidenzia l'importanza della formazione

Azienda Sanitaria sanzionata per carenti procedure di anonimizzazione

Il Garante per la protezione dei dati personali ha adottato un provvedimento in relazione alla pubblicazione di informazioni sensibili sulla salute di pazienti sul sito web dell'Azienda Sanitaria Locale (ASL) di Bari. L'Ufficio del Garante ha ricevuto una segnalazione in merito alla presenza di elogi dei pazienti contenenti dati personali sensibili, come informazioni sulla salute, che erano accessibili al pubblico attraverso il sito dell'ASL.

Dopo un'indagine preliminare, è stato constatato che i documenti contenenti gli elogi pubblicati sul sito dell'ASL contenevano dati personali e informazioni sulla salute dei pazienti che erano stati presentati all'azienda tra il 2016 e il 2022. Tali informazioni includevano dettagli clinici, diagnosi e anamnesi, oltre ai dati anagrafici e di contatto degli assistiti. I dati anagrafici erano stati oscurati in modo approssimativo con un pennarello nero, ma erano ancora leggibili.

Il Garante ha richiesto informazioni all'ASL di Bari, che ha risposto indicando che avevano creato una sezione del sito web istituzionale dedicata agli elogi ricevuti dagli utenti. Tuttavia, l'ASL ha riconosciuto che l'oscuramento dei dati personali con il pennarello non era una misura adeguata per garantire l'anonimato delle informazioni e ha preso provvedimenti correttivi. Sono state rimosse le scansioni dei documenti contenenti gli elogi dal sito e sono state definite nuove procedure per la pubblicazione degli elogi, con l'estrazione solo delle informazioni pertinenti e necessarie, escludendo i dati personali sensibili e altri dati non essenziali. Inoltre, l'ASL ha avviato un programma di formazione per il personale responsabile della pubblicazione dei documenti sul sito web.

Il Garante ha valutato le informazioni fornite dall'ASL e ha rilevato che la pubblicazione delle informazioni sulla salute dei pazienti violava il principio di trattamento lecito, corretto e trasparente dei dati personali stabilito dal Regolamento (UE) 2016/679. Inoltre, i dati sensibili relativi alla salute devono essere trattati con particolare cautela e protezione. Pertanto, il Garante ha avviato un procedimento per adottare provvedimenti in conformità all'articolo 58, paragrafo 2, del Regolamento.

L'ASL di Bari ha risposto alle notifiche del Garante presentando le proprie argomentazioni e ha dichiarato di aver rimosso i documenti contenenti gli elogi dal sito, pubblicando solo i contenuti essenziali in forma aggregata numerica. Hanno anche confermato l'adozione di misure correttive, come il divieto di oscuramento dei dati personali con il pennarello e un piano formativo per il personale.

Rif: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9870171