Prima sanzione dal Garante portoghese ad un ospedale

Prime sanzioni in applicazione del Reg. 679/2016 in materia di trattamento dei dai personali. L’Autorità Garante portoghese (Comissão Nacional de Protecção de Dados – CNPD), ha adottato un provvedimento nei confronti del Centro Hospitalar Barreiro Montijo, con una sanzione di € 400.000, i trattamenti contestati riguardano dati sanitari dei pazienti, quindi dati particolari ai sensi dell’art. 9 del Reg. 679/2016.

Nell’aprile 2018, la CNDP aveva ispezionato il Centro Hospitalar Barreiro Montijo del distretto di Setúbal a seguito di segnalazione di un sindacato dei medici che contestava come il personale non sanitario accedesse ai sistemi informatici del nosocomio con privilegi propri dello staff medico.

In particolare l’Autorità aveva contestato:

la totale mancanza di un qualsiasi documento/procedura dove fosse prevista la corrispondenza o i criteri per stabilire tale corrispondenza tra le competenze funzionali degli utenti del sistema informatico e i relativi profili di accesso;
la totale mancanza anche di un documento/procedura dove fossero stabilite le regole per la creazione degli account degli utenti del sistema informatico dell’ospedale;
il non corretto utilizzo dei profili e dei codici di accesso previsti nei sistemi gestionali utilizzati dall’ospedale. In particolare l’ospedale utilizza due sistemi gestionali messi a disposizione dal Ministero della Salute portoghese, uno (SONHO) per la gestione amministrativa dell’ospedale, l’altro (SClinico) dove vengono registrate le informazioni cliniche dei pazienti.

In sede ispettiva la CNDP appurava come nel sistema fossero attive 985 utenze con profilo di autorizzazione riservato al personale medico benché fossero 296 i medici operativi nell’ospedale. La struttura aveva pertanto conferito a quasi 600 dipendenti un accesso indiscriminato e ingiustificato ai dati dei pazienti.

L’Autorità portoghese ha pertanto elevato:

una multa da 300 mila euro per mancato rispetto della confidenzialità e limitazione degli accessi ai dati dei soggetti ricoverati;
una multa da 100 mila euro per non aver assicurato “su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento” (art.32 GDPR).

Fonte: https://www.hipaajournal.com/first-hospital-gdpr-violation-penalty-issued-portuguese-hospital-to-pay-e400000-gdpr-fine/

Tag: regolamento UE, sanzione

Posts Related

App della Pubblica Amministrazione. Sanzione del Garante Privacy

Sanzione del Garante Privacy per marketing selvaggio

Sanzione per data breach ad un istituto bancario