Consulenza e Formazione Sicurezza, Medicina Del Lavoro, Sistemi Di Gestione, Qualità, Privacy, Ambiente e Modelli Organizzativi

Dati personali dei minori in ambito sanitario: la corretta gestione

In un recente provvedimento il Garante per la Protezione dei dati personali ha ancora una volta sottolineato come la corretta gestione dei dati personali e particolari dei minori, soprattutto in contesti delicati come quello sociosanitario, sia di fondamentale importanza.

Obblighi per le aziende che gestiscono i dati sanitari dei minori

Le aziende e le organizzazioni che trattano tali dati devono infatti garantire sempre un livello elevato di sicurezza e trasparenza nella loro gestione, attuando misure tecniche ed organizzative idonee a prevenire accessi o divulgazioni non autorizzati.

Il caso reale: violazione della privacy di minori disabili

  • Coinvolta una cooperativa sociale incaricata dal Comune.
  • Inviata e-mail con file contenenti dati sanitari e anagrafici dei minori.
  • I dati includevano: nome, nascita, patologie, disabilità, monte ore di sostegno.
  • Comunicazione inviata a più famiglie: violazione del principio di minimizzazione.

Di seguito il dettaglio della vicenda reale in esame.

Una cooperativa sociale responsabile dei servizi per l’inclusione scolastica nelle scuole dell’infanzia per conto di un Comune, la quale ha comunicato indebitamente dati sanitari relativi alla disabilità dei minori.

Come anticipato, la cooperativa aveva inviato una e-mail alle famiglie dei minori allegando file contenenti dati personali e sanitari dei diversi bambini. Questa comunicazione includeva infatti:

  • Nomi, data e luogo di nascita e cittadinanza dei minori;
  • Informazioni sanitarie dettagliate, incluse patologie e classificazione delle disabilità;
  • Certificazioni mediche;
  • Il monte ore di sostegno scolastico assegnato a ciascun bambino.

Le violazioni del GDPR accertate dal Garante

L’Autorità ha pertanto accertato due precise violazioni del Regolamento Generale sulla Protezione dei Dati Personali (GDPR):

  • 28 Reg UE 679/2016 relativo alla nomina a Responsabile esterno del trattamento, evidenziando come la cooperativa non ha dimostrato “la perizia necessaria ad evitare la messa a disposizione di tali informazioni”, non rispettando le istruzioni fornite dal Comune – Titolare del trattamento.
  • 32 Reg UE 679/2016 riguardante la sicurezza del trattamento, in quanto la cooperativa non ha adottato le misure tecniche e organizzative adeguate a garantire un livello di sicurezza commisurato al rischio.

Le conseguenze e le misure correttive adottate

Nonostante la cooperativa avesse successivamente posto in essere azioni correttive – quali strumenti di pseudonimizzazione che sostituiscono i dati anagrafici con codici alfanumerici nonché attività formative mirate per il proprio personale sulla gestione e protezione dati personali – il Garante ha comunque ritenuto necessario infliggere una sanzione amministrativa pecuniaria.

Questo episodio ci permette di evidenziare un punto fondamentale: la gestione corretta dei dati personali, soprattutto in contesti che riguardano soggetti vulnerabili come i minori e informazioni sanitarie è fondamentale. Le organizzazioni che gestiscono tali dati sono infatti chiamate a implementare procedure e sistemi di sicurezza idonei a prevenire qualsiasi accesso o divulgazione non autorizzata.

Le responsabilità delle aziende sanitarie e sociali: in conclusione

Le organizzazioni che gestiscono dati sanitari di minori devono sempre implementare delle misure proattive:

  • Nomina formale del Responsabile esterno.
  • Formazione continua dei dipendenti.
  • Sistemi di sicurezza per evitare accessi non autorizzati.
  • Uso di tecniche di anonimizzazione o pseudonimizzazione.

Ogni violazione può comportare sanzioni e danni reputazionali gravi, pertanto proteggere i dati personali dei minori è una responsabilità etica e giuridica. Le aziende devono considerare la privacy come un investimento in fiducia e sicurezza, soprattutto in ambito sanitario

Proteggi davvero i dati dei più vulnerabili. Contattaci ora per un audit gratuito sulla gestione della privacy nella tua organizzazione e scopri come evitare sanzioni e danni reputazionali.