Nuovo intervento del Garante privacy nel mondo sanitario. Dopo la bocciatura della banca dati sanitaria proposta dal governo, l’authority è intervenuta nei confronti della Regione Lazio sanzionata per l’illecito trattamento dei dati relativi allo screening. La Regione ha ricevuto una sanzione di centomila euro per non avere aggiornato i dati della piattaforma utilizzata dalle Asl per l’invito agli screening oncologici.

Il caso nasce dalla segnalazione di una donna che aveva lamentato all’Autorità di aver ricevuto dalla Asl di Rieti un invito a partecipare al programma di screening del tumore del collo dell’utero, rivolto alla figlia deceduta nel 1995. Nel corso dell’istruttoria, l’Autorità ha accertato che – per svolgere le campagne di screening – le Asl utilizzano una piattaforma regionale denominata Sistema informativo dei programmi di screening oncologici (Sipsoweb), che contiene tutti i parametri necessari alla generazione degli inviti. Quando la Asl di Rieti aveva consultato la scheda “dettaglio assistito” di Sipsoweb relativa alla figlia della reclamante, questa risultava ancora regolarmente inserita nella piattaforma regionale sebbene deceduta da tempo. L’Autorità ha pertanto contestato alla Regione il mancato rispetto dei principi di esattezza e correttezza dei dati trattati attraverso la piattaforma e, tra l’altro, la non corretta individuazione dei ruoli ricoperti dai soggetti che a vario titolo trattano dati personali attraverso la piattaforma.

Numerose criticità

La Regione, in quanto titolare dei dati, deve garantire che i dati personali siano esatti e, se necessario, aggiornati, adottando tutte le misure ragionevoli per cancellare o rettificare tempestivamente le informazioni che utilizza. Nel comminare la sanzione il Garante ha tenuto conto del fatto che la Regione Lazio era stata già destinataria di un provvedimento sanzionatorio dell’Autorità, e del fatto che, nell’ambito dell’istruttoria, oltre agli aspetti di mancato aggiornamento del dato oggetto del reclamo, l’Ufficio ha rilevato numerose criticità relative al sistema con cui la Regione effettua il trattamento dei dati, anche sulla salute, degli oltre cinque milioni di assistiti coinvolti nelle campagne di screening regionali. La Regione dovrà perciò identificare correttamente i ruoli, le finalità e le basi giuridiche del trattamento, modificando e integrando le informazioni da rendere agli interessati. Per garantire una maggiore accuratezza nella gestione delle informazioni anagrafiche delle persone aventi diritto ai programmi di screening oncologici, l’Autorità ha evidenziato la necessità che tutte le Regioni utilizzino a tal fine l’Anagrafe nazionale degli assistiti.

Altro provvedimento ha colpito la società Usa Senseonics che ha ricevuto una sanzione di 45mila euro per violazioni sui dati personali nell’utilizzo del suo sistema di monitoraggio del glucosio e aver comunicato illecitamente indirizzi di posta elettronica e dati sulla salute di circa duemila pazienti diabetici italiani. Nell’ambito di una campagna informativa una mail è stata inviata con in chiaro tutti gli indirizzi dei destinatari.

La protezione del dato in sanità sarà oggetto dell’intervento di Raffaele Conte, Dpo del Cnr, al prossimo convegno organizzato da Cwi.it che si svolgerà online dall’8 al 10 novembre. La giornata del 9 novembre sarà dedicata all’innovazione digitale in sanità. Questo il sito del convegno.