Privacy: senza le idonee misure tecniche e organizzative si rischiano sanzioni pesanti

Prima la notizia. A fine ottobre il Garante per la protezione dei dati personali ha sanzionato un medico che aveva adottato un particolare sistema di consegna delle ricette ai suoi assistiti: le aveva appese con le mollette da bucato fuori dalla finestra dello studio, situato al piano terra di un palazzo e affacciato sulla strada (Vedi QUI l’Ordinanza del GPDP). In questo modo, da una parte, certamente limitava i rischi legati al COVID (ed allo stesso tempo evitava complicazioni organizzative nella sua struttura); ma, dall’altra, rendeva visibili a chiunque il nome degli assistiti e il contenuto delle relative prescrizioni, violando i dati personali, la privacy, dei suoi pazienti.

Nell’infliggere la sanzione di 10.000 euro, l’Autorità ricordava i principi e le misure che il medico avrebbe dovuto rispettare: “adottare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio che può derivare dalla divulgazione non autorizzata o dall’accesso, accidentale o illegale, ai dati personali trasmessi, conservati, o comunque trattati”. E questo in particolare in ambito sanitario, in cui a maggior ragione il titolare deve garantire, anche nell’organizzazione delle prestazioni e dei servizi, il rispetto dei diritti, delle libertà fondamentali e della dignità delle persone.

Requisiti certamente non soddisfatti appendendo con le mollette del bucato ricette mediche alle finestre dello studio a livello strada, mentre sarebbe bastato metterle in busta chiusa, come più volte indicato dallo stesso Garante (“le ricette mediche possono essere lasciate presso le farmacie e gli studi medici per il ritiro da parte dei pazienti, purché siano messe in busta chiusa. Lasciare ricette e certificati alla portata di chiunque o perfino incustodite, in vaschette poste sui banconi delle farmacie o sulle scrivanie degli studi medici, viola la privacy dei pazienti”: comunicato stampa GPDP 14 ottobre 2014).

Ed ora qualche schematica considerazione:

  • la sanzione irrogata, pur rilevante, certamente non è quella “leggendaria” dei 20 milioni di euro: fake news che, nel primo periodo di avvio del GDPR, a maggio 2018, aveva spaventato un po’ tutti;
  • l’idea di una legge-privacy che non fa fare più niente, inutile ed impossibile da rispettare forse non è così fondata: nel caso di specie, sarebbe bastato mettere le ricette in busta chiusa per evitare la sanzione;
  • pensando alla semplicità della soluzione del problema, usare buste chiuse, si può ritenere che probabilmente per applicare la normativa, almeno ad un livello base, basti spesso solo un po’ di buon senso e la giusta attenzione nella gestione dei dati personali;
  • attenzione che certamente non significa superficialità, dovendosi comunque rispettare in maniera corretta e completa gli obblighi stabiliti nel GDPR, ad iniziare da quello di conoscenza di questa importante normativa, fino ad arrivare a completare la “famosa” accountability.

Poi certo, per evitare errori, è meglio raggiungere un adeguamento completo, e non solo base, della propria attività. Così da limitare al massimo il rischio di incorrere in “incidenti di percorso” e vedersi quindi sanzionare dal Garante per la protezione dei dati personali per l’inadempimento della legge in materia.