martedì 23 febbraio 2021

3 violazioni di dati personali in strutture sanitarie e problemi vari

La newsletter del Garante privacy del 19 febbraio 2021 riporta la notizia
"Data breach sanitari, il Garante privacy sanziona tre strutture":
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9544567.

In due casi, un invio cartaceo è stato indirizzato alla persona sbagliata,
mentre nel terzo caso un'infermiera aveva contattato i familiari di una
paziente, nonostante questa avesse richiesto di non farlo.

Il terzo caso è abbastanza semplice da capire: la richiesta della paziente
non era stata archiviata in modo opportuno e la struttura sanitaria non
aveva ben stabilito come gestire questo tipo di richieste in modo che il
personale non faccia errori (p.e. con maschere che ricordano le opzioni
indicate dai pazienti oppure cancellando i numeri di telefono non più
dichiarati accettabili dai pazienti).

Gli altri due casi sono invece di difficile comprensione. I provvedimenti
indicano che "sono ricostruite le dinamiche dell'accaduto, analizzate le
cause e definite le azioni correttive", ma io non e trovo traccia.
Certamente i provvedimenti non sono sempre il posto dove trovare queste
informazioni, ma così ho avuto l'idea di una giustizia un po' cieca, che non
ammette l'errore.

Infatti il GDPR non richiede che non vengano fatti errori, ma che vengano
valutati i rischi privacy. I provvedimenti non specificano niente in merito
alla valutazione del rischio delle aziende ospedialiere. E qui si palesa lo
scenario peggiore quando si parla di valutazione del rischio, ossia
l'affermazione (scorretta) secondo cui "se c'è stato un incidente, vuol dire
che la valutazione del rischio non era adeguata".

Dispiace che si sia arrivati a questo. Così la valutazione del rischio
rimarrà sempre più un esercizio formale (utile solo a qualche auditor o
consulenti per lanciarsi in noiosissime disqusizioni; l'ultima lezione che
ho ricevuto, in un'azienda di 5 persone, riguardava i rischi inerenti,
correnti, attesi e residui).

Spero che la rotta cambi, ma non credo che succederà in tempi brevi:
l'approccio basato sul rischio è bello da raccomandare e da sbandierare, ma
è difficile da capire e accettare fino in fondo.

Nessun commento:

Posta un commento