Tutti gli studi, condotti a livello mondiale, e quindi non solo in Europa od in Italia, hanno messo in evidenza come il mondo della sanità, che tratta dati molto sensibili, sia quello dove il rispetto delle prescrizioni in materia di protezione dei dati personali lasci molto a desiderare.

La sanzione affibbiata dall’Autorità Garante portoghese ad una struttura sanitaria mette in evidenza le numerose lacune, che potrebbero essere presenti anche in altre strutture del Portogallo come di altri Paesi.

La Commissione Nazionale per la protezione dei dati ha riscontrato numerose violazioni delle prescrizioni dettate dal Regolamento Generale europeo per la Protezione dei Dati (GDPR), che si riportano di seguito in maniera puntuale:

1. Non è stato reperito alcun documento che descriva una corrispondenza tra le competenze funzionali degli utenti ed i profili di accesso alle informazioni; in altre parole, nel definire il profilo di un utente, che accedeva al sistema informativo sanitario, non veniva stabilita una correlazione con le competenze specifiche;
2. Non è stato trovato alcun documento che descrivesse le regole per creare gli utenti del sistema informativo dell’ospedale, vale a dire gli autorizzati al trattamento;
3. Nove dipendenti tecnici godevano di un profilo di accesso riservato al personale medico, il che permetteva a questi autorizzati al trattamento di esaminare i protocolli terapeutici di tutti i soggetti ricoverati in ospedale;
4. Le credenziali di accesso rilasciate ai medici erano uguali per tutti, indipendentemente dalla specialità del medico. Questa situazione è considerata in piena violazione del principio di protezione per impostazione predefinita, anche chiamato principio del “need to know”, previsto dall’articolo 25 del Regolamento;
5. Gli utenti autorizzati sotto il profilo “medico” erano 985, ma l’esame dell’organigramma dell’ospedale indica soltanto 296 medici;
6. I profili di accesso per medici, che non operavano più all’interno della struttura sanitaria, erano ancora attivi;
7. Esistevano 18 profili di accesso non attivi e l’ultimo era stato disattivato nel novembre 2016;
8. Le indagini hanno messo in evidenza che la struttura sanitaria aveva operato con sistematica negligenza, ben al corrente del fatto che stava trattando i dati in modo contrario alla legge.

Assai interessante è anche esaminare il ragionamento che ha portato all’applicazione della sanzione, che ammonta a qualche centinaio di migliaia di euro, a fronte delle violazioni riscontrate.

Nel commisurare la sanzione, la commissione nazionale per la protezione dei dati ha effettuato le seguenti valutazioni:

• è stato ritenuto particolarmente grave il fatto che le categorie di dati coinvolti facessero riferimento a dati particolari;
• la struttura sanitaria si è attivata subito per mitigare i danni potenzialmente subiti dagli interessati coinvolti;
• non vi erano precedenti violazioni riscontrate dalla Commissione;
• la struttura sanitaria ha cooperato in modo costruttivo con la Commissione Nazionale per la protezione dei dati, per mettere sotto controllo le anomalie rilevate;
• le violazioni sono state riscontrate a seguito della pubblicazione di un articolo sul quotidiano locale e non a fronte di un ricorso da parte di un interessato.

La sanzione applicata potrebbe apparire assai modesta, se comparata alla gravità delle violazioni, ma probabilmente ha un doppio valore simbolico, per mettere in guardia altre strutture sulla necessità di effettuare interventi correttivi e mettere in evidenza un’incompatibilità giuridica, esistente in Portogallo, laddove si afferma che un’entità pubblica non possa essere assoggettata a sanzioni da parte di un’altra entità pubblica.