L’Agenzia per la protezione dei dati personali ha inflitto 12 nuove sanzioni amministrative per un importo totale di 270.700 euro per violazioni del Regolamento generale sulla protezione dei dati e della Legge sull’attuazione del Regolamento generale sulla protezione dei dati.

A causa di una serie di violazioni del Regolamento generale sulla protezione dei dati, all’Ospedale Speciale in qualità di responsabile del trattamento dei dati è stata inflitta una multa di 190.000 euro. L’Agenzia ha ricevuto diverse richieste per accertare la violazione del diritto alla protezione dei dati personali a causa della mancata consegna di copie dei dati personali da parte dell’Ospedale speciale della zona di Rijeka, avvenuta a causa della perdita di medici speciali categoria dati anagrafici (dati sanitari) nel luglio 2019. Nell’ambito del procedimento amministrativo, l’Agenzia ha stabilito che l’Ospedale Speciale:

• non ha adottato misure tecniche adeguate per proteggere il sistema informatico radiologico per quanto riguarda i file di immagini, ovvero non ha creato una copia di backup dei dati personali, delle immagini mediche degli esami radiologici, il che è contrario a quanto previsto dall’articolo 32, comma 1, lettera b) del regolamento generale sulla protezione dei dati. È stata proprio la mancata adozione di misure tecniche adeguate a portare alla perdita irreversibile dei dati personali (immagini mediche di esami radiologici) dei pazienti.
• non ha informato l’Agenzia dell’incidente di sicurezza relativo alla perdita di dati personali (immagini mediche di esami radiologici dei pazienti) dal luglio 2019 entro 72 ore dalla conoscenza dell’incidente, il che è contrario alle disposizioni dell’articolo 33, paragrafo 1 della Legge generale Regolamento sulla protezione dei dati.
• non ha concluso un contratto sul trattamento dei dati personali con la società in qualità di responsabile del trattamento dei dati personali, il che è contrario alle disposizioni dell’articolo 28, paragrafo 3 del Regolamento generale sulla protezione dei dati. È stato stabilito che l’Ospedale Speciale, in qualità di responsabile del trattamento, e la società responsabile dell’implementazione e della manutenzione del nuovo sistema, in qualità di responsabile del trattamento, non hanno concluso un contratto relativo al trattamento dei dati personali.
• non ha prescritto adeguatamente i periodi di conservazione dei dati personali derivanti dalle registrazioni di conversazioni telefoniche, il che è contrario a quanto previsto dall’articolo 5, paragrafo 1, lettera e) del Regolamento generale sulla protezione dei dati.
• tratta i dati personali degli intervistati registrando le conversazioni telefoniche tramite un call center senza la base giuridica dell’articolo 6 capoverso 1 dell’ordinanza generale sulla protezione dei dati, cioè non ha dimostrato lo stesso in relazione all’articolo 5 capoverso 2. Nello specifico, lo Speciale L’ospedale non ha saputo nemmeno dare una risposta che costituisca la base giuridica per la registrazione delle conversazioni telefoniche, e in nessuna fase del procedimento ha dimostrato l’esistenza di una base giuridica per tale trattamento di dati personali, nonostante l’Agenzia lo avesse richiesto in sede diverse occasioni.
• nell’instaurare una chiamata al call center, non ha informato gli intervistati sul trattamento dei dati personali utilizzando un linguaggio chiaro e semplice, il che è contrario a quanto previsto dall’articolo 12, paragrafo 1 del Regolamento generale sulla protezione dei dati. Inoltre, l’ospedale non ha fornito agli intervistati tutte le informazioni necessarie sulla raccolta dei loro dati personali attraverso la registrazione delle conversazioni telefoniche secondo le modalità prescritte in conformità con le disposizioni dell’articolo 13, paragrafo 1, lettera c) e paragrafo 2, punti a) e b) del Regolamento Generale sulla Protezione dei Dati. Dall’esame della privacy policy si è accertato che in nessuna parte è indicato che le conversazioni telefoniche dirette al call center vengono registrate.
• non ha incluso il responsabile della protezione dei dati nelle questioni relative alla creazione/perfezionamento della politica sulla privacy e in relazione alla registrazione delle conversazioni telefoniche e alla prescrizione dei periodi di conservazione delle registrazioni delle conversazioni telefoniche, il che è contrario a quanto disposto dall’articolo 38, paragrafo 1 del regolamento generale sulla protezione dei dati.

Nel luglio 2019, infatti, l’Ospedale Speciale ha perso irrimediabilmente un numero imprecisato di dati personali dei suoi pazienti, vale a dire immagini mediche di esami radiologici insieme a dati identificativi di base, e ha affermato nelle sue dichiarazioni all’AZOP di aver appreso solo della perdita di dati nel settembre 2022. dopo che gli imputati si sono rivolti all’Ospedale Speciale chiedendo l’accesso ai propri dati personali (immagini mediche di esami radiologici) sotto forma di copie, mentre nel procedimento era stato accertato il contrario. Nello specifico, nel corso del procedimento, l’Agenzia ha accertato che l’ingegnere capo di radiologia ha scoperto in data 23 luglio 2019 che non era possibile accedere al server del sistema di radiologia, che contiene i file delle immagini dei pazienti, e l’elaboratore ha informato la direzione dell’Ospedale Speciale riguardo a questo. Tuttavia, l’Ospedale Speciale non ha segnalato l’incidente di sicurezza all’Agenzia per la protezione dei dati personali.

Nel corso della procedura è stato accertato che l’Ospedale Speciale non esegue il backup dell’archivio immagini del sistema informativo radiologico a causa, secondo l’ospedale, di una grande quantità di dati, che richiederebbero maggiori risorse e investimenti nel sistema informativo dell’ospedale. L’ospedale speciale non può farsi carico dei costi per la creazione di copie di backup, poiché è obbligato a garantire la sicurezza dei dati sanitari, e l’esistenza di copie di backup non può essere considerata un costo sproporzionato in termini di rischio di perdita di tali dati. È proprio a causa della mancata adozione di misure tecniche di protezione che l’Ospedale Speciale ha un alto grado di responsabilità, perché fare copie di backup è uno dei migliori strumenti preventivi che garantiscono la continua disponibilità e integrità dei dati personali.

L’Agenzia per la protezione dei dati personali non ha ricevuto informazioni che l’Ospedale Speciale abbia intrapreso alcuna azione per correggere le irregolarità osservate.

L’Agenzia ha inoltre inflitto due sanzioni amministrative agli alberghi per un importo totale di 45.000 euro per il trattamento non autorizzato di dati personali effettuato tramite cookie, e nove sanzioni amministrative per un importo totale di 35.700 euro ai responsabili del trattamento per non aver indicato che la struttura (nello specifico i negozi) è sotto sorveglianza video o che il cartello non sia visibile al più tardi quando si entra nel perimetro di registrazione, vale a dire che non contenga tutte le informazioni rilevanti (articolo 27 della legge sull’attuazione del regolamento generale sulla protezione dei dati).

https://azop.hr/izdane-nove-upravne-novcane-kazne-u-ukupnom-iznosu-od-270-700-eura