L’Autorità Garante per la protezione dei dati personali ha concluso, nel mese di gennaio 2025, un’istruttoria presso l’operatore Medstar SRL e ha riscontrato una violazione delle disposizioni di cui all’art. 32, 33 e 34 del Regolamento (UE) 2016/679 (GDPR).

Pertanto, l’operatore è stato sanzionato con:

• multa di 9.946,2 Lei (equivalenti a 2.000 Euro) per la violazione delle disposizioni di cui all’art. 32 del Regolamento (UE) 2016/679.
• diffida per violazione delle disposizioni di cui all’art. 33 e l’art. 34 del Regolamento (UE) 2016/679.

L’indagine è stata avviata in seguito alla denuncia di un interessato, il quale sosteneva che l’operatore presso il quale si era sottoposto ai suoi esami medici, la clinica Medstar, aveva divulgato i suoi dati personali e quelli di un altro interessato.  

Nel corso delle indagini è emerso che l’operatore ha comunicato i dati sanitari del ricorrente a un’altra persona (paziente) e che i dati sanitari di un altro paziente sono stati trasmessi al ricorrente, in modo errato e non sicuro, tramite posta elettronica.

Questa situazione ha portato alla divulgazione non autorizzata di dati personali e particolari appartenenti a diversi interessati, quali: nome, cognome, codice identificativo personale, età, sesso, località, numero di cellulare, indirizzi e-mail, dati medici tratti dalla storia clinica del paziente, tipo di esami eseguiti, nome del medico che ha formulato la raccomandazione e sua specializzazione, nome del medico che ha eseguito gli esami e sua specializzazione, risultati degli esami, raccomandazione medica, nome del pagatore, trattamento prescritto.

È stato inoltre riscontrato che il gestore non ha adottato misure di sicurezza tecniche e organizzative sufficienti ai sensi dell’art. 32 del GDPR, adattato alla natura dei dati personali trattati, che ha comportato la divulgazione non autorizzata dei dati personali di alcuni interessati.

Pertanto, il gestore Medstar SRL è stato sanzionato per violazione delle disposizioni dell’art. 32 del Regolamento (UE) 2016/679.

Allo stesso tempo, poiché il gestore non ha notificato la violazione della sicurezza dei dati all’Autorità nazionale di controllo per il trattamento dei dati personali né ha informato gli interessati della divulgazione non autorizzata dei loro dati personali, gli sono stati notificati due diffide, per violazione delle disposizioni di cui all’art. 33 e l’art. 34 del Regolamento (UE) 2016/679.

Allo stesso tempo, all’operatore è stato anche ordinato di adottare le seguenti  misure correttive :

• garantire la conformità al GDPR delle operazioni di trattamento dei dati personali, attuando misure di sicurezza tecniche e organizzative adeguate alle specificità del trattamento e ai rischi individuati, durante tutto il ciclo di trattamento dei dati, in particolare in termini di verifica dell’esattezza dei dati personali trattati, stabilendo regole appropriate relative alla gestione dei file che possono essere trasmessi tramite mezzi di comunicazione elettronici (a distanza), formando le persone che trattano i dati sotto l’autorità del gestore, verificando regolarmente il rispetto delle istruzioni loro inviate, automatizzando determinati processi per ridurre i rischi di trattamento illecito o non autorizzato dei dati personali;
• garantire la conformità al GDPR delle operazioni di trattamento dei dati personali, adottando misure interne necessarie per la rapida individuazione, gestione e segnalazione delle violazioni della sicurezza dei dati personali, indipendentemente dal fatto che richiedano o meno la notifica all’autorità di controllo e/o agli interessati, nonché una formazione adeguata e regolare delle persone che trattano i dati sotto l’autorità del titolare del trattamento, in tale contesto;
• informare i soggetti cui sono stati comunicati i dati personali della violazione della sicurezza dei dati, portando alla loro attenzione le informazioni previste dall’art. 34 del GDPR;
• per garantire la conformità al GDPR delle operazioni di trattamento dei dati personali, richiedendo ai soggetti cui i dati sono stati comunicati (interessati) di non utilizzare e di cancellare i dati personali di terzi a loro comunicati in modo non autorizzato.

https://www.dataprotection.ro/index.jsp?page=Comunicat_Presa_20_02_2025&lang=ro