L’Ufficio per la protezione dei dati personali richiama l’attenzione sui doveri connessi alla segnalazione di violazioni della sicurezza dei dati personali nell’area sanitaria sulla base dei risultati della sua supervisione.
La segnalazione dovrebbe essere effettuata nei casi in cui i dati personali dei pazienti diventano inaccessibili (perdita di disponibilità, crittografia) attaccando il sistema informativo con un programma dannoso o altri attacchi informatici.
Esistono anche casi di inaccessibilità temporanea dei dati personali, quando questi vengono successivamente ripristinati dal backup.
Qualsiasi violazione della sicurezza dei dati personali del responsabile del trattamento deve essere segnalata all’Autorità ai sensi dell’articolo 33 del GDPR. L’unica eccezione è quella in cui è improbabile che la violazione comporti un rischio per i diritti e le libertà delle persone.
Qualsiasi violazione della sicurezza dei dati personali del responsabile del trattamento deve essere segnalata all’Autorità ai sensi dell’articolo 33 del GDPR. L’unica eccezione è quella in cui è improbabile che la violazione comporti un rischio per i diritti e le libertà delle persone.
Le strutture sanitarie elaborano categorie speciali di dati personali ai sensi dell’articolo 9 del GDPR, sempre almeno nella misura dei dati sanitari. Dato lo speciale regime di protezione che il GDPR concede a questi dati e tenendo conto delle conoscenze fino ad oggi, possiamo affermare che la suddetta eccezione – la possibilità di non segnalare un incidente all’Ufficio – non sarà applicabile.
In effetti, nel contesto del funzionamento di una struttura sanitaria, non si può presumere che un incidente che coinvolge dati personali non comporti un rischio per i diritti e le libertà delle persone fisiche. In tale contesto, l’Autorità ricorda che la violazione della sicurezza deve essere segnalata entro 72 ore dal giorno in cui l’amministratore ne è venuto a conoscenza.
Pertanto, anche le conseguenze previste devono essere valutate immediatamente dopo il rilevamento dei dati personali.
Un rapporto sulla violazione della privacy deve includere:
- la natura del caso,
- ove possibile, la categoria e il numero approssimativo di interessati in questione,
- le categorie e la quantità approssimativa di registrazioni dei dati personali in questione,
- nome e dati di contatto del responsabile della protezione dei dati (o altro punto di contatto per ulteriori informazioni),
- Una descrizione delle probabili conseguenze della violazione della privacy
- una descrizione delle misure adottate o proposte dal responsabile del trattamento per far fronte alla violazione dei dati personali, comprese le possibili misure di mitigazione.
Se non è possibile fornire contemporaneamente le informazioni di cui sopra, possono essere fornite all’Autorità gradualmente senza indebito ritardo. Tuttavia, la notifica originale, anche se incompleta, deve essere effettuata entro il termine stabilito. È possibile utilizzare il modulo Dichiarazione sulla privacy del GDPR .
L’Ufficio ricorda inoltre l’obbligo del responsabile del trattamento ai sensi dell’articolo 34 del GDPR di segnalare una violazione della sicurezza dei dati personali agli interessati se è probabile che ciò comporti un rischio elevato per i diritti e le libertà delle persone fisiche.
Tale notifica può anche essere ordinata dall’Ufficio sulla base della propria valutazione del caso.