Un malade découvre en ligne des données et des photos de son opération chirurgicale

Une attention particulière doit être accordée à la publication ou à la diffusion scientifique des essais cliniques, en s’assurant que le patient a été préalablement informé, a donné son consentement et que ses données ont été anonymisées de manière appropriée. C’est ce qu’a rappelé l’Autorité pour la protection des données personnelles en sanctionnant, dans trois mesures différentes, un médecin, une Ausl et une association de médecins chirurgiens impliqués dans la publication en ligne de documents sur la santé d’un patient. Le cas de violation des données personnelles (data Breach) avait été signalé à l’Autorité par une Société sanitaire locale mise en cause par un patient qui, après s’être soigné à la structure, avait trouvé des photos et d’autres informations relatives à sa santé publiées sur le site d’une association médicale. Ces documents étaient également disponibles via des moteurs de recherche communs.

Au cours de l’instruction, il est apparu qu’un médecin, qui avait traité le patient à Ausl, avait téléchargé des documents de l’intéressé des archives informatiques de la Société et les avait ensuite utilisés pour un rapport dans un congrès médical. Il a ensuite utilisé le matériel de présentation pour participer à un concours organisé par une association de chirurgiens. Son travail scientifique avait également été publié sur le net sans aucune forme de brouillage supplémentaire.

Il est en effet apparu que le médecin, bien qu’il ait été autorisé à accéder aux dossiers médicaux à des fins de traitement, n’avait pas demandé au patient le consentement ni la permission à Ausl de l’utiliser pour des informations scientifiques. Le médecin n’avait pas non plus procédé à une anonymisation efficace des données utilisées pour les diapositives et le rapport scientifique ultérieur. Au cours de l’instruction, le médecin avait tenté de justifier la diffusion des dossiers médicaux sur la base du consentement donné à Ausl par le patient, pour le traitement de ses données à des fins d' »enquête épidémiologique et de recherche scientifique ». Dans la mesure, l’Autorité a cependant rappelé que ce consentement spécifique, par ailleurs délivré seulement à l’Entreprise, ne justifie pas en tout cas la divulgation des données médicales, et que le docteur avait traité des données personnelles et des documents cliniques en dehors des finalités de traitement. Pour ces raisons, il a reçu de l’Autorité une sanction de 5.000 euros.

L’association chirurgicale qui avait publié le rapport avec les données de santé sur son site, entre autres sans l’autorisation du médecin lauréat du prix, a reçu une sanction de 2.000 euros.

Dans la troisième mesure, l’Autorité a constaté que la violation des données causée par le médecin avait eu lieu parce que l’organisme de santé n’avait pas pris toutes les mesures techniques et organisationnelles visant à réduire le risque que son personnel autorisé à accéder aux documents cliniques pour finalité de soins, pourrait ensuite les utiliser à d’autres fins.

Toutefois, l’incident a été isolé et géré en temps opportun par la structure de santé qui, entre autres, avait déjà lancé des initiatives visant à réglementer l’utilisation des documents de l’entreprise pour la participation à des conférences et des séminaires, même en encourageant, au niveau régional, l’adoption d’un code de conduite spécifique approuvé par l’Autorité. Ausl n’a donc reçu qu’un avertissement.

SOURCE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELL’ITALIA – GPDP