Skip to main content

Data Breach "istituzionale" nel Regno Unito ... HSCIC chiede il consenso per nulla ...

Image
By
Un recente provvedimento dell'Information Commissioner's Office (https://ico.org.uk/) ha reso manifesto un timore che da anni serpeggia nel Regno Unito (e non solo) e che è al centro dei confronti tra le associazioni a tutela degli assistiti/pazienti/interessati al trattamento.
Dal documento citato, si rileva che il "Garante" britannico è stato interessato di un'anomalia legata alla possibilità che l'assistito esprima il proprio consenso al trattamento dei dati per finalità ulteriori rispetto a quella di cura ...
In particolare, nel gennaio 2014, il HSCIC ha offerto ai pazienti la possibilità di esercitare lo opt-out, attraverso la "type 2 objection", scegliendo così se negare o meno l'uso delle proprie informazioni confidenziali per "uses other than direct care" ...
Il disservizio alla base dell'incidente è consistito nel non dare corrispondenza tra la scelta proposta al paziente e l'effetto sul trattamento dei dati dello stesso.
In realtà quanto accaduto è da imputarsi a un connubio di questioni tecniche unite a limiti di natura normativa che in alcuni casi hanno consigliato il HSCIC di condividere informazioni ritenendo di avere una legittimazione tale da non assecondare la volontà dell'interessato.
Letteralmente, lo ICO riporta che "HSCIC was not able to collect, record or implement the type 2 objections registered by patients with their GPs" (intendendosi, sostanzialmente, per GPs i MMG).
L'evento ha riguardato circa 700.000 pazienti.
Questo esempio ricorda un po' la raccolta differenziata che viene condotta in alcune città italiane, essa inizia prima che esistano i siti di smaltimento dei rifiuti ... ma questa transizione può andare avanti per anni ... in materia di protezione dei dati questo approccio è inaccettabile ...
In seguito al provvedimento del Segretario di Stato, in materia di salute (Direction to HSCIC del 15 aprile 2016), sono stati creati i presupposti  normativi per assolvere alle richieste di opt-out degli interessati.
Tuttavia lo ICO, contro il menzionato comportamento del HSCIC, ha adottato un provvedimento articolato in 7 punti.
Sostanzialmente, lo ICO chiede a HSCIC di provvedere in un arco di tempo compreso tra i 3 e i 6 mesi (non si tratta di un range ma di adempimenti differenti con tempistiche differenti),  
tempi di attuazione della decisione ICO
a rimediare ai comportamenti posti in essere in violazione del Data Protection Act, attraverso l'adozione di procedure che rendano effettiva l'espressione, da parte del paziente, della "type 2 objection", la segnalazione dell'illiceità del trattamento dei dati dei pazienti raccolti tra il 2014 e il 2016, a coloro ai quali sono stati comunicati, nonchè alla distruzione dei data base viziati dal comportamento illecito.
 
Restiamo alla finestra in attesa di sviluppi ...

Comments

Post a Comment

Popular posts from this blog

Il provvedimento sugli amministratori di sistema - testo "vigente"

By
Di seguito le parti del provvedimento che hanno subito modifiche. Legenda: - in rosso barrato le parti sostituite o eliminate; - in verde le parti aggiunte; - in blu le note e le parti "illustrative". Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema - 27 novembre 2008 (G.U. n. 300 del 24 dicembre 2008)
1 comment
continua a leggere

La tirannia del titolare del trattamento

By
Con il Regolamento UE 2016/679 (“GDPR”) è stata introdotta una normativa che, in realtà, semplifica molti aspetti nel settore, ma che una parte consistente – e non necessariamente autorevole – di coloro che hanno esposizione sui media e sui social, ha voluto battezzare come pietra miliare della privacy, presentandola, peraltro, come contorta e pericolosa in termini sanzionatori. Molti dei tratti caratteristici del GDPR riguardano il metodo; quando, nel corso di una delle mie lezioni,  illustro il Regolamento, sono solito disegnare una linea, sulla quale, ad un dato punto, traccio una tacca: ciò, per spiegare che il GDPR, rispetto alla direttiva e alle relative norme attuative, sposta in avanti il momento del controllo (la tacca, appunto), comunicando a chi lo deve applicare: “implementa la sicurezza dei dati come ritieni opportuno, poi l’Autorità o l’interessato condurranno i propri controlli o eserciteranno i propri diritti”. Ai fini del GDPR non è rilevante se la tua pass
Post a Comment
continua a leggere

CODICE DI AUTOREGOLAMENTAZIONE IN MATERIA DI RAPPRESENTAZIONE DI VICENDE GIUDIZIARIE NELLE TRASMISSIONI RADIOTELEVISIVE

By
Il 21 maggio 2009 è stato adottato il Codice di autoregolamentazione in materia di rappresentazione di vicende giudiziarie nelle trasmissioni radiotelevisive. Di seguito il testo del codice: "Le emittenti radiotelevisive pubblica e private, nazionali e locali e i fornitori di contenuti radiotelevisivi firmatari o aderenti alle associazioni firmatarie, l’Ordine nazionale dei giornalisti, la Federazione nazionale della stampa italiana, d’ora in avanti indicate come parti ADOTTANO il presente Codice di autoregolamentazione di seguito denominato “Codice in materia di rappresentazione delle vicende giudiziarie nelle trasmissioni radiotelevisive”. Articolo 1 1. Le parti, ferma la salvaguardia della libertà e del pluralismo dei mezzi di comunicazione in sé e a garanzia del diritto dei cittadini ad essere tempestivamente e compiutamente informati, e ferma altresì la tutela della libertà individuale di manifestazione del pensiero, che implica quella di ricercare, acquisire, ricevere, comun
1 comment
continua a leggere