Skip to main content

Data Breach "istituzionale" nel Regno Unito ... HSCIC chiede il consenso per nulla ...

Image
By
Un recente provvedimento dell'Information Commissioner's Office (https://ico.org.uk/) ha reso manifesto un timore che da anni serpeggia nel Regno Unito (e non solo) e che è al centro dei confronti tra le associazioni a tutela degli assistiti/pazienti/interessati al trattamento.
Dal documento citato, si rileva che il "Garante" britannico è stato interessato di un'anomalia legata alla possibilità che l'assistito esprima il proprio consenso al trattamento dei dati per finalità ulteriori rispetto a quella di cura ...
In particolare, nel gennaio 2014, il HSCIC ha offerto ai pazienti la possibilità di esercitare lo opt-out, attraverso la "type 2 objection", scegliendo così se negare o meno l'uso delle proprie informazioni confidenziali per "uses other than direct care" ...
Il disservizio alla base dell'incidente è consistito nel non dare corrispondenza tra la scelta proposta al paziente e l'effetto sul trattamento dei dati dello stesso.
In realtà quanto accaduto è da imputarsi a un connubio di questioni tecniche unite a limiti di natura normativa che in alcuni casi hanno consigliato il HSCIC di condividere informazioni ritenendo di avere una legittimazione tale da non assecondare la volontà dell'interessato.
Letteralmente, lo ICO riporta che "HSCIC was not able to collect, record or implement the type 2 objections registered by patients with their GPs" (intendendosi, sostanzialmente, per GPs i MMG).
L'evento ha riguardato circa 700.000 pazienti.
Questo esempio ricorda un po' la raccolta differenziata che viene condotta in alcune città italiane, essa inizia prima che esistano i siti di smaltimento dei rifiuti ... ma questa transizione può andare avanti per anni ... in materia di protezione dei dati questo approccio è inaccettabile ...
In seguito al provvedimento del Segretario di Stato, in materia di salute (Direction to HSCIC del 15 aprile 2016), sono stati creati i presupposti  normativi per assolvere alle richieste di opt-out degli interessati.
Tuttavia lo ICO, contro il menzionato comportamento del HSCIC, ha adottato un provvedimento articolato in 7 punti.
Sostanzialmente, lo ICO chiede a HSCIC di provvedere in un arco di tempo compreso tra i 3 e i 6 mesi (non si tratta di un range ma di adempimenti differenti con tempistiche differenti),  
tempi di attuazione della decisione ICO
a rimediare ai comportamenti posti in essere in violazione del Data Protection Act, attraverso l'adozione di procedure che rendano effettiva l'espressione, da parte del paziente, della "type 2 objection", la segnalazione dell'illiceità del trattamento dei dati dei pazienti raccolti tra il 2014 e il 2016, a coloro ai quali sono stati comunicati, nonchè alla distruzione dei data base viziati dal comportamento illecito.
 
Restiamo alla finestra in attesa di sviluppi ...

Comments

Post a Comment

Popular posts from this blog

Sicurezza biometrica e legge: istruzioni per l'uso

By
Nel tempo si susseguono e si inseguono molte mode, alcune parole chiave e alcuni concetti che sono considerati sinonimo di novità, di miglioramento, di incremento della sicurezza. Tra questi concetti alberga a buon diritto anche la biometria. Oggi un lettore biometrico è sinonimo di maggior sicurezza, di avvenirismo e progresso. Come sempre, occorre capire  qual è l'oggetto della tutela  a cui presidio poniamo un sistema biometrico e sulla base della risposta a questa domanda, pensare se effettivamente la biometria rappresenti una soluzione e a quali condizioni. Molte realtà, non solo in ambito privato ma anche pubblico, stanno valutando la possibilità di adottare soluzioni di tipo biometrico. Cosa occorre fare per realizzare un sistema che sia efficiente (ovvero che consenta di perseguire le finalità per le quali i dati sono stati raccolti), ma anche necessario (ossia non mero frutto di suggestioni ma il risultato di un'adeguata ponderazione)? read more  on...
Post a Comment
continua a leggere

Peppermint 2 ... Logistep SA raccoglie, segretamente, gli IP degli user delle reti p2p

By
Il caso è nato dal fatto che, su incarico di alcune case discografiche (e non solo) Logistep SA ha iniziato ad acquisire, nell'ambito delle reti p2p, gli indirizzi IP degli user coinvolti nell'attività di file sharing . In seguito alla raccolta di queste informazioni venivano avviati procedimenti penali finalizzati alla conoscenza degli estremi identificativi degli user stessi (in virtù del diritto alla consultazione degli atti) e alla conseguente richiesta di risarcimento in ambito civilistico. Conseguendone l'elusione del segreto delle comunicazioni, applicabile senza eccezioni nel diritto privato, e che può essere sciolto soltanto nell'ambito di un procedimento penale. L'IFPDT (l'Autorità per la protezione dei dati nella Confederazione Elvetica) giudicando questa pratica abusiva, in particolare perché l'utente interessato non è a conoscenza del trattamento di dati personali, come invece esige la legge sulla protezione dei dati, chiede in una raccomandazi...
Post a Comment
continua a leggere

Tizen anti-Android e anti-iOS? IPOTESI PRATICABILE

By
Da tempo si parla del sistema operativo Tizen. Sembrebbe la risposta di Samsung allo strapotere dei due sistemi operativi più diffusi: iOS e Android. Tuttavia a molti sembra particolarmente azzardato che Samsung, ora che ha raggiunto una sostanziale leadership nel settore del mobile, faccia un tale salto nel buio. In realtà il "salto" è più teorico che reale. Infatti esistono degli ingredienti che fanno di questa scelta una scelta possibile e, per certi versi, consigliabile. Proviamo ad individuare questi elementi: fattore Nexus - Samsung non può accettare ancora a lungo che i device marchiati nexus ricevano con netto anticipo le novità del SO targato Google; fattore Apps - a fronte dell'indubbio vantaggio dell'adottare un sistema operativo con un, ormai, enorme mercato di apps, esiste la constatazione che poche di esse sono "fondamentali", per cui creare un nuovo mercato di apps, difficilmente comporterà la perdità di una grossa fetta di...
2 comments
continua a leggere