Skip to main content

Data Breach "istituzionale" nel Regno Unito ... HSCIC chiede il consenso per nulla ...

Image
By
Un recente provvedimento dell'Information Commissioner's Office (https://ico.org.uk/) ha reso manifesto un timore che da anni serpeggia nel Regno Unito (e non solo) e che è al centro dei confronti tra le associazioni a tutela degli assistiti/pazienti/interessati al trattamento.
Dal documento citato, si rileva che il "Garante" britannico è stato interessato di un'anomalia legata alla possibilità che l'assistito esprima il proprio consenso al trattamento dei dati per finalità ulteriori rispetto a quella di cura ...
In particolare, nel gennaio 2014, il HSCIC ha offerto ai pazienti la possibilità di esercitare lo opt-out, attraverso la "type 2 objection", scegliendo così se negare o meno l'uso delle proprie informazioni confidenziali per "uses other than direct care" ...
Il disservizio alla base dell'incidente è consistito nel non dare corrispondenza tra la scelta proposta al paziente e l'effetto sul trattamento dei dati dello stesso.
In realtà quanto accaduto è da imputarsi a un connubio di questioni tecniche unite a limiti di natura normativa che in alcuni casi hanno consigliato il HSCIC di condividere informazioni ritenendo di avere una legittimazione tale da non assecondare la volontà dell'interessato.
Letteralmente, lo ICO riporta che "HSCIC was not able to collect, record or implement the type 2 objections registered by patients with their GPs" (intendendosi, sostanzialmente, per GPs i MMG).
L'evento ha riguardato circa 700.000 pazienti.
Questo esempio ricorda un po' la raccolta differenziata che viene condotta in alcune città italiane, essa inizia prima che esistano i siti di smaltimento dei rifiuti ... ma questa transizione può andare avanti per anni ... in materia di protezione dei dati questo approccio è inaccettabile ...
In seguito al provvedimento del Segretario di Stato, in materia di salute (Direction to HSCIC del 15 aprile 2016), sono stati creati i presupposti  normativi per assolvere alle richieste di opt-out degli interessati.
Tuttavia lo ICO, contro il menzionato comportamento del HSCIC, ha adottato un provvedimento articolato in 7 punti.
Sostanzialmente, lo ICO chiede a HSCIC di provvedere in un arco di tempo compreso tra i 3 e i 6 mesi (non si tratta di un range ma di adempimenti differenti con tempistiche differenti),  
tempi di attuazione della decisione ICO
a rimediare ai comportamenti posti in essere in violazione del Data Protection Act, attraverso l'adozione di procedure che rendano effettiva l'espressione, da parte del paziente, della "type 2 objection", la segnalazione dell'illiceità del trattamento dei dati dei pazienti raccolti tra il 2014 e il 2016, a coloro ai quali sono stati comunicati, nonchè alla distruzione dei data base viziati dal comportamento illecito.
 
Restiamo alla finestra in attesa di sviluppi ...

Comments

Post a Comment

Popular posts from this blog

IL BEL 'PAESONE' COSTRINGE IL GARANTE A METTERE DEI PALETTI ALL'ATTIVITA' DI INQUIRY SELVAGGIO IN AMBITO BANCARIO

By
Scorrendo il provvedimento del 12 maggio (prescrizioni in materia di circolazione delle informazioni in ambito bancario) e le motivazioni che hanno spinto l’Ufficio del Garante ad adottare un simile provvedimento, sembra di ritornare improvvisamente alla prima metà del secolo. Precisamente, sembra di ritornare a quando le rivelazioni degli adolescenti nel segreto del confessionale venivano riferite ai genitori affinchè adottassero le opportune “contromisure” educative. In una delle occasioni oggetto di reclamo al Garante, un cittadino (provvedimento del 28 maggio 2009) ha lamentato l'illecita comunicazione al proprio padre, di informazioni bancarie a sé riferite da parte della filiale di Intesa SanPaolo. Tale comunicazione sarebbe avvenuta a seguito della convocazione del padre dell’interessato presso l'istituto bancario – per il tramite della polizia municipale del comune di residenza –, il quale, "messo a conoscenza di una grave situazione debitoria in capo al figlio, co...
Post a Comment
continua a leggere

Trattamento dati personali in un'epidemia, indicazioni per i datori di lavoro

By
Quello che segue è un estratto della dichiarazione del CEPD del 19 marzo 2020. Comitato europeo per la protezione dei dati - EDPB Estratto della “Dichiarazione sul trattamento dei dati personali nel contesto dell’epidemia di COVID-19” Adottata il 19 marzo 2020 [...] 1.2 Nel contesto lavorativo , il trattamento dei dati personali può essere necessario per adempiere un obbligo legale al quale è soggetto il datore di lavoro, per esempio in materia di salute e sicurezza sul luogo di lavoro o per il perseguimento di un interesse pubblico come il controllo delle malattie e altre minacce di natura sanitaria. Il RGPD prevede anche deroghe al divieto di trattamento di talune categorie particolari di dati personali, come i dati sanitari, se ciò è necessario per motivi di interesse pubblico rilevante nel settore della sanità pubblica (articolo 9.2, lettera i), sulla base del diritto dell'Unione o nazionale, o laddove vi sia la necessità di proteggere gli interessi vitali del...
Post a Comment
continua a leggere

Guida all’utilizzo sicuro dei Social Media per le aziende del Made in Italy

By
Il 14 marzo 2013 al  Security Summit  di Milano, verrà presentata una pubblicazione che è il frutto del lavoro sinergico del mio Studio e di molti partner Oracle, con il coordinamento prezioso della stessa Oracle attraverso l'opera instancabile di un suo brillante manager. Questo è uno scampolo dell'interessantissimo quaderno: Le norme rilevanti Nel caso in cui un’azienda decida di fare ricorso agli strumenti del Web sociale, dovrà necessariamente tenere nella giusta considerazione alcuni atti normativi per assicurare correttezza e legittimità alla propria presenza sui Social Network. […] Forme di tutela e raccomandazioni legali L’uso dei Social Network è destinato ad incidere su alcuni processi dell’azienda, a prescindere dal fatto che questa abbia o meno intenzione di elaborare e seguire una strategia basata su di essi. Il personale (dirigenti, dipendenti, stagisti e collaboratori in genere) di un’azienda usa, infatti, i Social Network, a prescinde...
Post a Comment
continua a leggere