Skip to main content

Data Breach "istituzionale" nel Regno Unito ... HSCIC chiede il consenso per nulla ...

Un recente provvedimento dell'Information Commissioner's Office (https://ico.org.uk/) ha reso manifesto un timore che da anni serpeggia nel Regno Unito (e non solo) e che è al centro dei confronti tra le associazioni a tutela degli assistiti/pazienti/interessati al trattamento.
Dal documento citato, si rileva che il "Garante" britannico è stato interessato di un'anomalia legata alla possibilità che l'assistito esprima il proprio consenso al trattamento dei dati per finalità ulteriori rispetto a quella di cura ...
In particolare, nel gennaio 2014, il HSCIC ha offerto ai pazienti la possibilità di esercitare lo opt-out, attraverso la "type 2 objection", scegliendo così se negare o meno l'uso delle proprie informazioni confidenziali per "uses other than direct care" ...
Il disservizio alla base dell'incidente è consistito nel non dare corrispondenza tra la scelta proposta al paziente e l'effetto sul trattamento dei dati dello stesso.
In realtà quanto accaduto è da imputarsi a un connubio di questioni tecniche unite a limiti di natura normativa che in alcuni casi hanno consigliato il HSCIC di condividere informazioni ritenendo di avere una legittimazione tale da non assecondare la volontà dell'interessato.
Letteralmente, lo ICO riporta che "HSCIC was not able to collect, record or implement the type 2 objections registered by patients with their GPs" (intendendosi, sostanzialmente, per GPs i MMG).
L'evento ha riguardato circa 700.000 pazienti.
Questo esempio ricorda un po' la raccolta differenziata che viene condotta in alcune città italiane, essa inizia prima che esistano i siti di smaltimento dei rifiuti ... ma questa transizione può andare avanti per anni ... in materia di protezione dei dati questo approccio è inaccettabile ...
In seguito al provvedimento del Segretario di Stato, in materia di salute (Direction to HSCIC del 15 aprile 2016), sono stati creati i presupposti  normativi per assolvere alle richieste di opt-out degli interessati.
Tuttavia lo ICO, contro il menzionato comportamento del HSCIC, ha adottato un provvedimento articolato in 7 punti.
Sostanzialmente, lo ICO chiede a HSCIC di provvedere in un arco di tempo compreso tra i 3 e i 6 mesi (non si tratta di un range ma di adempimenti differenti con tempistiche differenti),  
tempi di attuazione della decisione ICO
a rimediare ai comportamenti posti in essere in violazione del Data Protection Act, attraverso l'adozione di procedure che rendano effettiva l'espressione, da parte del paziente, della "type 2 objection", la segnalazione dell'illiceità del trattamento dei dati dei pazienti raccolti tra il 2014 e il 2016, a coloro ai quali sono stati comunicati, nonchè alla distruzione dei data base viziati dal comportamento illecito.
 
Restiamo alla finestra in attesa di sviluppi ...

Comments

Popular posts from this blog

Peppermint 2 ... Logistep SA raccoglie, segretamente, gli IP degli user delle reti p2p

Il caso è nato dal fatto che, su incarico di alcune case discografiche (e non solo) Logistep SA ha iniziato ad acquisire, nell'ambito delle reti p2p, gli indirizzi IP degli user coinvolti nell'attività di file sharing . In seguito alla raccolta di queste informazioni venivano avviati procedimenti penali finalizzati alla conoscenza degli estremi identificativi degli user stessi (in virtù del diritto alla consultazione degli atti) e alla conseguente richiesta di risarcimento in ambito civilistico. Conseguendone l'elusione del segreto delle comunicazioni, applicabile senza eccezioni nel diritto privato, e che può essere sciolto soltanto nell'ambito di un procedimento penale. L'IFPDT (l'Autorità per la protezione dei dati nella Confederazione Elvetica) giudicando questa pratica abusiva, in particolare perché l'utente interessato non è a conoscenza del trattamento di dati personali, come invece esige la legge sulla protezione dei dati, chiede in una raccomandazi...

China data protection framework evolution

Il 1 giugno 2012 il MIIT (Ministro dell'Industria e dell'Information Technology) ha evidenziato l'adozione di un aggiornamento normativo, attualmente sottoposto a pubblica consultazione (in scadenza il 6 luglio 2012), che attiene la  raccolta e l'alterazione delle informazioni personali degli utenti. In esso  viene dato un giro di vite ad alcuni abusi perpetrati da parte dei produttori di telefonini (o comunque di mobile device) e degli Online Content Providers. Il provvedimento parte dalla constatazione che, accanto alla crescente diffusione di mobile device, è invalsa l'abusiva attività di commercio delle informazioni che riguardano l'utente finale, abbinata alla pre-installazione (già dalla "fabbrica") di "malware designed to siphon the users' mobile phone balance overtime". L'emendamento proibisce ai destinatari (manufacturer e OCP) di pre-installare ovvero fornire altrimenti agli utenti, qualsiasi applicazione che: - c...

Fascicolo sanitario elettronico ... aka EHR

Il 22 maggio u.s. il Garante per la protezione dei dati personali ha pubblicato il Parere sul decreto del Presidente del Consiglio dei ministri in materia di fascicolo sanitario elettronico (di seguito, anche, DPCM sul FSE). Dopo un lunghissimo lavoro di confronto tra le parti coinvolte, in relazione alle esigenze reali ma anche ai principi a tutela dei dati personali, dopo molte riunioni che hanno visto i soggetti citati nel provvedimento confrontarsi costruttivamente (presumiamo), il tanto agognato DPCM sul Fascicolo sanitario elettronico ottiene il "parere favorevole" da parte dell'Autorità Garante, ormai, nessun altro elemento (se non quelli formali necessari all'adozione del DPCM) lo dovrebbe separare da una tempestiva pubblicazione. Di certo non sono mancate la scaramucce ai piani alti, al punto da vedere "soppressa" in fase di conversione del decreto 179, e questa al Garante non è proprio andata giù, la frase che, in origine, escludeva dal ...