Skip to main content

Data Breach "istituzionale" nel Regno Unito ... HSCIC chiede il consenso per nulla ...

Un recente provvedimento dell'Information Commissioner's Office (https://ico.org.uk/) ha reso manifesto un timore che da anni serpeggia nel Regno Unito (e non solo) e che è al centro dei confronti tra le associazioni a tutela degli assistiti/pazienti/interessati al trattamento.
Dal documento citato, si rileva che il "Garante" britannico è stato interessato di un'anomalia legata alla possibilità che l'assistito esprima il proprio consenso al trattamento dei dati per finalità ulteriori rispetto a quella di cura ...
In particolare, nel gennaio 2014, il HSCIC ha offerto ai pazienti la possibilità di esercitare lo opt-out, attraverso la "type 2 objection", scegliendo così se negare o meno l'uso delle proprie informazioni confidenziali per "uses other than direct care" ...
Il disservizio alla base dell'incidente è consistito nel non dare corrispondenza tra la scelta proposta al paziente e l'effetto sul trattamento dei dati dello stesso.
In realtà quanto accaduto è da imputarsi a un connubio di questioni tecniche unite a limiti di natura normativa che in alcuni casi hanno consigliato il HSCIC di condividere informazioni ritenendo di avere una legittimazione tale da non assecondare la volontà dell'interessato.
Letteralmente, lo ICO riporta che "HSCIC was not able to collect, record or implement the type 2 objections registered by patients with their GPs" (intendendosi, sostanzialmente, per GPs i MMG).
L'evento ha riguardato circa 700.000 pazienti.
Questo esempio ricorda un po' la raccolta differenziata che viene condotta in alcune città italiane, essa inizia prima che esistano i siti di smaltimento dei rifiuti ... ma questa transizione può andare avanti per anni ... in materia di protezione dei dati questo approccio è inaccettabile ...
In seguito al provvedimento del Segretario di Stato, in materia di salute (Direction to HSCIC del 15 aprile 2016), sono stati creati i presupposti  normativi per assolvere alle richieste di opt-out degli interessati.
Tuttavia lo ICO, contro il menzionato comportamento del HSCIC, ha adottato un provvedimento articolato in 7 punti.
Sostanzialmente, lo ICO chiede a HSCIC di provvedere in un arco di tempo compreso tra i 3 e i 6 mesi (non si tratta di un range ma di adempimenti differenti con tempistiche differenti),  
tempi di attuazione della decisione ICO
a rimediare ai comportamenti posti in essere in violazione del Data Protection Act, attraverso l'adozione di procedure che rendano effettiva l'espressione, da parte del paziente, della "type 2 objection", la segnalazione dell'illiceità del trattamento dei dati dei pazienti raccolti tra il 2014 e il 2016, a coloro ai quali sono stati comunicati, nonchè alla distruzione dei data base viziati dal comportamento illecito.
 
Restiamo alla finestra in attesa di sviluppi ...

Comments

Popular posts from this blog

Telemarketing, call center e regole disattese

Oggi mi sono imbattuto in questa notizia.

I Call center potranno, se passa questo emendamento, contare su un'ulteriore proroga (si veda il comma 6) del famigerato decreto (poi convertito in legge) che a febbraio 2009 concesse l'uso dei dati personali per attività di teleselling fino al dicembre 2009 introducendo questo articolo:
"1-bis. I dati personali presenti nelle banche dati costituite sulla base di elenchi telefonici pubblici formati prima del 1º agosto 2005, sono lecitamente utilizzabili per fini promozionali sino al 31 dicembre 2009, anche in deroga agli articoli 13 e 23 del decreto legislativo 30 giugno 2003, n. 196, dai soli titolari del trattamento che hanno provveduto a costituire dette banche dati prima del 1º agosto 2005".
Eppure nel marzo del 2009 il Garante, proprio per far fronte a quella cha aveva definito come una “selvaggia aggressione”, aveva promulgato un ulteriore provvedimento sfruttando i poteri riconosciuti alle autorità amministrative indi…

Autorità Amministrative indipendenti e gerarchia delle fonti

Torno, come promesso, a parlare di autorità amministrative indipendenti e, per consecutio logica, delle problematiche relative al valore che può attribuirsi ai pronunciamenti nel contesto della gerarchia delle fonti considerato che le due questioni sono, a mio avviso, facce della stessa medaglia.

In particolare ad essere oggetto di esame è il difficile equilibrio tra Legge e Provvedimenti del Garante Privacy che, da tempo, è oggetto di controversie interpretative. Basti pensare al Provvedimento di natura prescrittiva sugli Amministratori di sistema: perché alcune indicazioni di natura generale diventano obbligatorie, vincolanti e foriere di sanzioni (penali e civili) per il Titolare che ne ometta l’applicazione quando né il vigente Codice Privacy né altre leggi accennano a questa figura (da non confondersi con l’operatore di sistema di cui alla novellata legge sui crimini informatici)?

Per poter dare una risposta vale la pena partire da quanto affermato nel precedente post: l’Autorità …

Disinformazione e informazione ... [Update]

Leggo spesso di catene di S. Antonio lanciate per tutelare situazioni fasulle:
- liberare donne condannate alla lapidazione (con appelli che giungono dopo la grazia oppure dopo l'esecuzione della condanna a morte);
- ottenere organi per bambini senza indicare neanche un gruppo sanguigno ovvero un recapito effettivamente utile (senza contare le restrizioni che impedirebbero il reperimento "open" di organi);
- boicottare questa o quella multinazionale.
Questo post l'ho pensato per invitare chi lo legge, intenzionalmente o per caso, a riscontrare le informazioni per non dare eco immeritata a: truffe, raggiri, campagne demagogiche o fasulle.
Quante volte sentiamo affermazioni su: cibi scaduti, mozzarelle blu, ...
Per aiutare a individuare le fonti che possono supportarci nell'attività di "riscontro", ecco il link della "Direzione generale per l'igiene e la sicurezza degli alimenti e la nutrizione" del Ministero della Salute, sezione "Arc…