Il Garante per la Privacy ha sanzionato a 20 mila euro una ASL per diffusione di dati sanitari di un paziente.

di Pietro Cusati detto Pierino

Chiunque subisce un danno, materiale o immateriale, a seguito di un trattamento di dati non conforme alle leggi, ha il diritto di ottenere il risarcimento del danno subito.L’art. 82 del GDPR stabilisce il diritto per il danneggiato  ad ottenere il risarcimento del danno. I soggetti tenuti al risarcimento sono sia il titolare che il responsabile del trattamento. Il titolare risponde per il danno causato dal trattamento in violazione del regolamento, mentre il responsabile risponde del danno causato dal non corretto adempimento dei suoi obblighi specifici, o se ha agito in modo difforme rispetto alla istruzioni del titolare. Un paziente viene a conoscenza da una chat che il proprio nome e cognome erano identificabili in un cartellone pubblicitario del pronto soccorso raffigurante un operatore sanitario al pc. È accaduto al paziente di una Asl che dopo la “scoperta” ha presentato un reclamo al Garante privacy per tutelare i propri diritti.L’Autorità Garante  nel frattempo aveva ricevuto anche la notifica di data breach dalla Asl in qualità di titolare del trattamento a causa della diffusione dei dati del paziente, ha accertato che il cartellone raffigurava effettivamente un operatore sanitario seduto davanti allo schermo del pc sul quale era visibile una scheda di pronto soccorso con i dati anagrafici del paziente associati alla prestazione sanitaria ricevuta. Il cartellone  era posizionato nel corridoio principale di ingresso del pronto soccorso, consentendo a chiunque di venire a conoscenza di queste informazioni. Alla richiesta di spiegazioni del Garante, l’Azienda sanitaria ha affermato che la pubblicazione dei dati era stata causata da mera disattenzione e che il cartellone era rimasto affisso per poche settimane. L’Autorità, nel ricordare che è vietata la diffusione di qualsiasi informazione da cui si possa desumere lo stato di salute, ha applicato alla Asl una sanzione  di 20 mila euro per trattamento illecito di dati personali.