Privacy in studio durante le ferie: gli obblighi per medici e farmacie

Privacy in studio durante le ferie: gli obblighi per medici e farmacie

Durante le ferie, studi medici e farmacie possono lavorare con personale ridotto, sostituti e una diversa distribuzione delle mansioni. Questi cambiamenti aumentano il rischio di password condivise, accessi non autorizzati, documenti lasciati incustoditi o dispositivi aziendali utilizzati da più persone. I dati relativi alla salute rientrano nelle categorie particolari di dati personali previste dall’articolo 9 del Regolamento UE 2016/679, il GDPR. Il titolare deve rispettare i principi di integrità e riservatezza stabiliti dall’articolo 5, paragrafo 1, lettera f), e adottare, ai sensi dell’articolo 32, misure tecniche e organizzative adeguate al rischio. L’obbligo comprende la protezione degli archivi, la continuità dei sistemi, il backup e la possibilità di ripristinare tempestivamente l’accesso ai dati in caso di incidente.

Credenziali personali e istruzioni al sostituto

Il sostituto non deve utilizzare le credenziali personali del professionista assente. Ogni utente deve disporre di un account individuale, associato alle mansioni svolte e limitato alle informazioni necessarie. Lo impongono il principio di minimizzazione dell’articolo 5, paragrafo 1, lettera c), la protezione dei dati per impostazione predefinita prevista dall’articolo 25 e l’articolo 29 del GDPR, secondo cui chi opera sotto l’autorità del titolare può trattare i dati soltanto seguendo le sue istruzioni. Il Garante, con l’ordinanza-ingiunzione n. 261 del 3 maggio 2018, ha sanzionato un medico che aveva consentito al sostituto di utilizzare le proprie credenziali per accedere al sistema telematico e trasmettere certificati. Il provvedimento ha rilevato che la condivisione delle credenziali impediva di attribuire con certezza le operazioni al loro effettivo autore e sottraeva al titolare il controllo sull’utilizzo dei dati.

Controlli, responsabilità e possibili conseguenze

Prima delle ferie occorre quindi creare credenziali dedicate, definire per iscritto le operazioni consentite, limitare gli accessi, proteggere gli archivi cartacei e verificare backup e registri delle attività. Al termine della sostituzione, gli account temporanei devono essere revocati o sospesi. Il titolare non può liberarsi automaticamente dalla responsabilità sostenendo che l’errore sia stato commesso da un dipendente o da un collaboratore. La Corte di giustizia dell’Unione europea, nella sentenza dell’11 aprile 2024, ha chiarito che, ai fini dell’articolo 82 del GDPR, non basta attribuire il

danno a una persona che operava sotto l’autorità del titolare: quest’ultimo deve dimostrare che il danno non gli sia imputabile. Le violazioni possono comportare provvedimenti correttivi e sanzioni amministrative ai sensi dell’articolo 83, oltre al risarcimento dei danni materiali o immateriali effettivamente subiti dall’interessato, previsto dall’articolo 82.

Scopri come il team di OKPrivacy può aiutarti a proteggere i tuoi dati e quelli dei tuoi pazienti

Torna al blog