Invio di dati in Paesi extra Ue solo nel rispetto della privacy

Il Garante ha vietato ad una società che fornisce servizi di manutenzione di macchine diagnostiche, l'illecito trattamento di dati personali sulla salute raccolti presso strutture sanitarie italiane e trasferiti su server del Gruppo collocati anche negli Stati Uniti.

Nel corso di accertamenti, svolti anche a seguito di comunicazioni di una azienda ospedaliera, il Garante ha rilevato che nell'ordinaria attività di manutenzione delle macchine diagnostiche veniva effettuata da parte della società un'illecita raccolta, periodica ed automatica, di dati personali sanitari, sia pure indirettamente identificativi dei pazienti (codici alfanumerici, peso, altezza e altre informazioni sugli esami eseguiti), volti ad ottimizzare le prestazioni delle macchine prodotte. Tali informazioni venivano raccolte al di là dei termini contrattuali e inviate anche negli Stati Uniti.

Di conseguenza il Garante privacy ha vietato il trattamento fino a che non saranno adottate le misure di anonimizzazione dei dati previste dal Codice privacy ed ha aperto un autonomo procedimento volto a contestare alla società la sanzione prevista per il trattamento effettuato senza aver informato i pazienti e acquisito il loro consenso.

Per specifici interventi tecnici di manutenzione delle apparecchiature che rendono indispensabile l'accesso da parte della stessa società ai dati dei pazienti, il Garante ha ribadito il rispetto delle garanzie idonee a protezione dei dati: informare tempestivamente la struttura sanitaria di riferimento; documentare le operazioni del trattamento e registrare quelle eseguite in remoto; rafforzare le tecniche di pseudonimizzazione in modo da ridurre il rischio di re-identificazione degli interessati, effettuare il trasferimento all'estero dei dati sanitari di pazienti nel rispetto della normativa.

La società dovrà dare riscontro al Garante delle misure adottate.

NEWSLETTER N. 388 del 30 maggio 2014