Diffusione di dati sanitari durante un corso di formazione per medici

Nello specifico, il genitore ha scoperto che non solo i propri dati personali ma anche le informazioni relative alla salute e alle indagini giudiziarie riguardanti il figlio deceduto (biografia, perizie psichiatriche, anamnesi, medicinali assunti, reati per i quali era indagato) erano stati pubblicati online, tra i documenti di un corso formativo per medici psichiatri. Allora si è rivolto al ‘Garante per la privacy’, che ha appurato che i documenti facevano parte del materiale didattico utilizzato per illustrare ai medici la particolare patologia di cui soffriva il ragazzo. Il materiale - messo a disposizione dei partecipanti tramite un link inviato per email alla fine del corso - risultava inoltre accessibile online da chiunque conoscesse l’‘url’. Nel provvedimento sanzionatorio, comunque, il ‘Garante’, oltre a ribadire che ai dati delle persone decedute continuano ad applicarsi le tutele della normativa sulla privacy, ha affermato che la società avrebbe dovuto mettere in atto misure tecniche, organizzative e di verifica adeguate a garantire in via permanente la riservatezza dei dati trattati. Oltre a verificare l’adeguatezza delle misure di anonimizzazione adottate sui dati personali del genitore e del figlio deceduto, la società avrebbe dovuto, ad esempio, impiegare una procedura di autenticazione informatica per consentire l’accesso alla documentazione soltanto ai medici che avevano frequentato il corso formativo. Il ‘Garante’, pur considerando che il link di accesso alla documentazione è stato prontamente rimosso, ha irrogato alla società una sanzione di 18.000 euro per trattamento illecito di dati personali. (Provvedimento del 16 novembre 2023 del Garante per la protezione dei dati personali)