Violazione norme protezione dei dati personali, 200 mila euro di multa a ospedale in Spagna

L'Agenzia spagnola per la protezione dei dati (AEPD) ha sanzionato con una multa di 200.000 euro gli ospedali HM per aver violato le norme sulla protezione dei dati personali, in particolare nella gestione delle cartelle cliniche elettroniche dei pazienti. Il caso è nato dopo la denuncia di un ex dipendente della società controllata, che ha denunciato carenze nel sistema informativo ospedaliero utilizzato da tutti i centri del gruppo. La sanzione si concentra quindi sulle violazioni legate alla sicurezza dei dati personali dei pazienti, una questione critica in ambito sanitario, data la natura sensibile delle informazioni trattate.

Questa violazione è classificata nel Regolamento generale sulla protezione dei dati (GDPR) e si riferisce alla mancanza di misure tecniche e organizzative sufficienti per garantire la sicurezza dei dati personali, come richiesto dall'articolo 32 del Regolamento europeo.

A dare l'avvio al caso era stata una denuncia, presentata il 29 agosto 2022, da un ex dipendente della società, che aveva segnalato una serie di difetti nel software utilizzato dal gruppo ospedaliero per la gestione delle cartelle cliniche dei pazienti, inclusi dati di laboratorio, appuntamenti medici e altri documenti essenziali. La persona che aveva fatto la segnalazione aveva informato i responsabili delle vulnerabilità e della necessità di agire. Questi  avvertimenti non avevano però ricevuto ascolto da parte della società ospedaliera.

Questo sistema non era ospitato nelle strutture dell'HM Hospitales, ma sui server di una società tecnologica esterna, e secondo il denunciante, questa infrastruttura presentava carenze nella protezione dei dati sensibili archiviati e gestiti attraverso tale software, fatto che comportava rischi di rilievo per la sicurezza e la riservatezza delle cartelle cliniche di migliaia di pazienti.

A risultare particolarmente allarmante, secondo la denuncia, era il fatto che il sistema non tracciava in modo adeguato quali utenti avevano avuto accesso ai dati dei pazienti, compromettendo la tracciabilità dell'accesso alle informazioni mediche.  Il segnalante aveva informato il management della società attraverso diverse e-mail, nel 2019 e nel 2022, su tali vulnerabilità e sulla necessità di adottare misure per correggerle, senza però ricevere ascolto. 

La denuncia aveva inoltre evidenziato che il software utilizzato non era una creazione recente, ma era un'evoluzione di un sistema precedente, implementato nei centri HM Hospitales da oltre un decennio. Tuttavia, questa evoluzione tecnologica non è stata accompagnata da controlli e aggiornamenti adeguati in termini di sicurezza informatica, il che ha contribuito all’accumulo di carenze nella protezione dei dati personali.

Le violazioni riscontrate

Il garante spagnolo ha individuato molteplici violazioni delle norme sulla protezione dei dati - In risposta a questa denuncia, l'AEPD aveva emesso una nota il 19 settembre 2022 per condurre un'indagine formale. L'obiettivo di questa indagine era valutare se le carenze segnalate rappresentassero una violazione delle attuali norme sulla protezione dei dati e, in particolare, determinare se l'azienda avesse implementato misure di sicurezza adeguate per proteggere le informazioni mediche dei pazienti, come richiesto dal GDPR.

In questo senso, e con tutte le informazioni raccolte durante l'indagine, l'AEPD ha individuato molteplici violazioni della normativa sulla protezione dei dati, che alla fine hanno portato a una multa di 200.000 euro a HM Hospitales per aver violato l'articolo 32 del GDPR, che ne impone l'attuazione misure tecniche e organizzative adeguate per garantire la sicurezza dei dati personali.