Data breach “istituzionale” nel Regno Unito … HSCIC chiede il consenso per nulla …

di | 21 February 2017
0 commenti

Un recente provvedimento dell’Information Commissioner’s Office (https://ico.org.uk/) ha reso manifesto un timore che da anni serpeggia nel Regno Unito (e non solo) e che è al centro dei confronti tra le associazioni a tutela degli assistiti/pazienti/interessati al trattamento.

Dal documento citato, si rileva che il “Garante” britannico è stato interessato di un’anomalia legata alla possibilità che l’assistito esprima il proprio consenso al trattamento dei dati per finalità ulteriori rispetto a quella di cura …

In particolare, nel gennaio 2014, il HSCIC ha offerto ai pazienti la possibilità di esercitare lo opt-out, attraverso la “type 2 objection”, scegliendo così se negare o meno l’uso delle proprie informazioni confidenziali per “uses other than direct care” …

Il disservizio alla base dell’incidente è consistito nel non dare corrispondenza tra la scelta proposta al paziente e l’effetto sul trattamento dei dati dello stesso.

In realtà quanto accaduto è da imputarsi a un connubio di questioni tecniche unite a limiti di natura normativa che in alcuni casi hanno consigliato il HSCIC di condividere informazioni ritenendo di avere una legittimazione tale da non assecondare la volontà dell’interessato.

Letteralmente, lo ICO riporta che “HSCIC was not able to collect, record or implement the type 2 objections registered by patients with their GPs” (intendendosi, sostanzialmente, per GPs i MMG).

L’evento ha riguardato circa 700.000 pazienti.

Questo esempio ricorda un po’ la raccolta differenziata che viene condotta in alcune città italiane, essa inizia prima che esistano i siti di smaltimento dei rifiuti … ma questa transizione può andare avanti per anni … in materia di protezione dei dati questo approccio è inaccettabile …

In seguito al provvedimento del Segretario di Stato, in materia di salute (Direction to HSCIC del 15 aprile 2016), sono stati creati i presupposti  normativi per assolvere alle richieste di opt-out degli interessati.

Tuttavia lo ICO, contro il menzionato comportamento del HSCIC, ha adottato un provvedimento articolato in 7 punti.

Sostanzialmente, lo ICO chiede a HSCIC di provvedere in un arco di tempo compreso tra i 3 e i 6 mesi (non si tratta di un range ma di adempimenti differenti con tempistiche differenti),  tempi di attuazione della decisione ICO
a rimediare ai comportamenti posti in essere in violazione del Data Protection Act, attraverso l’adozione di procedure che rendano effettiva l’espressione, da parte del paziente, della “type 2 objection”, la segnalazione dell’illiceità del trattamento dei dati dei pazienti raccolti tra il 2014 e il 2016, a coloro ai quali sono stati comunicati, nonchè alla distruzione dei data base viziati dal comportamento illecito.
Restiamo alla finestra in attesa di sviluppi …
Categoria: Violazione dei dati Impatti Rischi e Misure Legal framework

Informazioni su riccardo.abeti

Partner in EXP legal - Professional Association, operates mainly in the areas of Information and Communication Technology law, Data Protection and Corporate Criminal Responsibility. For over 15 years provides legal and organizational assistance, writing decrees for public administrations, contracts, guidelines, policies and procedures, providing advices, conducting impact assessments, designes systems of information flow management (optimization of existing processes, implementation of new processes and procedures) and providing teaching activities in areas in which is specialized. He has managed and still manages project teams and human resources using own proven project management skills. It is often involved in public consultations, in order to make a contribution to the many issues discussed, for example, by the Personal Data Protection Authority.

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.