La violazione dei dati personali in ambito sanitario: come gestire un data breach

Nel settore sanitario vengono trattate numerose tipologie di dati personali e, soprattutto, dati sanitari, la cui perdita o compromissione può avere conseguenze molto gravi per i pazienti, come ricatti o discriminazioni legate alle patologie. Tali dati sono contenuti in diversi strumenti, tra cui cartelle cliniche cartacee ed elettroniche, sistemi diagnostici, fascicolo sanitario elettronico, servizi di telemedicina e dispositivi medici connessi.

Il GDPR definisce dato personale qualsiasi informazione riferibile a una persona fisica identificata o identificabile, direttamente o indirettamente, attraverso elementi come nome, numero identificativo, indirizzo, identificativi online o caratteristiche fisiche, genetiche, psichiche, economiche o sociali. Il regolamento stabilisce inoltre principi fondamentali per il trattamento dei dati: liceità, correttezza e trasparenza; limitazione delle finalità; minimizzazione; esattezza; limitazione della conservazione; integrità e riservatezza.

Il trattamento dei dati è lecito solo se ricorre almeno una base giuridica, come il consenso dell’interessato, l’adempimento di obblighi legali, la tutela di interessi vitali o lo svolgimento di compiti di interesse pubblico. Il GDPR individua anche categorie particolari di dati personali, tra cui quelli relativi alla salute, ai dati genetici e biometrici, alle opinioni politiche e alla vita sessuale, il cui trattamento è generalmente vietato, salvo specifiche eccezioni previste dalla normativa, soprattutto in ambito sanitario, di ricerca, di interesse pubblico o di tutela giudiziaria.

In questa guida troverai:

Il dato personale e il dato sanitario: come e perché proteggerli

La sicurezza dei dati personali e sanitari

Il data breach: che cos’è

Cosa fare in caso di data breach sanitario

La notifica del data breach agli interessati

10 suggerimenti utili per evitare di essere coinvolti in un data breach

Le sanzioni