I provvedimenti adottati negli Stati membri UE allargano le casistiche sulle quali i titolari dei trattamenti anche italiani possono prendere le loro decisioni. L’autorità di controllo svedese ha erogato sanzioni per quasi 3 milioni di euro dopo avere trovato carenze in sette su otto strutture sanitarie nelle quali aveva verificato le valutazioni di rischio e di necessità di trattamento condotte dai titolari prima di assegnare le credenziali di accesso ai sistemi informatici contenenti i dati sulla salute.
In Svezia il Data Patient Act (provvedimento complementare al GDPR) le strutture sanitarie devono condurre un’accurata valutazione sulla necessità di accesso ai dati sanitari da parte del personale e del rischio che tale accesso comporta. Secondo il rapporto dell’autorità svedese, senza questa analisi le strutture sanitarie non sono in grado di assegnare le autorizzazioni corrette alle credenziali di accesso del personale e, di conseguenza, non possono garantire il diritto dei pazienti alla protezione della loro privacy. Su otto strutture ispezionate, sette non avevano condotto l’analisi di rischio e di necessità dei trattamenti evidenziando gravi carenze nell’assegnazione degli accessi ai dati, tali da determinare le sanzioni erogate.
Dopo l’attività ispettiva l’autorità svedese ha pubblicato delle linee guida che sintetizzano le conclusioni relative all’obbligo di conduzione della valutazione dei rischi.
(fonte: Datainspektionen)