Polonia, sanzione da 7.800 euro a centro medico per carenze nella protezione dei dati

Il Presidente dell’Ufficio per la protezione dei dati personali in Polonia ha imposto una sanzione amministrativa di 7.800 euro a un centro sanitario privato di Pyskowice per non aver adottato adeguate misure di sicurezza nella gestione dei dati dei pazienti. La decisione, datata 4 luglio 2025, si fonda sulla violazione degli articoli 24, 25 e 32 del Regolamento generale sulla protezione dei dati (GDPR).

Il caso trae origine dal furto dell’auto di un medico durante una visita domiciliare, all’interno della quale erano custoditi senza protezioni i dati di otto pazienti, comprendenti informazioni anagrafiche, codici identificativi personali (PESEL) e dati sanitari. L’incidente ha fatto emergere gravi lacune nelle procedure del centro medico, che non aveva previsto né un’analisi dei rischi completa né misure specifiche per la gestione dei documenti cartacei al di fuori della struttura.

Già nel 2017 l’amministratore della sicurezza informatica aveva segnalato i rischi connessi al trasporto dei fascicoli medici in auto privata, raccomandando che venissero riportati in sede lo stesso giorno e non lasciati incustoditi. Nonostante questi avvertimenti, le procedure interne si limitavano a indicazioni generiche e non tenevano conto delle situazioni di trattamento al di fuori della sede del titolare. Solo dopo il furto, il centro ha aggiornato le proprie politiche di sicurezza, introdotto regole specifiche per il trasporto dei documenti e avviato una formazione adeguata del personale.

Secondo l’Autorità di controllo polacca, tali omissioni hanno comportato una violazione dei principi di responsabilità del titolare del trattamento, della protezione dei dati fin dalla progettazione e per impostazione predefinita, nonché delle misure minime di sicurezza richieste dal GDPR.

Approfondimenti:

• National press release: Data protection risk analysis must address different situations (EN)
• National decision in Polish