Una
asl e un
policlinico sono stati ammoniti dal Garante privacy per due limitate violazioni di sicurezza (data breach) che avevano causato un illecito trattamento di dati sanitari. Gli episodi erano stati portati all’attenzione dell’Autorità dalle stesse strutture che, come prescritto dal Regolamento Ue, avevano regolarmente notificato al Garante la violazione di dati personali che si era verificata a danno di alcuni loro pazienti.
L’ammonimento è uno dei nuovi poteri attribuiti dal Regolamento europeo alle Autorità di protezione dati che consente alle stesse - in presenza di una violazione minore o qualora la sanzione pecuniaria da imporre dovesse costituire un onere sproporzionato per una persona fisica - di rilevare la violazione e annotarla nel registro tenuto dall’Autorità anziché adottare una sanzione pecuniaria. Ciò consente, in caso di recidiva, di tenerne conto ai fini della quantificazione della sanzione.
Nel caso segnalato dalla asl, a un paziente che aveva richiesto la copia cartacea della propria cartella clinica era stata consegnata, per errore, quella di un altro malato, mentre in quello comunicato dal policlinico, un paziente aveva rinvenuto nel proprio Fascicolo sanitario elettronico (Fse) un referto relativo a un’altra persona.
Nel primo episodio il Garante, con il provvedimento del 2 luglio 2020, ha rilevato che si era verificata una indebita comunicazione di dati sulla salute di un paziente a un soggetto terzo ma, considerato che la documentazione, come dichiarato dalla stessa asl, era stata riconsegnata subito all’ospedale, ha qualificato il caso come “violazione minore”, ai sensi del Regolamento Ue.
Il Garante ha quindi ammonito la asl per la violazione della disciplina sulla protezione dei dati personali senza adottare ulteriori provvedimenti, tenuto anche conto del fatto che l’episodio è stato unico e isolato, determinato da un errore umano di imbustamento, e che la asl, appena venuta a conoscenza dell’accaduto, ha adottato correttivi nella procedura di preparazione e consegna delle cartelle cliniche volti a prevenire, in futuro, il ripetersi di simili episodi.
Per quanto riguarda il secondo episodio la violazione di sicurezza segnalata al Garante dal policlinico aveva comportato l’inserimento in un Fse di un referto relativo ad un altro paziente. Anche in questo caso erano state violate le disposizioni in materia di riservatezza relative alla comunicazione a terzi di dati sulla salute della persona. Tuttavia, esaminate le circostanze del fatto concreto, il Garante, con il provvedimento del 9 luglio 2020, ha qualificato anche in questo caso la violazione come “minore”, ritenendo sufficiente ammonire il policlinico. L’episodio infatti, unico e isolato, era stato causato anche stavolta da un errore umano non intenzionale e la struttura sanitaria, oltre ad aver informato l’interessato dell’accaduto, ha adottato accorgimenti organizzativi e iniziative formative volte a sensibilizzare il personale al rispetto delle disposizioni sulla protezione dei dati e delle procedure per la corretta identificazione dei pazienti.
I due episodi, di portata oggettivamente limitata, dimostrano come la sensibilizzazione del personale e la previsione di adeguate misure organizzative rappresentino, al pari delle misure tecniche, elementi essenziali della sicurezza del trattamento.
FONTE GARANTE PRIVACY