Garante per la protezione dei dati personali: Ordinanza ingiunzione n. 141 del 9 luglio 2020
Il fatto
Nel provvedimento oggetto di commento, una struttura sanitaria aveva notificato al Garante per la protezione dei dati personali di aver riscontrato un data breach consistito nell’inserimento, all’interno del Fascicolo Sanitario Elettronico (FSE) di un paziente, il referto medico di un altro paziente che aveva lo stesso nome.
La vicenda era emersa alla luce a seguito di una segnalazione, da parte del soggetto interessato, all’URP della struttura sanitaria con cui lo stesso segnalava che di aver effettuato un accesso al proprio FSE e di aver ivi rinvenuto il referto relativo a situazioni cliniche che non erano a lui relative. A seguito di indagini interne da parte della struttura sanitaria, quest’ultima aveva avuto modo di ricostruire l’accaduto: in particolare, qualche mese prima un altro paziente, omonimo del soggetto interessato, si era recato al Pronto Soccorso della struttura sanitaria e lì era stato registrato in modo errato da parte degli operatori, i quali non avevano correttamente indicato la data di nascita del paziente e pertanto lo avevano associato all’altro paziente omonimo. In considerazione dell’omonimia tra i due pazienti e dell’errore di identificazione della data di nascita, poi, il referto relativo al paziente che si era recato al Pronto Soccorso era stato erroneamente inserito all’interno del FSE dell’interessato.
A seguito della notifica della violazione dei dati personali, il Garante per la protezione dei dati personali apriva l’istruttoria nei confronti della struttura sanitaria, invitando quest’ultima a formulare le proprie difese.
La struttura sanitaria evidenziava che il data breach si era verificato a causa di un errore umano da parte dell’operatore del Pronto Soccorso che non aveva correttamente identificato il paziente che aveva effettuato l’accesso al Pronto Soccorso: in particolare, il personale al triage non aveva correttamente recepito la data di nascita del paziente e quindi aveva selezionato il nominativo dell’altro paziente, omonimo. In secondo luogo, la struttura sanitaria rilevava che l’interessato non avesse subito alcuna conseguenza negativa da tale errore, posto che lo stesso quando aveva effettuato l’accesso al proprio FSE aveva soltanto visto un referto relativo a dati clinici che non gli appartenevano, ma nessun soggetto diverso da lui aveva visto i suoi dati sanitari. Né tanto meno lo stesso interessato aveva potuto identificare chi fosse l’altro paziente a cui quel referto (contenuto all’interno del suo FSE) fosse riferito.
Infine, l’Ospedale evidenziava come, venuta a conoscenza dell’errore, aveva immediatamente corretto la situazione, eliminando il referto dal FSE dell’interessato, ed aveva sensibilizzato il proprio personale sull’accaduto e sul corretto trattamento dei dati sanitario nonché effettuato una revisione delle procedure di accettazione dei pazienti al Pronto Soccorso.
In considerazione di ciò, la struttura sanitaria chiedeva l’archiviazione del procedimento nei suoi confronti.
La decisione del Garante
Il Garante per la protezione dei dati personali, pur apprezzando il comportamento tenuto dalla struttura sanitaria per attenuare le conseguenze negative della violazione, ha comunque ritenuto che la condotta dell’Ospedale configurasse comunque una violazione della normativa in materia di protezione dei dati personali e l’ha sanzionata con un semplice ammonimento (ritenendo comunque minore la violazione).
Preliminarmente, l’autorità ha evidenziato che, in ambito sanitario, la disciplina europea e nazionale in materia di protezione dei dati personali stabilisce che le informazioni sullo stato di salute di una persona possano essere comunicate solo all’interessato e possano essere comunicate a soggetti terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso, previa delega scritta di quest’ultimo.
Inoltre, i principi di integrità e riservatezza, previsto dal Regolamento europeo per la protezione dei dati personali (GDPR), stabiliscono che i dati personali devono essere trattati in maniera da garantire un’adeguata sicurezza e devono essere protetti da trattamenti non autorizzati o illeciti e dalla loro perdita, distruzione o danno accidentali, attraverso l’adozione da parte del titolare del trattamento di misure tecniche e organizzative adeguate.
Secondo il Garante, l’ erronea registrazione del paziente che aveva effettuato l’accesso al Pronto Soccorso della struttura sanitaria e il conseguente errato inserimento del referto di quest’ ultimo nel Fascicolo Sanitario Elettronico dell’ altro paziente, costituisce proprio una violazione dei suddetti principi di integrità e riservatezza dei dati, in quanto frutto di una non corretta adozione di idonei strumenti tecnici e organizzativi da parte della struttura sanitaria.
Sancita la violazione dei principi suddetti e ritenuto quindi che il comportamento posto in essere dalla struttura sanitaria configurasse un trattamento illecito di dati personali, ha determinato la sanzione applicabile al caso di specie. A tal proposito, il Garante ha, in primo luogo, valutato che l’episodio oggetto del procedimento è stato l’unico accertato e in generale un episodio isolato, che è derivato da un errore umano non volontario di un operatore del Pronto Soccorso in servizio presso il titolare del trattamento. In secondo luogo, l’Autorità ha altresì preso in considerazione il fatto che la stessa è venuta a conoscenza della violazione proprio grazie alla notifica spontanea del data breach da parte della stessa struttura sanitaria (titolare del trattamento), la quale ultima ha anche informato il paziente interessato di quanto accaduto e ha immediatamente eliminato le conseguenze pregiudizievoli della violazione (attraverso la eliminazione del referto relativo all’altro paziente dal Fascicolo Sanitario Elettronico dell’interessato) ed ha altresì sottoposto a controllo e revisione le procedure di identificazione dei pazienti che accedono al Pronto Soccorso e sviluppato delle iniziative formative volte a sensibilizzare le persone autorizzate al trattamento al rispetto della disciplina in materia di protezione dati personali.
In considerazione di tali valutazioni, quindi, il Garante per la protezione dei dati personali ha ritenuto di qualificare il caso come “violazione minore” e conseguentemente ha ritenuto che fosse sufficiente sanzionare la struttura sanitaria con un semplice ammonimento al rispetto delle disposizioni in tema di protezione dei dati personali.
Volume consigliato
Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali
Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder. Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.
Monica Mandico | 2019 Maggioli Editore
32.00 € 25.60 €
Scrivi un commento
Accedi per poter inserire un commento