Indice
>>>Leggi l’Ordinanza ingiunzione n. 263 del 21 luglio 2022<<<
1. I fatti
Una struttura sanitaria aveva notificato al Garante privacy due violazioni dei dati personali che si erano verificate con riferimento ai trattamenti dalla medesima eseguiti.
In particolare, in un primo caso, era stata smarrita parte della cartella clinica di una paziente ricoverata presso la struttura: esattamente era stata smarrita la diaria medica cartacea dove erano state annotate le condizioni cliniche quotidiane e il foglio di consenso all’esecuzione di una procedura diagnostica della paziente. In considerazione di tale smarrimento, la struttura sanitaria non disponeva più di alcuna copia di detta documentazione e la violazione era stata comunicata alla paziente interessata in quanto presentava un rischio elevato per i diritti e le libertà della medesima visti i dati personali e relativi alla salute contenuti nei documenti cartacei smarriti.
In un secondo caso, era stata smarrita la documentazione clinica di un paziente presso un altro reparto della struttura sanitaria al momento in cui la relativa cartella era stata chiusa. La struttura comunicava di non aver altre copie cartacee ma solo parte della documentazione digitale con cui è stato possibile ricostruire solo in parte la cartella smarrita.
Infine, la struttura sanitaria comunicava al Garante di aver sporto denuncia per gli smarrimenti presso i Carabinieri locali e che avrebbe provveduto ad effettuare dei controlli interni all’azienda per promuovere la diffusione del protocollo aziendale di gestione dei documenti nonché a promuovere un nuovo corso di formazione per i dipendenti.
Il Garante per la protezione dei dati personali, ritenendo che la condotta della struttura sanitaria potesse configurare una violazione della normativa in materia di privacy ha quindi aperto un procedimento nei suoi confronti, invitandola a presentare le proprie memorie difensive.
Potrebbero interessarti anche
- Pubblicazione di curriculum senza oscurare i dati: intervento del Garante
- Dati personali sull’incarico ad un avvocato: il Garante interviene
- Il Garante sottolinea il confine tra trasparenza e violazione della privacy
2. La valutazione del Garante
La struttura sanitaria si è difesa sostenendo che il parziale smarrimento della cartella clinica, nel primo caso, e lo smarrimento integrale, nel secondo caso, erano dipesi da un errore umano di carattere colposo, nonostante la struttura avesse adottato un sistema di tracciamento del percorso delle cartelle con tre diversi livelli di controllo. In particolare, una prima verifica della cartella e della presenza della documentazione al suo interno viene fatta dal medico al momento della dimissione del paziente, un secondo controllo viene effettuato dalla segreteria del reparto e infine un terzo controllo viene effettuato dalla direzione medica del presidio. In entrambi i casi, lo smarrimento si è verificato al momento in cui il medico che ha curato le dimissioni dei due pazienti ha effettuato il controllo della documentazione. A propria discolpa, la struttura sanitaria ha evidenziato che la stessa gestisce mediamente oltre 1800 pazienti l’anno e che non si sono mai verificate problematiche di smarrimento della documentazione della cartella clinica.
Il Garante ha ritenuto che le giustificazioni addotte dalla struttura sanitaria non fossero sufficienti per superare i rilievi mossi dal Garante medesimo.
Preliminarmente, l’Autorità di controllo ha ricordato che il trattamento dei dati deve avvenire nel rispetto della normativa in materia di protezione dei dati personali e che i dati relativi alla salute (i quali sono tutte le informazioni che riguardano la salute fisica o mentale di una persona fisica, compresa la prestazione di assistenza sanitaria) richiedono una protezione maggiore in quanto il loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali degli interessati.
Il Regolamento europeo per la protezione dei dati personali (GDPR) stabilisce che i dati personali devono essere trattati in maniera da garantire una adeguata sicurezza dei medesimi, anche attraverso la loro protezione dal rischio di perdita dei medesimi mediante l’uso di misure tecniche e organizzative adeguati. Spetta poi al titolare del trattamento la valutazione circa la adeguatezza delle suddette misure adottate per garantire un livello di sicurezza idoneo rispetto al rischio e alla natura dei dati trattati.
3. La decisione del Garante
In considerazione di quanto sopra, il Garante ha ritenuto che lo smarrimento parziale di una cartella e quello integrale di un’altra cartella clinica da parte della struttura sanitaria configuri una violazione dell’obbligo di sicurezza dei dati che grava sul titolare del trattamento in virtù della normativa in materia di privacy.
Tuttavia, in considerazione del fatto che la struttura sanitaria ha adottato delle ulteriori misure tecniche e organizzative per evitare che accadano in futuro dei fatti analoghi e per diminuire il rischio che vi siano ulteriori errori umani, il Garante ha ritenuto di non applicare alcun provvedimento di tipo prescrittivo o inibitorio nei confronti della struttura.
Invece, il Garante ha comminato nei confronti della struttura una sanzione amministrativa pecuniaria per le violazioni di cui sopra.
Per quanto riguarda la sua quantificazione, il Garante ha valutato diversi aspetti al fine di poter determinare un ammontare proporzionale rispetto al fatto accaduto ma anche che fosse una effettiva sanzione con effetti dissuasivi nei confronti dell’autore dell’illecito. In particolare, il Garante ha valutato il fatto che la Autorità ha avuto conoscenza degli illeciti attraverso la notifica da parte della stessa struttura sanitaria e che non sono invece pervenuti reclami o segnalazioni da parte degli interessati; in secondo luogo, ha valutato il fatto che il trattamento illecito ha riguardato soltanto due interessati e le violazioni sono avvenute in maniera del tutto accidentale, senza che vi sia stato alcun comportamento volontario da parte della struttura sanitaria; infine, ha valutato il fatto che la struttura sanitaria si è tempestivamente attivata per introdurre delle ulteriori misure volte a garantire la sicurezza dei dati trattati e ridurre al minimo il rischio che si verifichino per il futuro degli altri eventi illeciti come quelli oggetto del procedimento. In considerazione di tutti i suddetti elementi, quindi, il Garante ha determinato l’ammontare della sanzione amministrativa pecuniaria nell’importo di €. 3.000.
Volume consigliato
GDPR: ISPEZIONI E SANZIONI DEL GARANTE
L’ebook analizza quelli che sono i compiti e i poteri dell’Autorità di controllo e del Garante italiano per la protezione dei dati personali, trattando dei mezzi di tutela dei diritti dell’interessato, nonché della procedura istruttoria e delle conseguenze delle violazioni accertate, in termini di risarcimento.Particolare attenzione viene data ai poteri ispettivi e di controllo, nonché ai profili sanzionatori.Completa il testo, l’analisi dei Regolamenti 2019 del Garante.
Stefano Comellini | 2020 Maggioli Editore
Scrivi un commento
Accedi per poter inserire un commento