Errate comunicazioni dati sanitari
Il Garante della Privacy ha sanzionato tre strutture sanitarie
01/03/2021
di Avv. Gianluca MarmoratoIl Garante della Privacy ha ribadito con tre recenti provvedimenti sanzionatori del 27 gennaio 2021, comminati nei confronti di tre strutture sanitarie, la delicatezza dei corretti processi di utilizzo dei dati personali riguardanti lo stato di salute dei pazienti e la necessità, in capo ai Titolari dei trattamenti di strutture cliniche, di adottare attente ed adeguate misure tecniche ed organizzative al fine di evitare l’errata e non autorizzata divulgazione delle informazioni riguardanti gli interessati.
Il Regolamento Europeo 2016/679 ha con chiarezza rappresentato come l’elemento patologico relativamente al ciclo di vita dei dati oggetto di trattamento debba essere considerato il Data Breach, la cui definizione viene indicata all’art. 4.12[1] .
A prescindere dalle tecniche utilizzate e le ragioni scatenanti, massima attenzione viene riversata nei confronti delle manifestazioni di perdita dei dati, ovvero nella loro distruzione non autorizzata, divulgazione ed accesso posto in essere ad opera di soggetti non autorizzati.
Gli analisti sono concordi infatti nel rappresentare come costantemente in aumento sia il numero di casi di Data Breach, fenomeno che determina certamente grande apprensione nei pazienti, ed anche un forte impatto con notevoli ripercussioni economiche e disvalore per i soggetti che subiscono tali atti, siano essi determinati da errore umano, o attività infedele del personale interno, ovvero da accesso abusivo esterno.
Le recenti Sanzioni elevate dal Garante appaiono particolarmente importanti in ragione del fatto che sia stata posta la massima attenzione al fenomeno della violazione di cui all’art. 5, lettera f) non solo in considerazione di fattispecie relative ad attacchi esterni, violativi di misure di Cybersecurity, ma con particolare rilievo alle errate comunicazioni dei dati sanitari a soggetti diversi dall’interessato.
Nei sopra citati casi analizzati dall’Organo di Controllo, all’esito delle ispezioni effettuate, le tre strutture sanitarie sono state riscontrate inadeguate dal punto di vista delle procedure atte ad evitare la possibili errate divulgazione dei dati personali di natura sanitaria a soggetti terzi.
Nel primo caso, un nosocomio è stato sanzionato per aver inviato a mezzo posta, al paziente sbagliato, una relazione medica contenente informazioni sulla salute e la vita sessuale di un altro soggetto.
Nel secondo caso, un’Azienda ospedaliera ha subito il provvedimento sanzionatorio in ragione della consegna ad alcuni pazienti di cartelle cliniche contenti dati e referti riferibili ad altri soggetti, tra i quali anche un minore.
Il terzo delicato caso attiene alla considerevole sanzione di € 50.000 comminata avverso un’Azienda Sanitaria Locale, a causa della comunicazione effettuata da un’infermiera ad un familiare di una paziente, circa notizie delicate relative allo stato di gravidanza, nonostante la sua espressa richiesta di astensione da qualsiasi informazione ai congiunti.
I tre episodi hanno posto all’evidenza macroscopici errori umani che hanno determinato la divulgazione dei dati sanitari a soggetti non autorizzati (nel terzo caso, la divulgazione è stata posta in essere nonostante la espressa richiesta di tutela e riservatezza ad opera della paziente), ma hanno anche rappresentato come carenti fossero le misure tecniche ed organizzative volte proprio a ridurre tali possibili errori umani.
Il Garante ha sentito in punto la necessità di evidenziare come le informazioni sullo stato di salute possono essere comunicate a terzi solo sulla base di un presupposto giuridico o su indicazione della persona interessata, previa delega scritta.
Appare evidente come i Titolari che debbano trattare i dati “sensibili” quali quelli relativi alla Salute dei propri pazienti, debbano porre la massima attenzione alla valutazione dei rischi connessi ai trattamenti, in modo da poter realizzare le misure adeguate ed efficaci a limitare e/o evitare le possibili violazioni, implementando in particolar modo strumenti di governance by Design, delineati alla identificazione di modelli organizzativi e di sicurezza, anche attraverso strumenti intelligenti, che possano coadiuvare il personale attraverso analisi degli accessi e dei relativi privilegi.
[1] Personal Data Breach means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed.