APPROFONDIMENTI

Errate comunicazioni dati sanitari

Il Garante della Privacy ha sanzionato tre strutture sanitarie

01/03/2021

di Avv. Gianluca Marmorato

Il Garante della Privacy ha ribadito con tre recenti provvedimenti sanzionatori del 27 gennaio 2021, comminati nei confronti di tre strutture sanitarie, la delicatezza dei corretti processi di utilizzo dei dati personali riguardanti lo stato di salute dei pazienti e la necessità, in capo ai Titolari dei trattamenti di strutture cliniche, di adottare attente ed adeguate misure tecniche ed organizzative al fine di evitare l’errata e non autorizzata divulgazione delle informazioni riguardanti gli interessati.

Il Regolamento Europeo 2016/679 ha con chiarezza rappresentato come l’elemento patologico relativamente al ciclo di vita dei dati oggetto di trattamento debba essere considerato il Data Breach,  la cui definizione viene indicata all’art. 4.12[1] .

A prescindere dalle tecniche utilizzate e le ragioni scatenanti, massima attenzione viene riversata nei confronti delle manifestazioni di perdita dei dati, ovvero nella loro distruzione non autorizzata, divulgazione ed accesso posto in essere ad opera di soggetti non autorizzati.

Gli analisti sono concordi infatti nel rappresentare come costantemente in aumento sia il numero di casi di Data Breach, fenomeno che determina certamente grande apprensione nei pazienti, ed anche un forte impatto con notevoli ripercussioni economiche e disvalore per i soggetti che subiscono tali atti, siano essi  determinati da errore umano, o attività infedele del personale interno, ovvero da accesso abusivo esterno.

Le recenti Sanzioni elevate dal Garante appaiono particolarmente importanti in ragione del fatto che sia stata posta la massima attenzione al fenomeno della violazione di cui all’art. 5, lettera f) non solo in considerazione di fattispecie relative ad attacchi esterni, violativi di misure di Cybersecurity, ma con particolare rilievo alle errate comunicazioni dei dati sanitari a soggetti diversi dall’interessato.

Nei sopra citati casi analizzati dall’Organo di Controllo, all’esito delle ispezioni effettuate, le tre strutture sanitarie sono state riscontrate inadeguate dal punto di vista delle procedure atte ad evitare la possibili errate divulgazione dei dati personali di natura sanitaria a soggetti terzi.

Nel primo caso, un nosocomio è stato sanzionato per aver inviato a mezzo posta, al paziente sbagliato, una relazione medica contenente informazioni sulla salute e la vita sessuale di un altro soggetto.

Nel secondo caso, un’Azienda ospedaliera ha subito il provvedimento sanzionatorio in ragione della consegna ad alcuni pazienti di cartelle cliniche contenti dati e referti riferibili ad altri soggetti, tra i quali anche un minore.

Il terzo delicato caso attiene alla considerevole sanzione di € 50.000 comminata avverso un’Azienda Sanitaria  Locale, a causa della comunicazione effettuata da un’infermiera ad un familiare di una paziente, circa notizie delicate relative allo stato di gravidanza, nonostante la sua espressa richiesta di astensione da qualsiasi informazione ai congiunti.

I tre episodi hanno posto all’evidenza macroscopici errori umani che hanno determinato la divulgazione dei dati sanitari a soggetti non autorizzati (nel terzo caso, la divulgazione è stata posta in essere nonostante la espressa richiesta di tutela e riservatezza ad opera della paziente), ma hanno anche rappresentato come carenti fossero le misure tecniche ed organizzative volte proprio a ridurre tali possibili errori umani.

Il Garante ha sentito in punto la necessità di evidenziare come le informazioni sullo stato di salute possono essere comunicate a terzi solo sulla base di un presupposto giuridico o su indicazione della persona interessata, previa delega scritta.

Appare evidente come i Titolari che debbano trattare i dati “sensibili” quali quelli relativi alla Salute dei propri pazienti, debbano porre la massima attenzione alla valutazione dei rischi connessi ai trattamenti, in modo da poter realizzare le misure adeguate ed efficaci a limitare e/o evitare le possibili violazioni, implementando in particolar modo strumenti di governance by Design, delineati alla identificazione di modelli organizzativi e di sicurezza, anche attraverso strumenti intelligenti, che possano coadiuvare il personale attraverso analisi degli accessi e dei relativi privilegi.

 

[1]  Personal Data Breach means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed. 

Pubblicazioni

Solamente qualche giorno fa – ordinanza n. 26805 del 12.09.2022 - la Corte di Cassazione è intervenuta per fare ancora una volta chiarezza sulle differenze semantiche e ontologiche esistenti tra il danno biologico, il danno morale e la personalizzazione. Termini polisemici e di frequente mal interpretati.

Nel richiedere la liquidazione del danno non patrimoniale spesso le parti incorrono in confusione nel nominare in modo diverso concetti uguali o nel richiedere più volte uno stesso nocumento indicandolo sotto diverse nomenclature.

Il corretto inquadramento di queste componenti che appartengono ad un unico genus – cioè quello del danno non patrimoniale - è indispensabile al fine di applicare in modo appropriato i criteri per la loro liquidazione, anche in virtù delle modifiche di recente apportate dall’Osservatorio di Milano alle tabelle meneghine.

Una prima precisazione va fatta con riferimento al danno biologico che i più fanno coincidere con il danno alla salute.

In realtà, come ben chiarito dalla Suprema Corte nella sentenza n. 7513 del 2018, il danno alla salute non va considerato, e in questo senso è d’accordo anche la medicina legale italiana, come nocumento fisico in re ipsa ma piuttosto quale compromissione delle abilità della vittima nello svolgimento di tutte le sue attività quotidiane.

Sotto tale profilo il Dott. Rossetti, relatore della citata pronuncia ricordava che “In questo senso si espresse già quasi vent'anni fa (ma inascoltata) la Società Italiana di Medicina Legale, la quale in esito al Congresso nazionale tenuto nel 2001 definì il danno biologico espresso nella percentuale di invalidità permanente, come "la menomazione (...) all'integrità psico-fisica della persona, comprensiva degli aspetti personali dinamico-relazionali (...), espressa in termini di percentuale della menomazione dell'integrità psicofisica, comprensiva della incidenza sulle attività quotidiane comuni a tutti".”

Pertanto per danno biologico è da intendersi il danno alla salute nei suoi riflessi dinamico relazionali. Prosegue la Cassazione “Non, dunque, che il danno alla salute “comprenda” pregiudizi dinamico-relazionali dovrà dirsi; ma piuttosto che il danno alla salute è un danno “dinamico relazionale”. Se non avesse conseguenzedinamico relazionali”, la lesione della salute non sarebbe nemmeno un danno medico-legalmente apprezzabile e giuridicamente risarcibile.”

Dunque l’incidenza di una menomazione permanente sulle quotidiane attività dinamico-relazionali della vittima non è un danno diverso dal danno biologico ma è proprio ciò che lo compone.

Nell’ambito della lesione della salute e dei suoi profili dinamico-relazionali vi possono essere conseguenze comuni a tutte i soggetti che hanno quel grado di invalidità e conseguenze peculiari che abbiano cioè reso il pregiudizio subito dalla vittima diverso e maggiore rispetto ai casi similari.

Mentre le prime vengono liquidate dietro mera dimostrazione del grado di invalidità, le seconde richiedono la prova concreta ed effettiva del maggior pregiudizio subito onde ottenerne il risarcimento mediante personalizzazione del danno. Ed infatti “In applicazione di tali princìpi, questa Corte ha già stabilito che soltanto in presenza di circostanze "specifiche ed eccezionali", tempestivamente allegate dal danneggiato, le quali rendano il danno concreto più grave, sotto gli aspetti indicati, rispetto alle conseguenze ordinariamente derivanti dai pregiudizi dello stesso grado sofferti da persone della stessa età, è consentito al giudice, con motivazione analitica e non stereotipata, incrementare le somme dovute a titolo risarcitorio in sede di personalizzazione della liquidazione (Sez. 3, Sentenza n. 23778 del 07/11/2014; Sez. 3, Sentenza n. 24471 del 18/11/2014).”

Il danno morale, infine, è costituito invece dai[1] “..pregiudizi che non hanno fondamento medico-legale, perché non aventi base organica ed estranei alla determinazione medico-legale del grado percentuale di invalidità permanente, rappresentati dalla sofferenza interiore (quali, ad esempio, il dolore dell'animo, la vergogna, la disistima di sé, la paura, la disperazione).”

Il danno morale è quindi una categoria autonoma[2] rispetto al danno biologico e si sostanzia nella rappresentazione di uno stato d'animo di sofferenza interiore del tutto autonomo e indipendente dalle vicende dinamico-relazionali della vita del danneggiato e che costituiscono come detto l’essenza del danno biologico.

L’autonomia di questa categoria – e il suo non automatico riconoscimento – si è riverberata nella revisione delle Tabelle di Milano che nella loro versione del 2021 specificano e distinguono nella liquidazione del danno non patrimoniale la componente biologico/relazionale e quella morale.

Nella pronuncia di settimana scorsa la Corte di Cassazione ha quindi chiarito l’operazione che gli operatori del diritto si trovano a dover fare nel momento della liquidazione delle poste risarcitorie e cioè dividere il danno non patrimoniale nelle sue componenti dinamico/relazionale (id est il danno biologico, se del caso personalizzato) e quella morale. Ed infatti “il giudice di merito dovrà:

1) accertare l'esistenza, nel singolo caso di specie, di un eventuale concorso del danno dinamico-relazionale e del danno morale;

2) in caso di positivo accertamento dell'esistenza (anche) di un danno da sofferenza morale, determinare il quantum risarcitorio applicando integralmente le tabelle di Milano, che preved(eva)ono la liquidazione di entrambe le voci di danno, ma pervenivano, per il danno biologico - prima dell'ultima, necessaria modificazione all'indicazione di un valore monetario automaticamente e complessivamente unitario (costituito dalla somma aritmetica di entrambe le voci di danno);

3) in caso di negativo accertamento, e di conseguente esclusione della componente morale del danno, considerare la sola voce del danno biologico (espressamente ed esclusivamente definito dal legislatore, fin dall'anno 2000, come danno dinamico/relazionale), depurata dall'aumento tabellarmente previsto per il danno morale secondo le percentuali ivi indicate, e liquidando, conseguentemente il solo aspetto dinamico-relazionale del danno;

4) in caso di positivo accertamento dei presupposti per la cd. personalizzazione del danno secondo gli stringenti criteri indicati dalla sentenza 7513/2018, procedere all'aumento fino al 30% del valore del solo danno biologico, depurato, analogamente a quanto indicato al precedente punto 3, dalla componente morale, automaticamente (ma erroneamente) inserita in tabella, giusta il disposto normativo di cui al già ricordato art. 138, punto 3, del novellato codice delle assicurazioni.”

4.15   Di conseguenza la personalizzazione del danno:

- andrà riconosciuta solo dietro specifica e concreta dimostrazione “di circostanze "specifiche ed eccezionali", tempestivamente allegate dal danneggiato, le quali rendano il danno concreto più grave, sotto gli aspetti indicati, rispetto alle conseguenze ordinariamente derivanti dai pregiudizi dello stesso grado sofferti da persone della stessa età.”[3]

- se dimostrata, andrà liquidata mediante aumento “fino al 30% del valore del solo danno biologico[4] e non prendendo a riferimento il danno non patrimoniale nella sua unitarietà. 

 

[1] Cass. Civ. sent. n. 7513 del 2018 

[2] Cass. Civ. ordinanza n. 15733 del 17.05.2022

[3] Civile Ord. Sez. 3 Num. 7513 Anno 2018

[4] Cass. civ. Sez. III, Ord., 12.09.2022, n. 26805


Leggi di più

Contattaci

010 5704951

Genova • Milano • Roma

info@boglione.eu

Scrivici