Caso di omonimia e diffusione dati sanitari del paziente. Il Garante ammonisce l’azienda ospedaliera

di Muia' Pier Paolo, Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio
PDF

Analisi del Provvedimento del 2 dicembre 2021 del Garante privacy che ammonisce un’azienda ospedaliera che, per un caso di omonimia, ha erroneamente diffuso i dati di un paziente che aveva fatto accesso al Pronto Soccorso.

Indice:

I fatti

L’Autorità Garante per la protezione dei dati personali riceveva nel mese di ottobre 2020 una notifica di violazione dei dati personali da parte dell’Azienda Ospedaliero Universitaria Integrata di Verona (di seguito Azienda). Quest’ultima inviava la notifica ai sensi dell’art. 33 del GDPR, in base al quale, rientra tra gli obblighi del titolare del trattamento (che nel caso di specie era appunto l’Azienda) la notifica all’Autorità di controllo (ossia il Garante privacy) di ogni violazione della sicurezza dei dati personali che può presentare un rischio per i diritti e le libertà delle persone fisiche.

Infatti, secondo la richiamata disposizione, in caso di verificarsi di data breach, ossia di violazione dei dati personali, tale da compromettere la riservatezza, l’integrità o la disponibilità dei dati personali, il titolare senza ingiustificato ritardo e, ove possibile, entro 72 dal momento in cui ha avuto conoscenza dei fatti, deve notificare la violazione al Garante.

Dunque, in base a quanto previsto dalla normativa come sopra riportata, l’Azienda Ospedaliero Universitaria, attraverso una notifica, comunicava al Garante i fatti accaduti denunciando il verificarsi di una violazione dei dati personali.

In particolare, era accaduto che una paziente, accedendo al proprio dossier sanitario elettronico (DSE), aveva potuto visualizzare il verbale di Pronto Soccorso, con i suoi dati anagrafici, attribuibile ad un’altra paziente che aveva lo stesso nome e cognome. Quest’ultima aveva, quindi, inviato una lettera di diffida e richiesta risarcimento all’Azienda.

Il data breach si era verificato in quanto, all’interno dei sistemi gestionali dell’Azienda, a causa di errori umani, erano stati inseriti i dati della paziente omonima rispetto a quella che aveva fatto accesso al Pronto Soccorso.

Il personale dell’Azienda, venuto a conoscenza della lettera del legale della paziente, si era attivato con lo scopo di capire le problematiche e garantire adeguate soluzioni.


Per avere uno strumento pratico di supporto al Professionista, che affronti e spieghi le attività da compiere per essere in regola con il registro delle attività di trattamento dei dati consigliamo l’Ebook “Come essere in regola con il registro delle attività di trattamento dei dati personali”


L’attività del Garante

Ricevuta la notificazione de parte dell’Azienda, il Garante ha avviato la procedura istruttoria al fine di accertare la violazione ed adottare gli adeguati provvedimenti.

In relazione ai fatti che erano stati comunicati nella notificazione, il garante ha ritenuto che l’Azienda aveva violato alcune disposizioni del Regolamento sui dati personali (GDPR), più precisamente:

  • Ha ritenuto violato il disposto dell’art. 5, par. 1, lett. a) e f) del GDPR in base al quale i dati personali raccolti devono essere trattati in conformità al principio di liceità, correttezza e trasparenza e in conformità al principio di integrità e riservatezza, anche per impedire l’accesso o l’utilizzo non autorizzato dei dati personali;
  • Ha ritenuto violato, inoltre, il disposto dell’ 9 del GDPR il quale formalizza il divieto generale del trattamento dei dati ritenuti “sensibili”, tra i quali vi rientrano i dati riferiti allo stato di salute dell’interessato, fatta eccezioni per i casi previsti dalla stessa norma (fra cui, ad esempio, quelli in cui l’interessato ha prestato il consenso al trattamento);
  • Infine, ha ritenuto violato il disposto dell’ 32 del GDPR in virtù del quale il titolare del trattamento, che nel caso di specie è l’Azienda Ospedaliera, ha l’obbligo di adottare misure tecniche e organizzative adeguate al fine di garantire, ed essere in grado di dimostrare, la conformità del trattamento alle disposizioni contenute nel GDPR, tenendo conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento tesso. Inoltre, dette misure devono essere periodicamente riseminate e aggiornate.

Il Garante inoltre, come riportato nel provvedimento oggetto di attenzione, ha osservato che in ambito sanitario è previsto che le informazioni sullo stato di salute possono essere comunicate solo all’interessato e possono essere comunicate a terzi solo se è presente un idoneo presupposto giuridico tale da giustificare la diffusione degli stessi (ex art. 9 del GDPR).

Considerata la categoria “sensibile” di dati e considerato l’ambito nel quale avviene il trattamento, il Garante ha richiamato “Linee Guida in materia di dossier sanitario”, che erano state pubblicate già nel 2015 proprio con lo scopo di ribadire la necessità di garantire certezza, esattezza, integrità e non modificabilità dei dati trattati. Inoltre, il Garante ha ricordato che la stessa Azienda era già stata destinataria di un provvedimento da parte dell’Autorità per l’illiceità del trattamento di dati personali che era stato effettuato attraverso dossier sanitario.

L’Azienda, nelle proprie memorie difensive, ha sostenuto che la violazione per cui è stato avviato il procedimento era stata causata da una “serie concatenata e del tutto eccezionale di errori umani non intenzionali degli operatori coinvolti”. All’interno delle stesse, inoltre, la struttura sanitaria ha confermato che la stessa si era opportunamente dotata di misure tecniche ed organizzate adeguate al rischio legato al trattamento in questione. Dunque, in presenza di un adeguato sistema improntato a garantire i diritti degli interessati, secondo la difesa della struttura sanitaria, l’errore che ha comportato la violazione dei dati personali è stato per causa del personale addetto il quale ha “disatteso le procedure e istruzioni ricevute anche se peraltro convenientemente formato e informato al riguardo”.

Infine, l’Azienda ha altresì fatto presente che non appena avuta notizia da parte della paziente dall’errore circa il trattamento dei dati personali riscontrato dalla stessa, ha immediatamente posto in essere le misure necessarie al fine di far cessare gli effetti della violazione in essere.

Consigliamo il volume:

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Monica Mandico, 2019, Maggioli Editore

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad...



La decisione del Garante

Dopo aver anche ascoltato la struttura sanitaria durante l’apposita audizione, il Garante ha osservato che l’Azienda, nonostante il precedente di cui si è sopra, non aveva adottato misure in grado di garantire certezza, esattezza, integrità e non modificabilità del particolare dato trattato.

Dunque, il Garante ha ritenuto che nel caso di specie sia stato attuato un trattamento dei dati personali illecito, non conforme alla normativa nazionale ed europea vigente in materia.

Tuttavia, il Garante ha tenuto conto del fatto che l’Azienda aveva precedentemente proceduto ad adeguarsi alle disposizioni delle Linee Guida del 2015; aveva, inoltre, provveduto a informare adeguatamente il personale in merito alle novità sulla disciplina del trattamento dei dati in ambito sanitario; infine aveva altresì tempestivamente provveduto per correggere gli effetti della violazione.

In considerazione di ciò, il Garante ha ritenuto che la violazione in oggetto possa essere considerata come “violazione minore”, in virtù della quale può essere applicata come sanzione l’ammonimento al titolare, ai sensi dell’art. 58, par. 2, lett. b).

GUARDA L’INTERVISTA:

Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

pier-paolo-muia

Muia' Pier Paolo

Co-founder dello Studio Legale "MMP Legal", svolge la professione di avvocato in Firenze, Prato e Pistoia, occupandosi in via principale con il suo staff di responsabilità professionale e civile; internet law, privacy e proprietà intellettuale nonchè diritto tributario. In particolare, svolge attività di assistenza e difesa sia di professionisti destinatari di richieste di risarcimento  danni per inadempimento professionale sia di soggetti danneggiati da sinsitri, soprattutto per malpractice medica; consulenza relativamente alla gestione e alla tutela dei dati personali in ogni area e settore di attività nonché assistenza e difesa, stragiudiziale e giudiziale, per quanto riguarda i contratti e i rapporti tramite internet ed in generale tutte le problematiche relative ai servizi on line ed ai correlati diritti; redazione di accordi di licenza e cessione di marchi, dei diritti di sfruttamento economico delle opere dell'ingegno, di know-how e di brevetti; difesa giudiziale per la tutela dei diritti d'autore e di brevetti, marchi e disegni, nonché avverso attività di concorrenza sleale; difesa e rappresentanza nei giudizi dinanzi alle commissioni tributarie. Per Diritto.it è Referente delle sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio. Pagina Facebook: https://www.facebook.com/studiolegalemasimuia/?ref=br_rs Pagina Instagram: https://www.instagram.com/mmp_studiolegale/


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

  • Rimani aggiornato sulle novità del mondo del diritto
  • Leggi i commenti alle ultime sentenze in materia civile, penale, amministrativo
  • Acquista con lo sconto le novità editoriali – ebook, libri e corsi di formazione

Rimani sempre aggiornato iscrivendoti alle nostre newsletter!

Iscriviti alla newsletter di Diritto.it e