Consegna di referti medici alla paziente sbagliata: multa del Garante

di Muia' Pier Paolo, Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio
PDF

Il Garante per la protezione dei dati personali, con ordinanza di ingiunzione 25 novembre 2021 multa la Società H San Raffaele Resnati s.r.l. per aver erroneamente consegnato referti medici ad una paziente sbagliata.

Indice:

I fatti

Il Garante riceva da parte della Società H San Raffaele Resnati s.r.l. una nota in cui veniva comunicata una violazione del trattamento dei dati personali. Accadeva, infatti, che una paziente di un poliambulatorio, gestito dalla Società, aveva ricevuto all’interno di una busta i referti destinati, invece, ad una diversa paziente.

La Società precisava che erano state correttamente attuate le procedure tecniche e organizzative necessarie al fine di garantire la conformità del trattamento alle disposizioni del Regolamento europeo alla luce della particolare e “sensibile” categoria di dati trattati nell’ambito sanitario.

Inoltre, la Società rendeva noto il fatto che era stato posto rimedio tempestivamente: due ore dopo l’accaduto, il personale addetto, infatti aveva recuperato la documentazione erroneamente consegnata ad una diversa paziente e aveva immediatamente avviato un’indagine interna al fine di approfondire le cause dell’accaduto.

In considerazione di quanto riportato nella comunicazione, il Garante ritenendo che gli elementi acquisiti nel corso dell’attività configuravano uno o più violazioni delle disposizioni del GDPR, avviava il procedimento necessario all’adozione di provvedimenti o sanzioni, ai sensi dell’art. 166 del Codice Privacy.

In particolare, l’Autorità notificava alla Società le presunte violazioni e invitava la stessa a produrre propri scritti difensivi al riguardo, nei quali la parte scrivente affermava che i dati contenuti nella busta erroneamente consegnata ad un’altra paziente non erano tali da fornire indicazioni precise sul quadro clinico dell’interessato, piuttosto erano informazioni che sarebbero state interpretate unicamente nel quadro di più precisi accertamenti clinici.

Ancora, la Società dava atto del fatto che la violazione aveva coinvolto un numero esiguo di persone fisiche tanto da potersi considerare una violazione di non grave entità e non appena avuto conoscenza del fatto, il personale addetto aveva immediatamente (testualmente, “a distanza di poche ore”) attuate misure necessarie a cessare la violazione.

Infine, la struttura sanitaria affermava che la violazione dei dati personali si era realizzata a causa dell’errore di un singolo operatore e, nonostante ciò, erano state attuate procedure al fine di migliorare il sistema adottato per la trasmissione dei referti ai pazienti.

Consigliamo il volume:

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Monica Mandico, 2019, Maggioli Editore

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad...



Le violazioni accertate dal Garante

Ciò detto e considerato, il Garante ha ritenuto che la Società ha posto in essere un trattamento non conforme alla normativa vigente in materia di protezione dei dati personali, in particolare in base ai fatti per come sopra descritti la struttura sanitaria ha violato quanto disposto negli artt. 5 e 9 del GDPR.

L’art. 5 del GDPR, il quale detta i principi applicabili al trattamento dei dati personali, dispone infatti che i dati debbono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato. Le finalità devono essere determinate, esplicite e legittime; i dati devono essere adeguati, pertinenti, esatti ed aggiornati, oltre che limitati a quanto necessario rispetto alle finalità, e comunque devono essere trattati in modo da garantirne un’adeguata sicurezza.

L’art. 9 del GDPR, invece, rubricato “trattamento di categorie particolare di dati personali”, istituisce il generale divieto di trattamento di dati corrispondenti a quelli definiti “sensibili”, ossia qui dati che sono idonei a rivelare, ad esempio, informazioni sullo stato di salute psicofisica di un soggetto. Sempre l’art. 9 prosegue, prevedendo eccezioni al generale divieto che lo stesso istituisce: infatti, la richiamata disposizione normativa prevede che è possibile procedere al trattamento dei dati “sensibili” nei casi dalla medesima espressamente previsti, che vanno a derogare il generale divieto di trattamento (come ad esempio nel caso in cui ci sia il consenso dell’interessato).

Si tratta, dunque, di particolari categorie di dati personali per i quali è disposta dal GDPR una maggiore protezione in ragione proprio delle informazioni ad essi connesse. Si tratta, infatti, di un trattamento che dovrebbe essere soggetto a misure appropriate e specifiche al fine di tutelare i diritti e le libertà delle persone fisiche.

In considerazione di quanto detto, il Garante, esaminati gli scritti difensivi della Società, ha ritenuto che ricorressero gli estremi per ravvisare una situazione di violazione della disciplina dei dati personali.

Ancora, in ordine alle asserzioni della Società riferite all’errore dell’addetto alla mansione specificamente prevista per la consegna dei referti, il Garante ha sostenuto che, anche alla luce di una giurisprudenza consolidata, non è possibile discolpare il soggetto responsabile. Infatti, l’errore in cui lo stesso è incorso sarebbe stato ovviabile attraverso l’uso dell’ordinaria diligenza.

Come riportato, infatti, nel provvedimento oggetto del presente commento, “nel caso di specie, l’agente avrebbe potuto diligentemente accertare, attraverso un più accurato controllo dei dati, la correttezza delle operazioni effettuate in occasione dell’imbustamento del referto, evitando in tal modo di comunicare dati sulla salute a un soggetto terzo, non autorizzato”.

La decisione del Garante

Alla luce di quanto suddetto, dunque, il Garante ha ritenuto che l’errore dell’addetto all’imbustamento dei referti non potesse considerarsi un errore scusabile, nonostante la buona fede dello stesso. Infatti, l’addetto avrebbe potuto agire correttamente, utilizzando l’ordinaria diligenza che gli avrebbe permesso di non incorrere nell’errore che ha, poi, determinato violazione del trattamento dei dati personali.

Ancor di più, il Garante ha evidenziato che la violazione in cui è incorsa la società era una violazione di una particolare e sensibile categoria di dati personali, ossia i dati personali sulla salute.

Ciò detto, tuttavia, il Garante ha tenuto conto del fatto che la stessa violazione ha avuto breve durata (come anche riportato negli scritti difensivi della Società), in quanto un intervento tempestivo del personale ha permesso di far cessare prontamente i suoi effetti negativi a danno dell’interessata.

In considerazione di quanto sopra, quindim, il Garante per la protezione dei dati personali ha sanzionato la struttura sanitaria , ai sensi dell’art. 58, par. 2, lett i) e 83 del GDPR, con una sanzione amministrativa pecuniaria, c.d. ordinanza ingiunzione, pari a €.6.000,00, oltre a disporre la pubblicazione del provvedimento stesso sul sito web del Garante, come sanzione accessoria.

Ebook consigliato:

I rischi nel trattamento dei dati - e-Book in pdf

I rischi nel trattamento dei dati - e-Book in pdf

Michele Iaselli, 2021, Maggioli Editore

L’ebook analizza gli aspetti pratici dell’attività di analisi dei rischi connessi al trattamento dei dati, partendo dal quadro normativo e fornendo risposte alle principali FAQ in materia di DPIA. Michele IaselliAvvocato, Funzionario del Ministero della Difesa, Docente a...



Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

pier-paolo-muia

Muia' Pier Paolo

Co-founder dello Studio Legale "MMP Legal", svolge la professione di avvocato in Firenze, Prato e Pistoia, occupandosi in via principale con il suo staff di responsabilità professionale e civile; internet law, privacy e proprietà intellettuale nonchè diritto tributario. In particolare, svolge attività di assistenza e difesa sia di professionisti destinatari di richieste di risarcimento  danni per inadempimento professionale sia di soggetti danneggiati da sinsitri, soprattutto per malpractice medica; consulenza relativamente alla gestione e alla tutela dei dati personali in ogni area e settore di attività nonché assistenza e difesa, stragiudiziale e giudiziale, per quanto riguarda i contratti e i rapporti tramite internet ed in generale tutte le problematiche relative ai servizi on line ed ai correlati diritti; redazione di accordi di licenza e cessione di marchi, dei diritti di sfruttamento economico delle opere dell'ingegno, di know-how e di brevetti; difesa giudiziale per la tutela dei diritti d'autore e di brevetti, marchi e disegni, nonché avverso attività di concorrenza sleale; difesa e rappresentanza nei giudizi dinanzi alle commissioni tributarie. Per Diritto.it è Referente delle sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio. Pagina Facebook: https://www.facebook.com/studiolegalemasimuia/?ref=br_rs Pagina Instagram: https://www.instagram.com/mmp_studiolegale/


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

  • Rimani aggiornato sulle novità del mondo del diritto
  • Leggi i commenti alle ultime sentenze in materia civile, penale, amministrativo
  • Acquista con lo sconto le novità editoriali – ebook, libri e corsi di formazione

Rimani sempre aggiornato iscrivendoti alle nostre newsletter!

Iscriviti alla newsletter di Diritto.it e