Indice:
I fatti
Il Garante riceva da parte della Società H San Raffaele Resnati s.r.l. una nota in cui veniva comunicata una violazione del trattamento dei dati personali. Accadeva, infatti, che una paziente di un poliambulatorio, gestito dalla Società, aveva ricevuto all’interno di una busta i referti destinati, invece, ad una diversa paziente.
La Società precisava che erano state correttamente attuate le procedure tecniche e organizzative necessarie al fine di garantire la conformità del trattamento alle disposizioni del Regolamento europeo alla luce della particolare e “sensibile” categoria di dati trattati nell’ambito sanitario.
Inoltre, la Società rendeva noto il fatto che era stato posto rimedio tempestivamente: due ore dopo l’accaduto, il personale addetto, infatti aveva recuperato la documentazione erroneamente consegnata ad una diversa paziente e aveva immediatamente avviato un’indagine interna al fine di approfondire le cause dell’accaduto.
In considerazione di quanto riportato nella comunicazione, il Garante ritenendo che gli elementi acquisiti nel corso dell’attività configuravano uno o più violazioni delle disposizioni del GDPR, avviava il procedimento necessario all’adozione di provvedimenti o sanzioni, ai sensi dell’art. 166 del Codice Privacy.
In particolare, l’Autorità notificava alla Società le presunte violazioni e invitava la stessa a produrre propri scritti difensivi al riguardo, nei quali la parte scrivente affermava che i dati contenuti nella busta erroneamente consegnata ad un’altra paziente non erano tali da fornire indicazioni precise sul quadro clinico dell’interessato, piuttosto erano informazioni che sarebbero state interpretate unicamente nel quadro di più precisi accertamenti clinici.
Ancora, la Società dava atto del fatto che la violazione aveva coinvolto un numero esiguo di persone fisiche tanto da potersi considerare una violazione di non grave entità e non appena avuto conoscenza del fatto, il personale addetto aveva immediatamente (testualmente, “a distanza di poche ore”) attuate misure necessarie a cessare la violazione.
Infine, la struttura sanitaria affermava che la violazione dei dati personali si era realizzata a causa dell’errore di un singolo operatore e, nonostante ciò, erano state attuate procedure al fine di migliorare il sistema adottato per la trasmissione dei referti ai pazienti.
Consigliamo il volume:
Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali
Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder. Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.
Monica Mandico | 2019 Maggioli Editore
32.00 € 30.40 €
Le violazioni accertate dal Garante
Ciò detto e considerato, il Garante ha ritenuto che la Società ha posto in essere un trattamento non conforme alla normativa vigente in materia di protezione dei dati personali, in particolare in base ai fatti per come sopra descritti la struttura sanitaria ha violato quanto disposto negli artt. 5 e 9 del GDPR.
L’art. 5 del GDPR, il quale detta i principi applicabili al trattamento dei dati personali, dispone infatti che i dati debbono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato. Le finalità devono essere determinate, esplicite e legittime; i dati devono essere adeguati, pertinenti, esatti ed aggiornati, oltre che limitati a quanto necessario rispetto alle finalità, e comunque devono essere trattati in modo da garantirne un’adeguata sicurezza.
L’art. 9 del GDPR, invece, rubricato “trattamento di categorie particolare di dati personali”, istituisce il generale divieto di trattamento di dati corrispondenti a quelli definiti “sensibili”, ossia qui dati che sono idonei a rivelare, ad esempio, informazioni sullo stato di salute psicofisica di un soggetto. Sempre l’art. 9 prosegue, prevedendo eccezioni al generale divieto che lo stesso istituisce: infatti, la richiamata disposizione normativa prevede che è possibile procedere al trattamento dei dati “sensibili” nei casi dalla medesima espressamente previsti, che vanno a derogare il generale divieto di trattamento (come ad esempio nel caso in cui ci sia il consenso dell’interessato).
Si tratta, dunque, di particolari categorie di dati personali per i quali è disposta dal GDPR una maggiore protezione in ragione proprio delle informazioni ad essi connesse. Si tratta, infatti, di un trattamento che dovrebbe essere soggetto a misure appropriate e specifiche al fine di tutelare i diritti e le libertà delle persone fisiche.
In considerazione di quanto detto, il Garante, esaminati gli scritti difensivi della Società, ha ritenuto che ricorressero gli estremi per ravvisare una situazione di violazione della disciplina dei dati personali.
Ancora, in ordine alle asserzioni della Società riferite all’errore dell’addetto alla mansione specificamente prevista per la consegna dei referti, il Garante ha sostenuto che, anche alla luce di una giurisprudenza consolidata, non è possibile discolpare il soggetto responsabile. Infatti, l’errore in cui lo stesso è incorso sarebbe stato ovviabile attraverso l’uso dell’ordinaria diligenza.
Come riportato, infatti, nel provvedimento oggetto del presente commento, “nel caso di specie, l’agente avrebbe potuto diligentemente accertare, attraverso un più accurato controllo dei dati, la correttezza delle operazioni effettuate in occasione dell’imbustamento del referto, evitando in tal modo di comunicare dati sulla salute a un soggetto terzo, non autorizzato”.
La decisione del Garante
Alla luce di quanto suddetto, dunque, il Garante ha ritenuto che l’errore dell’addetto all’imbustamento dei referti non potesse considerarsi un errore scusabile, nonostante la buona fede dello stesso. Infatti, l’addetto avrebbe potuto agire correttamente, utilizzando l’ordinaria diligenza che gli avrebbe permesso di non incorrere nell’errore che ha, poi, determinato violazione del trattamento dei dati personali.
Ancor di più, il Garante ha evidenziato che la violazione in cui è incorsa la società era una violazione di una particolare e sensibile categoria di dati personali, ossia i dati personali sulla salute.
Ciò detto, tuttavia, il Garante ha tenuto conto del fatto che la stessa violazione ha avuto breve durata (come anche riportato negli scritti difensivi della Società), in quanto un intervento tempestivo del personale ha permesso di far cessare prontamente i suoi effetti negativi a danno dell’interessata.
In considerazione di quanto sopra, quindim, il Garante per la protezione dei dati personali ha sanzionato la struttura sanitaria , ai sensi dell’art. 58, par. 2, lett i) e 83 del GDPR, con una sanzione amministrativa pecuniaria, c.d. ordinanza ingiunzione, pari a €.6.000,00, oltre a disporre la pubblicazione del provvedimento stesso sul sito web del Garante, come sanzione accessoria.
Ebook consigliato:
I rischi nel trattamento dei dati – e-Book in pdf
L’ebook analizza gli aspetti pratici dell’attività di analisi dei rischi connessi al trattamento dei dati, partendo dal quadro normativo e fornendo risposte alle principali FAQ in materia di DPIA.Michele IaselliAvvocato, Funzionario del Ministero della Difesa, Docente a contratto di Informatica giuridica all’Università di Cassino e Collaboratore della cattedra di Informatica giuridica alla LUISS ed alla Federico II. Inoltre è Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore di numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di Privacy, Informatica giuridica e Diritto dell’informatica con le principali case editrici.
Michele Iaselli | 2021 Maggioli Editore
Scrivi un commento
Accedi per poter inserire un commento