Il titolare del trattamento risponde dell’errata comunicazione di un referto medico da parte del responsabile.
>>>Leggi l’Ordinanza ingiunzione n. 344 del 6 ottobre 2022<<<
Indice
1. I fatti
Un paziente di un’azienda ospedaliera presentava al Garante per la protezione dei dati personali una segnalazione con cui lamentava di aver ricevuto nella propria casella di posta elettronica certificata una email certificata che invece di contenere il referto relativo all’esame diagnostico dal medesimo compiuto, conteneva il referto dell’esame istologico compiuto da una diversa signora.
In considerazione di ciò, il Garante chiedeva all’azienda sanitaria di fornire chiarimenti in merito a quanto rappresentato dal reclamante. L’azienda precisava che rispetto al trattamento dati della signora in questione non svolgeva il ruolo di titolare del trattamento, ma di responsabile rispetto ad un istituto oncologico (facente parte del servizio sanitario regionale) e che tra l’azienda e detto istituto vi era un accordo quadro che regolava i vari servizi forniti dall’azienda a favore dell’istituto, fra i quali quello di eseguire esami istologici su biopsie effettuate sui pazienti in cura presso l’istituto oncologico (servizio eseguito dal reparto di istologia dell’azienda sanitaria).
In secondo luogo, l’azienda sanitaria evidenziava che il reparto di istologia invia regolarmente almeno 100 referti al mese e che la procedura prevede che un incaricato della segreteria scarichi i referti dall’apposito software mediante la scansione di un codice a barre e salvi i referti in formato pdf all’interno di una cartella sul desktop del computer. Dopodiché l’incaricato apre la casella PEC, digita l’indirizzo del destinatario e allega alla email il referto relativo al destinatario prelevando il file pdf dalla cartella sul desktop.
Nel caso di specie, secondo l’azienda sanitaria, vi era stato un errore dell’incaricato della segreteria che per errore materiale ha caricato sulla PEC destinata al reclamante il referto della signora in questione (paziente dell’istituto oncologico). Tuttavia, a seguito della segnalazione inviata all’azienda sanitaria dal reclamante subito dopo aver ricevuto la PEC con il referto sbagliato, l’azienda nel giro di 24 ore ha inviato una PEC di scuse al reclamante e allegato il referto corretto.
Alla luce di quanto dichiarato dall’azienda sanitaria, il Garante ha prima chiesto informazioni anche al titolare del trattamento, cioè l’istituto oncologico, e poi ha aperto il procedimento sanzionatorio nei suoi confronti, invitandolo a presentare scritti difensivi.
L’istituto oncologico si è difeso riportando le stesse argomentazioni fornite dall’azienda sanitaria ed aggiungendo che l’errore commesso da quest’ultima non riguardava un paziente dell’istituto, in quanto il reclamante era in cura presso l’azienda sanitaria e non aveva alcun rapporto con l’istituto oncologico: semplicemente, l’azienda sanitaria doveva inviare il referto a detto proprio paziente e per errore dell’incaricato della segreteria ha inviato a quest’ultimo il referto della signora, che era invece una paziente dell’ istituto oncologico.
Potrebbero interessarti anche
2. Le valutazioni del Garante per la protezione dei dati personali
Il Garante ha preliminarmente evidenziato come i dati personali relativi alla salute devono essere maggiormente protetti rispetto agli altri dati comuni, in quanto il loro trattamento può creare rischi dignificativi per i diritti e le libertà degli interessati, e come in generale la disciplina in materia di protezione dei dati personali stabilisce che i dati personali devono essere trattati in maniera da garantire un’adeguata sicurezza e devono essere protetti attraverso misure tecniche e organizzative adeguate, per evitare che si verifichino trattamenti non autorizzati o illeciti o la perdita accidentale (ciò in base al principio di “integrità e riservatezza”).
Ciò precisato, il Garante ha affermato che il titolare del trattamento è competente per il rispetto dei suddetti principi applicabili al trattamento dei dati personali e deve essere in grado di provare il loro rispetto (“principio di responsabilizzazione”). In altri termini, il titolare del trattamento è responsabile per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto.
Con specifico riferimento, infine, al trattamento dei dati relativi alla salute, detti dati possono essere comunicati soltanto all’interessato, mentre possono essere comunicati a soggetti terzi soltanto sulla base di un idoneo presupposto giuridico oppure su specifica indicazione dell’interessato stesso.
Nel caso di specie, il Garante ha ritenuto che il titolare del trattamento, cioè l’istituto oncologico, abbia violato la normativa privacy e precisamente i principi sopra richiamati.
Il fatto che la trasmissione del referto della paziente dell’istituto oncologico a un soggetto terzo sia avvenuta a causa di un errore commesso dal responsabile del trattamento (cioè dell’azienda sanitaria), non esonera da responsabilità il titolare del trattamento, che in quanto tale avrebbe dovuto comunque vigilare e controllare l’attività svolta per suo conto dell’azienda sanitaria.
Infatti, l’obbligo del titolare del trattamento di adottare delle misure tecniche e organizzative idonee ad evitare la perdita dei dati trattati, sussiste anche quando le operazioni di trattamento sono poste in essere da un responsabile del trattamento.
3. La decisione del Garante
In considerazione di tutto quanto sopra, il Garante ha ritenuto che la comunicazione del referto della signora ad un soggetto terzo costituisce una violazione della normativa privacy addebitabile all’istituto oncologico quale titolare del trattamento dei dati della signora.
Per tali ragioni, l’Autorità ha ritenuto che la condotta posta in essere dall’ istituto oncologico fosse da sanzionare mediante l’applicazione di una sanzione amministrativa pecuniaria. Per quanto concerne la quantificazione di detta sanzione, il Garante ha valutato, da un lato, la natura rilevante della violazione in quanto inerente dati relativi alla salute; dall’ altro lato, ha considerato però che la comunicazione di detti dati ha riguardato un solo paziente ed è stata effettuata verso un solo terzo, nonché l’ assenza di comportamenti dolosi dell’ istituto oncologico e l’assenza di precedenti violazioni dello stesso tipo ed infine il fatto che il fatto che il titolare svolge un’ attività istituzionale di particolare rilevanza sociale (cioè le indagini oncologiche). In considerazione di tutto quanto sopra ed al fine di applicare una sanzione che sia effettiva, proporzionale e dissuasiva, il Garante per la protezione dei dati personali ha ritenuto di poter applicare quantificare la sanzione di carattere pecuniario nei confronti del titolare del trattamento nella misura di €. 7.000,00 (settemila).
Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali
Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder. Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.
Monica Mandico | Maggioli Editore 2019
Scrivi un commento
Accedi per poter inserire un commento