Inserimento all’interno della cartella clinica di documentazione medica di soggetti diversi

di Muia' Pier Paolo, Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio

Versione PDF del documento

Condividi con:

 

Garante per la protezione dei dati personali: Provvedimento del Garante numero 30 del 27 gennaio 2021

Riferimenti normativi: art 58, paragrafo 2, del GDPR; art. 9 del GDPR; art 83 del Codice privacy; art. 22, comma 11, d.lgs. 10 agosto 2018; art. 5, par. 1, lett. f) del GDPR;

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Monica Mandico, 2019, Maggioli Editore

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad...



Fatto

Un’azienda Ospedaliera Universitaria, a seguito di errori nella consegna della documentazione sanitaria avvenuta a soggetto diverso dell’interessato, aveva provveduto a comunicare al Garante per la protezione dei dati personali, con due distinte comunicazioni, la violazione di dati personali ai sensi dell’art. 33 del GDPR.

In particolare nella comunicazione inviata all’Autorità Garante nel luglio 2018, l’Azienda Ospedaliera aveva riferito di aver erroneamente inserito nella cartella clinica di un paziente pediatrico, che era stata, poi, consegnata ai genitori, un referto di esame microbiologico appartenente ad un altro paziente. Aveva, poi, informato il Garante della natura dei dati oggetto di violazione, specificando che si trattava di dai appartenenti alla categoria dei dati personali (nome, cognome, codice fiscale, residenza, data di nascita) e dei dati di salute (reparto di richiesta, tipo di esame microbiologico). L’Azienda Ospedaliera aveva, altresì, informato il Garante di aver provveduto, appena venuta a conoscenza dell’errore, a recuperare la copia della cartella clinica, e ad inviare all’assicurazione la copia della stessa così che potesse procedere con la distruzione.

Con la seconda comunicazione, avvenuta nel gennaio 2019, l’Azienda Ospedaliera aveva informato il Garante di essere venuta a conoscenza di un altro caso in cui all’interno della cartella relativa ad un paziente e consegnata all’erede di questo vi era un referto appartenente a persona diversa dall’interessato. Anche in questo caso il referto conteneva dati personali (cognome, nome, data di nascita) e dati relativi allo stato di salute. L’Azienda aveva, poi, informato il Garante di aver richiesto formalmente all’erede dell’intestatario della cartella la restituzione della copia della stessa, diffidandolo dall’utilizzare i dati dell’intestatario del referto, e richiedendo di dare comunicazione ad eventuali terzi, in possesso di copia della documentazione, di distruggerla e comunque di non utilizzarne i dati ivi contenuti.

Ricevute le due comunicazioni, e ravvisando in entrambi i casi la violazione del trattamento dei dati personali, l’Autorità Garante aveva avviato due separati procedimenti volti ad adottare i provvedimenti sanzionatori previsti dalla normativa in materia.

In riferimento al primo episodio, e dunque alla comunicazione del luglio 2018, dove si denunciava la violazione dei dati personali tramite l’inserimento all’interno di una cartella pediatrica di un referto appartenente ad altro paziente pediatrico, l’Azienda Ospedaliera rea della violazione, a seguito della procedura avviata dal Garante, aveva provveduto ad inviare le proprie memorie difensive.

In particolare all’interno delle suddette memorie, e in ordine alla durata della violazione denunciata, era stato specificato che la stessa si era verificata dal momento della consegna della cartella all’intestatario richiedente, che era avvenuta il 14/06/2018, fino all’accertamento della violazione, avvenuto il 02/07/2018. Inoltre era stato specificato che il recupero della documentazione dai genitori del paziente era avvenuto tempestivamente lo stesso 02/07/2018, e che, altrettanto tempestivamente, si era provveduto a ripristinare la corretta cartella, priva del referto appartenente ad altro paziente, e consegnata all’interessato.

L’Azienda Ospedaliera aveva poi riferito che, a suo parere, nessuna conseguenza si era verificata a seguito dell’errore commesso, sia a seguito degli interventi posti prontamente in essere dall’Azienda stessa, sia grazie al senso civico dimostrato dai genitori del paziente che si erano resi immediatamente disponibili alla restituzione del referto altrui.

In conclusione, l’Azienda Ospedaliera aveva poi assicurato il Garante di aver provveduto a sensibilizzare il personale del reparto interessato, di aver inviato alle funzioni preposte una Check list per l’autovalutazione in merito alla compilazione della cartella clinica, e di aver apportato le modifiche necessarie alle procedure di compilazione delle cartelle così da ridurre il rischio di errori in termini di violazione dei dati personali, e di aver correttamente formato il personale interessato.

Con riferimento alla seconda comunicazione di violazione dei dati personali, avvenuta nel gennaio 2019, l’Azienda Ospedaliera aveva specificato in riferimento alla durata, che la violazione si era verificata dal momento della consegna all’erede dell’intestatario della cartella sanitaria, avvenuta in data 18/06/2018, fino al giorno 23/01/2019, data in cui il personale in sede di fotoriproduzione si accorgeva della presenza all’interno della cartella di un referto non riconducibile all’intestatario della cartella stessa.

L’Azienda Ospedaliera aveva, poi, specificato che immediatamente dopo aver appreso dell’errore, si era proceduto a contattare l’erede dell’intestatario della cartella chiedendone la restituzione, e che, a fronte  di un atteggiamento non collaborativo di questo, era stata formalmente richiesta, con mezzo raccomandata, la restituzione della cartella, nonché e si era diffidato a non utilizzare i dati dell’intestatario del referto e a consegnare copia della documentazione a terzi.

L’azienda Ospedaliera aveva, infine, riferito di aver avvisato la Procura della Repubblica avendo appreso da parte del legale dell’erede dell’intestatario della cartella che la cartella era stata inoltrata all’Autorità giudiziaria.

 La decisione del Garante

In ordine ai due episodi riferiti, il Garante ha, preliminarmente alla sua decisione, voluto ricordare che in ambito sanitario la disciplina in materia di protezione dei dati personali prevede che le informazioni sullo stato di salute possono essere comunicate solo all’interessato, potendo essere riferite a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso, previa delega scritta di quest’ultimo. Inoltre tali dati personali devono essere trattati in maniera da garantire un’adeguata sicurezza e protezione da eventuali trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o da danni accidentali, attraverso l’adozione di misure tecniche e organizzative adeguate.

In riferimento ai episodi riportati dall’Azienda Ospedaliera, il Garante ha ritenuto che l’inserimento all’interno di due cartelle cliniche di documentazione medica di soggetti diversi dagli intestatari delle stesse ha determinato una comunicazione di dati sulla salute a soggetti non legittimati in assenza di un idoneo presupposto giuridico, raffigurando in tal modo un trattamento illecito dei dati personali.

L’Autorità Garante ha, dunque, provveduto ad adottare una sanzione pecuniaria nei confronti dell’Azienda Ospedaliera, non anche misure correttive avendo la condotta illecita esaurito i suoi effetti (in quanto i documenti erroneamente consegnati a terzi sono stati restituiti) e avendo l’Azienda Ospedaliera pianificato le ulteriori misure tecniche e organizzative ritenute necessarie per ridurre al minimo l’errore umano.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Monica Mandico, 2019, Maggioli Editore

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad...



Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

pier-paolo-muia

Muia' Pier Paolo

Co-founder dello Studio Legale "MMP Legal", svolge la professione di avvocato in Firenze, Prato e Pistoia, occupandosi in via principale con il suo staff di responsabilità professionale e civile; internet law, privacy e proprietà intellettuale nonchè diritto tributario. In particolare, svolge attività di assistenza e difesa sia di professionisti destinatari di richieste di risarcimento  danni per inadempimento professionale sia di soggetti danneggiati da sinsitri, soprattutto per malpractice medica; consulenza relativamente alla gestione e alla tutela dei dati personali in ogni area e settore di attività nonché assistenza e difesa, stragiudiziale e giudiziale, per quanto riguarda i contratti e i rapporti tramite internet ed in generale tutte le problematiche relative ai servizi on line ed ai correlati diritti; redazione di accordi di licenza e cessione di marchi, dei diritti di sfruttamento economico delle opere dell'ingegno, di know-how e di brevetti; difesa giudiziale per la tutela dei diritti d'autore e di brevetti, marchi e disegni, nonché avverso attività di concorrenza sleale; difesa e rappresentanza nei giudizi dinanzi alle commissioni tributarie. Per Diritto.it è Referente delle sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio. Pagina Facebook: https://www.facebook.com/studiolegalemasimuia/?ref=br_rs Pagina Instagram: https://www.instagram.com/mmp_studiolegale/


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

Ricevi tutte le novità di Diritto.it attraverso le nostre newsletter. Se sei interessato a un ambito specifico effettua l’iscrizione direttamente a questo indirizzo.

Non abbandonare Diritto.it
senza iscriverti alle newsletter!