Riferimenti normativi: art 58, paragrafo 2, del GDPR; art. 9 del GDPR; art 83 del Codice privacy; art. 22, comma 11, d.lgs. 10 agosto 2018; art. 5, par. 1, lett. f) del GDPR;
Volume consigliato
Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali
Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder. Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.
Monica Mandico | 2019 Maggioli Editore
32.00 € 30.40 €
Fatto
Un’azienda Ospedaliera Universitaria, a seguito di errori nella consegna della documentazione sanitaria avvenuta a soggetto diverso dell’interessato, aveva provveduto a comunicare al Garante per la protezione dei dati personali, con due distinte comunicazioni, la violazione di dati personali ai sensi dell’art. 33 del GDPR.
In particolare nella comunicazione inviata all’Autorità Garante nel luglio 2018, l’Azienda Ospedaliera aveva riferito di aver erroneamente inserito nella cartella clinica di un paziente pediatrico, che era stata, poi, consegnata ai genitori, un referto di esame microbiologico appartenente ad un altro paziente. Aveva, poi, informato il Garante della natura dei dati oggetto di violazione, specificando che si trattava di dai appartenenti alla categoria dei dati personali (nome, cognome, codice fiscale, residenza, data di nascita) e dei dati di salute (reparto di richiesta, tipo di esame microbiologico). L’Azienda Ospedaliera aveva, altresì, informato il Garante di aver provveduto, appena venuta a conoscenza dell’errore, a recuperare la copia della cartella clinica, e ad inviare all’assicurazione la copia della stessa così che potesse procedere con la distruzione.
Con la seconda comunicazione, avvenuta nel gennaio 2019, l’Azienda Ospedaliera aveva informato il Garante di essere venuta a conoscenza di un altro caso in cui all’interno della cartella relativa ad un paziente e consegnata all’erede di questo vi era un referto appartenente a persona diversa dall’interessato. Anche in questo caso il referto conteneva dati personali (cognome, nome, data di nascita) e dati relativi allo stato di salute. L’Azienda aveva, poi, informato il Garante di aver richiesto formalmente all’erede dell’intestatario della cartella la restituzione della copia della stessa, diffidandolo dall’utilizzare i dati dell’intestatario del referto, e richiedendo di dare comunicazione ad eventuali terzi, in possesso di copia della documentazione, di distruggerla e comunque di non utilizzarne i dati ivi contenuti.
Ricevute le due comunicazioni, e ravvisando in entrambi i casi la violazione del trattamento dei dati personali, l’Autorità Garante aveva avviato due separati procedimenti volti ad adottare i provvedimenti sanzionatori previsti dalla normativa in materia.
In riferimento al primo episodio, e dunque alla comunicazione del luglio 2018, dove si denunciava la violazione dei dati personali tramite l’inserimento all’interno di una cartella pediatrica di un referto appartenente ad altro paziente pediatrico, l’Azienda Ospedaliera rea della violazione, a seguito della procedura avviata dal Garante, aveva provveduto ad inviare le proprie memorie difensive.
In particolare all’interno delle suddette memorie, e in ordine alla durata della violazione denunciata, era stato specificato che la stessa si era verificata dal momento della consegna della cartella all’intestatario richiedente, che era avvenuta il 14/06/2018, fino all’accertamento della violazione, avvenuto il 02/07/2018. Inoltre era stato specificato che il recupero della documentazione dai genitori del paziente era avvenuto tempestivamente lo stesso 02/07/2018, e che, altrettanto tempestivamente, si era provveduto a ripristinare la corretta cartella, priva del referto appartenente ad altro paziente, e consegnata all’interessato.
L’Azienda Ospedaliera aveva poi riferito che, a suo parere, nessuna conseguenza si era verificata a seguito dell’errore commesso, sia a seguito degli interventi posti prontamente in essere dall’Azienda stessa, sia grazie al senso civico dimostrato dai genitori del paziente che si erano resi immediatamente disponibili alla restituzione del referto altrui.
In conclusione, l’Azienda Ospedaliera aveva poi assicurato il Garante di aver provveduto a sensibilizzare il personale del reparto interessato, di aver inviato alle funzioni preposte una Check list per l’autovalutazione in merito alla compilazione della cartella clinica, e di aver apportato le modifiche necessarie alle procedure di compilazione delle cartelle così da ridurre il rischio di errori in termini di violazione dei dati personali, e di aver correttamente formato il personale interessato.
Con riferimento alla seconda comunicazione di violazione dei dati personali, avvenuta nel gennaio 2019, l’Azienda Ospedaliera aveva specificato in riferimento alla durata, che la violazione si era verificata dal momento della consegna all’erede dell’intestatario della cartella sanitaria, avvenuta in data 18/06/2018, fino al giorno 23/01/2019, data in cui il personale in sede di fotoriproduzione si accorgeva della presenza all’interno della cartella di un referto non riconducibile all’intestatario della cartella stessa.
L’Azienda Ospedaliera aveva, poi, specificato che immediatamente dopo aver appreso dell’errore, si era proceduto a contattare l’erede dell’intestatario della cartella chiedendone la restituzione, e che, a fronte di un atteggiamento non collaborativo di questo, era stata formalmente richiesta, con mezzo raccomandata, la restituzione della cartella, nonché e si era diffidato a non utilizzare i dati dell’intestatario del referto e a consegnare copia della documentazione a terzi.
L’azienda Ospedaliera aveva, infine, riferito di aver avvisato la Procura della Repubblica avendo appreso da parte del legale dell’erede dell’intestatario della cartella che la cartella era stata inoltrata all’Autorità giudiziaria.
La decisione del Garante
In ordine ai due episodi riferiti, il Garante ha, preliminarmente alla sua decisione, voluto ricordare che in ambito sanitario la disciplina in materia di protezione dei dati personali prevede che le informazioni sullo stato di salute possono essere comunicate solo all’interessato, potendo essere riferite a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso, previa delega scritta di quest’ultimo. Inoltre tali dati personali devono essere trattati in maniera da garantire un’adeguata sicurezza e protezione da eventuali trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o da danni accidentali, attraverso l’adozione di misure tecniche e organizzative adeguate.
In riferimento ai episodi riportati dall’Azienda Ospedaliera, il Garante ha ritenuto che l’inserimento all’interno di due cartelle cliniche di documentazione medica di soggetti diversi dagli intestatari delle stesse ha determinato una comunicazione di dati sulla salute a soggetti non legittimati in assenza di un idoneo presupposto giuridico, raffigurando in tal modo un trattamento illecito dei dati personali.
L’Autorità Garante ha, dunque, provveduto ad adottare una sanzione pecuniaria nei confronti dell’Azienda Ospedaliera, non anche misure correttive avendo la condotta illecita esaurito i suoi effetti (in quanto i documenti erroneamente consegnati a terzi sono stati restituiti) e avendo l’Azienda Ospedaliera pianificato le ulteriori misure tecniche e organizzative ritenute necessarie per ridurre al minimo l’errore umano.
Volume consigliato
Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali
Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder. Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.
Monica Mandico | 2019 Maggioli Editore
Scrivi un commento
Accedi per poter inserire un commento