Referti erronei nel Fascicolo Sanitario Elettronico

L’inserimento all’interno del Fascicolo Sanitario Elettronico di un referto relativo a un paziente diverso dall’interessato, anche se omonimo, costituisce una violazione della privacy

di Muia' Pier Paolo, Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio

Versione PDF del documento

 

Garante per la protezione dei dati personali: Ordinanza ingiunzione n. 141 del 9 luglio 2020

Il fatto

Nel provvedimento oggetto di commento, una struttura sanitaria aveva notificato al Garante per la protezione dei dati personali di aver riscontrato un data breach consistito nell’inserimento, all’interno del Fascicolo Sanitario Elettronico (FSE) di un paziente, il referto medico di un altro paziente che aveva lo stesso nome.

La vicenda era emersa alla luce a seguito di una segnalazione, da parte del soggetto interessato, all’URP della struttura sanitaria con cui lo stesso segnalava che di aver effettuato un accesso al proprio FSE e di aver ivi rinvenuto il referto relativo a situazioni cliniche che non erano a lui relative. A seguito di indagini interne da parte della struttura sanitaria, quest’ultima aveva avuto modo di ricostruire l’accaduto: in particolare, qualche mese prima un altro paziente, omonimo del soggetto interessato, si era recato al Pronto Soccorso della struttura sanitaria e lì era stato registrato in modo errato da parte degli operatori, i quali non avevano correttamente indicato la data di nascita del paziente e pertanto lo avevano associato all’altro paziente omonimo. In considerazione dell’omonimia tra i due pazienti e dell’errore di identificazione della data di nascita, poi, il referto relativo al paziente che si era recato al Pronto Soccorso era stato erroneamente inserito all’interno del FSE dell’interessato.

A seguito della notifica della violazione dei dati personali, il Garante per la protezione dei dati personali apriva l’istruttoria nei confronti della struttura sanitaria, invitando quest’ultima a formulare le proprie difese.

La struttura sanitaria evidenziava che il data breach si era verificato a causa di un errore umano da parte dell’operatore del Pronto Soccorso che non aveva correttamente identificato il paziente che aveva effettuato l’accesso al Pronto Soccorso: in particolare, il personale al triage non aveva correttamente recepito la data di nascita del paziente e quindi aveva selezionato il nominativo dell’altro paziente, omonimo. In secondo luogo, la struttura sanitaria rilevava che l’interessato non avesse subito alcuna conseguenza negativa da tale errore, posto che lo stesso quando aveva effettuato l’accesso al proprio FSE aveva soltanto visto un referto relativo a dati clinici che non gli appartenevano, ma nessun soggetto diverso da lui aveva visto i suoi dati sanitari. Né tanto meno lo stesso interessato aveva potuto identificare chi fosse l’altro paziente a cui quel referto (contenuto all’interno del suo FSE) fosse riferito.

Infine, l’Ospedale evidenziava come, venuta a conoscenza dell’errore, aveva immediatamente corretto la situazione, eliminando il referto dal FSE dell’interessato, ed aveva sensibilizzato il proprio personale sull’accaduto e sul corretto trattamento dei dati sanitario nonché effettuato una revisione delle procedure di accettazione dei pazienti al Pronto Soccorso.

In considerazione di ciò, la struttura sanitaria chiedeva l’archiviazione del procedimento nei suoi confronti.

La decisione del Garante

Il Garante per la protezione dei dati personali, pur apprezzando il comportamento tenuto dalla struttura sanitaria per attenuare le conseguenze negative della violazione, ha comunque ritenuto che la condotta dell’Ospedale configurasse comunque una violazione della normativa in materia di protezione dei dati personali e l’ha sanzionata con un semplice ammonimento (ritenendo comunque minore la violazione).

Preliminarmente, l’autorità ha evidenziato che, in ambito sanitario, la disciplina europea e nazionale in materia di protezione dei dati personali stabilisce che le informazioni sullo stato di salute di una persona possano essere comunicate solo all’interessato e possano essere comunicate a soggetti terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso, previa delega scritta di quest’ultimo.

Inoltre, i principi di integrità e riservatezza, previsto dal Regolamento europeo per la protezione dei dati personali (GDPR), stabiliscono che i dati personali devono essere trattati in maniera da garantire un’adeguata sicurezza e devono essere protetti da trattamenti non autorizzati o illeciti e dalla loro perdita, distruzione o danno accidentali, attraverso l’adozione da parte del titolare del trattamento di misure tecniche e organizzative adeguate.

Secondo il Garante, l’ erronea registrazione del paziente che aveva effettuato l’accesso al Pronto Soccorso della struttura sanitaria e il conseguente errato inserimento del referto di quest’ ultimo nel Fascicolo Sanitario Elettronico dell’ altro paziente, costituisce proprio una violazione dei suddetti principi di integrità e riservatezza dei dati, in quanto frutto di una non corretta adozione di idonei strumenti tecnici e organizzativi da parte della struttura sanitaria.

Sancita la violazione dei principi suddetti e ritenuto quindi che il comportamento posto in essere dalla struttura sanitaria configurasse un trattamento illecito di dati personali, ha determinato la sanzione applicabile al caso di specie. A tal proposito, il Garante ha, in primo luogo, valutato che l’episodio oggetto del procedimento è stato l’unico accertato e in generale un episodio isolato, che è derivato da un errore umano non volontario di un operatore del Pronto Soccorso in servizio presso il titolare del trattamento. In secondo luogo, l’Autorità ha altresì preso in considerazione il fatto che la stessa è venuta a conoscenza della violazione proprio grazie alla notifica spontanea del data breach da parte della stessa struttura sanitaria (titolare del trattamento), la quale ultima ha anche informato il paziente interessato di quanto accaduto e ha immediatamente eliminato le conseguenze pregiudizievoli della violazione (attraverso la eliminazione del referto relativo all’altro paziente dal Fascicolo Sanitario Elettronico dell’interessato) ed ha altresì sottoposto a controllo e revisione le procedure di identificazione dei pazienti che accedono al Pronto Soccorso e sviluppato delle iniziative formative volte a sensibilizzare le persone autorizzate al trattamento al rispetto della disciplina in materia di protezione dati personali.

In considerazione di tali valutazioni, quindi, il Garante per la protezione dei dati personali ha ritenuto di qualificare il caso come “violazione minore” e conseguentemente ha ritenuto che fosse sufficiente sanzionare la struttura sanitaria con un semplice ammonimento al rispetto delle disposizioni in tema di protezione dei dati personali.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Monica Mandico, 2019, Maggioli Editore

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad...



 

 

Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

pier-paolo-muia

Muia' Pier Paolo

Co-founder dello Studio Legale "MMP Legal", svolge la professione di avvocato in Firenze, Prato e Pistoia, occupandosi in via principale con il suo staff di responsabilità professionale e civile; internet law, privacy e proprietà intellettuale nonchè diritto tributario. In particolare, svolge attività di assistenza e difesa sia di professionisti destinatari di richieste di risarcimento  danni per inadempimento professionale sia di soggetti danneggiati da sinsitri, soprattutto per malpractice medica; consulenza relativamente alla gestione e alla tutela dei dati personali in ogni area e settore di attività nonché assistenza e difesa, stragiudiziale e giudiziale, per quanto riguarda i contratti e i rapporti tramite internet ed in generale tutte le problematiche relative ai servizi on line ed ai correlati diritti; redazione di accordi di licenza e cessione di marchi, dei diritti di sfruttamento economico delle opere dell'ingegno, di know-how e di brevetti; difesa giudiziale per la tutela dei diritti d'autore e di brevetti, marchi e disegni, nonché avverso attività di concorrenza sleale; difesa e rappresentanza nei giudizi dinanzi alle commissioni tributarie. Per Diritto.it è Referente delle sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio. Pagina Facebook: https://www.facebook.com/studiolegalemasimuia/?ref=br_rs Pagina Instagram: https://www.instagram.com/mmp_studiolegale/


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

Ricevi tutte le novità di Diritto.it attraverso le nostre newsletter. Se sei interessato a un ambito specifico effettua l’iscrizione direttamente a questo indirizzo.

Non abbandonare Diritto.it
senza iscriverti alle newsletter!