Garante per la protezione dei dati personali: Provvedimento numero 29 del 27 gennaio 2021
Riferimenti normativi: art 58, paragrafo 2, del GDPR; art. 9 del GDPR; art 83 del Codice privacy; art. 22, comma 11, d.lgs. 10 agosto 2018; art. 5, par. 1, lett. f) del GDPR;
Fatto
Un’azienda Ospedaliera Universitaria, a seguito di un errore nella consegna della documentazione sanitaria avvenuta a soggetto diverso dall’interessato, aveva provveduto a comunicare al Garante per la protezione dei dati personali la violazione di dati personali ai sensi dell’art. 33 del GDPR.
In particolare nella comunicazione inviata all’Autorità Garante, l’Azienda Ospedaliera aveva riferito che per un errore materiale e umano, al momento dell’imbustamento, era stato inviato a soggetti terzi, per mezzo raccomandata postale, una relazione medica relativa ad una “consulenza genetica” riferita ad altri soggetti interessati. L’Azienda aveva, inoltre, dichiarato di aver appreso dell’errore commesso direttamente dai soggetti terzi, che aveva ricevuto la documentazione sbagliata.
Nella comunicazione destinata all’Autorità, l’Azienda Ospedaliera aveva, poi, informato il Garante della natura dei dati oggetto di violazione, specificando che seppur la documentazione era stata fatta a seguito di una consulenza genetica, questa non conteneva dati genetici, ma dati relativi alla salute e alla vita sessuale di due persone fisiche, e informazioni sulla salute dei loro familiari, non identificati direttamente, ma citati per rapporto di parentela.
Sempre all’interno della comunicazione era stato, poi, specificato che il documento, che era stato erroneamente consegnato a terzi, era stato recuperato e consegnato al direttore della struttura aziendale interessata, e che erano stati presi delle misure volte a ridurre il rischio del ripetersi di tali eventi. L’Azienda, infatti, spiega di aver provveduto ad adibire a mansioni diverse, e più idonee, l’operatore addetto alla spedizione delle relazioni mediche, che ha materialmente commesso l’errore, e di aver sostituito l’invio cartaceo della documentazione sanitaria in parola con un invio telematico, attraverso un indirizzo di posta elettronica certificata di reparto, con la generazione di codici a barre specifici per pazienti.
L’Autorità Garante, ricevuta la comunicazione da parte dell’Azienda Ospedaliera, aveva rinvenuto nella condotta descritta, vale a dire l’invio di una relazione medica appartenente a due soggetti, ed effettuata nell’ambito di una consulenza genetica, contenente quindi dati sulla salute e sulla vita sessuale degli interessati, a soggetti terzi, una violazione del trattamento dei dati, avendo riferito dati relativi alla salute a terzi in assenza di un idoneo presupposto giuridico. Per tale ragione il Garante aveva deciso di avviare una procedura per l’adozione di provvedimenti i cui all’articolo 58, paragrafo 2, del Regolamento.
Iniziata la suddetta procedura, nell’ambito delle formalità previste in questa fase, l’Azienda Ospedaliera aveva inviato delle memorie difensive al fine di meglio specificare gli eventi accaduti. In prima battuta l’Azienda ha chiarito che, messa a conoscenza dell’errore delle documentazione inviata dai soggetti destinatari della raccomandata, aveva con essi preso accordi per la restituzione della stessa, proponendo il ritiro del referto a mezzo di un corriere appositamente inviato dall’Azienda al quale i due soggetti avrebbero consegnato il documento, in busta chiusa, indirizzata al Direttore UOC Genetica Medica.
L’Azienda Ospedaliera aveva, poi, precisato al Garante di aver immediatamente acquisito tutte le informazioni utili per circostanziare l’evento al fine di poter limitarne gli effetti negativi, in particolare la perdita di riservatezza dei dati personali protetti da segreto professionale riferiti agli altri soggetti che si erano sottoposti alla consulenza genetica.
A tal proposito l’Azienda aveva riferito al Garante di aver contattato i soggetti coinvolti, i cui dati erano stati riferiti erroneamente a terzi non titolari, e di aver loro comunicato quanto accaduto e le circostanze in cui l’errore era accaduto al fine di analizzare le cause che hanno prodotto l’errore, adottare le misure organizzative immediate per limitare gli effetti negativi e pianificare le ulteriori misure tecniche e organizzative ritenute necessarie per ridurre al minimo l’errore umane.
In fine nelle memorie difensive l’Azienda aveva precisato che la violazione di dati personali che si era verificata non era affatto intenzionale, non era quindi caratterizzata da dolo, ma era dipesa esclusivamente da un errore materiale involontario accaduto durante l’imbustamento della relazione medica in una busta riportante l’indirizzo di residenza di soggetti terzi.
La decisione del Garante
In ordine alla condotta riferita, il Garante ha, preliminarmente alla sua decisione, voluto ricordare che in ambito sanitario la disciplina in materia di protezione dei dati personali prevede che le informazioni sullo stato di salute possono essere comunicate solo all’interessato, potendo essere riferite a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso, previa delega scritta di quest’ultimo. Inoltre tali dati personali devono essere trattati in maniera da garantire un’adeguata sicurezza e protezione da eventuali trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o da danni accidentali, attraverso l’adozione di misure tecniche e organizzative adeguate.
In riferimento all’episodio riportato dall’Azienda Ospedaliera, il Garante ha ritenuto che l’invio a terzi della relazione medica, effettuata nell’ambito di una consulenza genetica, contenente dati sulla salute e sulla vita sessuale degli interessati, abbia determinato una comunicazione dei predetti dati a soggetti non legittimati in assenza di un idoneo presupposto giuridico, raffigurando in tal modo un trattamento illecito dei dati personali.
L’Autorità Garante, dunque, considerando che il fatto di aver erroneamente inviato un referto medico contenente dati sulla salute di due pazienti a soggetti terzi, diversi dai titolari dei suddetti dati personali, configura un trattamento illecito dei dati personali ha provveduto ad adottare una sanzione pecuniaria nei confronti dell’Azienda Ospedaliera.
Allo stesso tempo ha ritenuto non necessario disporre, accanto alla sanzione pecuniaria, misure correttive, avendo la condotta descritta esaurito i suoi effetti, i documenti erroneamente consegnati a terzi, infatti, sono stati restituiti, e avendo pianificato le ulteriori misure tecniche e organizzative ritenute necessarie per ridurre al minimo l’errore umano.
Volume consigliato
Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali
Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder. Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.
Monica Mandico | 2019 Maggioli Editore
Scrivi un commento
Accedi per poter inserire un commento