L’Invio involontario a soggetti terzi del referto di una consulenza genetica costituisce un trattamento illecito dei dati personali

di Muia' Pier Paolo, Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio

 

Garante per la protezione dei dati personali: Provvedimento numero 29 del 27 gennaio 2021

Riferimenti normativi: art 58, paragrafo 2, del GDPR; art. 9 del GDPR; art 83 del Codice privacy; art. 22, comma 11, d.lgs. 10 agosto 2018; art. 5, par. 1, lett. f) del GDPR;

Fatto

Un’azienda Ospedaliera Universitaria, a seguito di un errore nella consegna della documentazione sanitaria avvenuta a soggetto diverso dall’interessato, aveva provveduto a comunicare al Garante per la protezione dei dati personali la violazione di dati personali ai sensi dell’art. 33 del GDPR.

In particolare nella comunicazione inviata all’Autorità Garante, l’Azienda Ospedaliera aveva riferito che per un errore materiale e umano, al momento dell’imbustamento, era stato inviato a soggetti terzi, per mezzo raccomandata postale, una relazione medica relativa ad una “consulenza genetica” riferita ad altri soggetti interessati. L’Azienda aveva, inoltre, dichiarato di aver appreso dell’errore commesso direttamente dai soggetti terzi, che aveva ricevuto la documentazione sbagliata.

Nella comunicazione destinata all’Autorità, l’Azienda Ospedaliera aveva, poi, informato il Garante della natura dei dati oggetto di violazione, specificando che seppur la documentazione era stata fatta a seguito di una consulenza genetica, questa non conteneva dati genetici, ma dati relativi alla salute e alla vita sessuale di due persone fisiche, e informazioni sulla salute dei loro familiari, non identificati direttamente, ma citati per rapporto di parentela.

Sempre all’interno della comunicazione era stato, poi, specificato che il documento, che era stato erroneamente consegnato a terzi, era stato recuperato e consegnato al direttore della struttura aziendale interessata, e che erano stati presi delle misure volte a ridurre il rischio del ripetersi di tali eventi. L’Azienda, infatti, spiega di aver provveduto ad adibire a mansioni diverse, e più idonee, l’operatore addetto alla spedizione delle relazioni mediche, che ha materialmente commesso l’errore, e di aver sostituito l’invio cartaceo della documentazione sanitaria in parola con un invio telematico, attraverso un indirizzo di posta elettronica certificata di reparto, con la generazione di codici a barre specifici per pazienti.

L’Autorità Garante, ricevuta la comunicazione da parte dell’Azienda Ospedaliera, aveva rinvenuto nella condotta descritta, vale a dire l’invio di una relazione medica appartenente a due soggetti, ed effettuata nell’ambito di una consulenza genetica, contenente quindi dati sulla salute e sulla vita sessuale degli interessati, a soggetti terzi,  una violazione del trattamento dei dati, avendo riferito dati relativi alla salute a terzi in assenza di un idoneo presupposto giuridico. Per tale ragione il Garante aveva deciso di avviare una procedura per l’adozione di provvedimenti i cui all’articolo 58, paragrafo 2,  del Regolamento.

Iniziata la suddetta procedura, nell’ambito delle formalità previste in questa fase, l’Azienda Ospedaliera aveva inviato delle memorie difensive al fine di meglio specificare gli eventi accaduti. In prima battuta l’Azienda ha chiarito che, messa a conoscenza dell’errore delle documentazione inviata dai soggetti destinatari della raccomandata, aveva con essi preso accordi per la restituzione della stessa, proponendo il ritiro del referto a mezzo di un corriere appositamente inviato dall’Azienda al quale i due soggetti avrebbero consegnato il documento, in busta chiusa, indirizzata al Direttore UOC Genetica Medica.

L’Azienda Ospedaliera aveva, poi, precisato al Garante di aver immediatamente acquisito tutte le informazioni utili per circostanziare l’evento al fine di poter limitarne gli effetti negativi, in particolare la perdita di riservatezza dei dati personali protetti da segreto professionale riferiti agli altri soggetti che si erano sottoposti alla consulenza genetica.

A tal proposito l’Azienda aveva riferito al Garante di aver contattato i soggetti coinvolti, i cui dati erano stati riferiti erroneamente a terzi non titolari, e di aver loro comunicato quanto accaduto e le circostanze in cui l’errore era accaduto al fine di analizzare le cause che hanno prodotto l’errore, adottare le misure organizzative immediate per limitare gli effetti negativi e pianificare le ulteriori misure tecniche e organizzative ritenute necessarie per ridurre al minimo l’errore umane.

In fine nelle memorie difensive l’Azienda aveva precisato che la violazione di dati personali che si era verificata non era affatto intenzionale, non era quindi caratterizzata da dolo, ma era dipesa esclusivamente da un errore materiale involontario accaduto durante l’imbustamento della relazione medica in una busta riportante l’indirizzo di residenza di soggetti terzi.

La decisione del Garante

In ordine alla condotta riferita, il Garante ha, preliminarmente alla sua decisione, voluto ricordare che in ambito sanitario la disciplina in materia di protezione dei dati personali prevede che le informazioni sullo stato di salute possono essere comunicate solo all’interessato, potendo essere riferite a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso, previa delega scritta di quest’ultimo. Inoltre tali dati personali devono essere trattati in maniera da garantire un’adeguata sicurezza e protezione da eventuali trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o da danni accidentali, attraverso l’adozione di misure tecniche e organizzative adeguate.

In riferimento all’episodio riportato dall’Azienda Ospedaliera, il Garante ha ritenuto che l’invio a terzi della relazione medica, effettuata nell’ambito di una consulenza genetica, contenente dati sulla salute e sulla vita sessuale degli interessati, abbia determinato una comunicazione dei predetti dati a soggetti non legittimati in assenza di un idoneo presupposto giuridico, raffigurando in tal modo un trattamento illecito dei dati personali.

L’Autorità Garante, dunque, considerando che il fatto di aver erroneamente inviato un referto medico contenente dati sulla salute di due pazienti a soggetti terzi, diversi dai titolari dei suddetti dati personali, configura un trattamento illecito dei dati personali ha provveduto ad adottare una sanzione pecuniaria nei confronti dell’Azienda Ospedaliera.

Allo stesso tempo ha ritenuto non necessario disporre, accanto alla sanzione pecuniaria, misure correttive, avendo la condotta descritta esaurito i suoi effetti, i documenti erroneamente consegnati a terzi, infatti, sono stati restituiti, e avendo pianificato le ulteriori misure tecniche e organizzative ritenute necessarie per ridurre al minimo l’errore umano.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Monica Mandico, 2019, Maggioli Editore

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad...



Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

pier-paolo-muia

Muia' Pier Paolo

Co-founder dello Studio Legale "MMP Legal", svolge la professione di avvocato in Firenze, Prato e Pistoia, occupandosi in via principale con il suo staff di responsabilità professionale e civile; internet law, privacy e proprietà intellettuale nonchè diritto tributario. In particolare, svolge attività di assistenza e difesa sia di professionisti destinatari di richieste di risarcimento  danni per inadempimento professionale sia di soggetti danneggiati da sinsitri, soprattutto per malpractice medica; consulenza relativamente alla gestione e alla tutela dei dati personali in ogni area e settore di attività nonché assistenza e difesa, stragiudiziale e giudiziale, per quanto riguarda i contratti e i rapporti tramite internet ed in generale tutte le problematiche relative ai servizi on line ed ai correlati diritti; redazione di accordi di licenza e cessione di marchi, dei diritti di sfruttamento economico delle opere dell'ingegno, di know-how e di brevetti; difesa giudiziale per la tutela dei diritti d'autore e di brevetti, marchi e disegni, nonché avverso attività di concorrenza sleale; difesa e rappresentanza nei giudizi dinanzi alle commissioni tributarie. Per Diritto.it è Referente delle sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio. Pagina Facebook: https://www.facebook.com/studiolegalemasimuia/?ref=br_rs Pagina Instagram: https://www.instagram.com/mmp_studiolegale/


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

Ricevi tutte le novità di Diritto.it attraverso le nostre newsletter. 

Non abbandonare Diritto.it
senza iscriverti alle newsletter!