Privacy nelle strutture sanitare: comunicare dati relativi alla salute alla persona sbagliata costa caro

Per le Strutture sanitarie comunicare informazioni relative alla salute alla persona sbagliata rischia di costare molto caro! E’ particolarmente alta, infatti, l’attenzione del Garante per la Protezione dei Dati Personali nei confronti di chi tratta dati sanitari.

Sono illuminanti alcune recenti ordinanze-ingiunzioni (la prima del 14 gennaio, tre del 27 gennaio, un’altra dell’11 febbraio 2021)  con le quali il Garante della Privacy ha sanzionato due Aziende Ospedaliere e tre ASL per avere erroneamente comunicato (o reso consultabili) dati relativi alla salute di propri pazienti a soggetti diversi da quelli legittimati ad averne visione.

Le sanzioni

La prima Azienda Ospedaliera ha ricevuto la sanzione di  10.000  euro per avere spedito, via posta, al paziente sbagliato (a causa di un errore nella fase dell’imbustamento) una relazione medica (dell’UOC Genetica Medica) contenente informazioni sulla salute e la vita sessuale di una coppia.

La seconda Azienda Ospedaliera ha ricevuto anch’essa la sanzione di  10.000 euro per avere consegnato a dei pazienti, in due distinte occasioni, cartelle cliniche nelle quali erano stati erroneamente inseriti dati e referti di altre persone. Nel primo caso nella cartella rilasciata ai genitori di un paziente minore era contenuto l’esame microbiologico di altro soggetto. Nel secondo caso nella cartella consegnata all’erede di un paziente deceduto era contenuto il referto di altro paziente.

Volume consigliato

Del tutto particolare (e più grave) la vicenda che ha riguardato una ASL (del nord), che ha ricevuto la sanzione di  50.000 euro.

In questo caso una paziente, ricoverata per un’interruzione volontaria di gravidanza, aveva esplicitamente  richiesto, sottoscrivendo un apposito modulo, che nessun soggetto esterno, neppure i familiari, fosse informato sul suo stato di salute.  A tale proposito forniva un numero di telefono personale da utilizzare per successivi contatti.

All’atto delle dimissioni, l’infermiera incaricata di consegnare la lettera di dimissioni all’interessata, dopo averle consegnato la lettera era costretta momentaneamente ad assentarsi per rispondere ad una chiamata di altro degente.  Invitava, quindi, la  signora ad attenderla per confrontarsi sulle disposizioni mediche contenute nella lettera di dimissioni. La  signora, tuttavia, non attendeva e si allontanava senza avvisare.

L’infermiera, verificata la circostanza che era stato prescritto un farmaco alla paziente e che non aveva avuto la possibilità di fornirle indicazioni in ordine alla sua assunzione, tentava di contattarla  utilizzando il numero di telefono riportato sul frontespizio della cartella clinica  (numero registrato all’anagrafe informatizzata dell’Azienda). Numero fornito dalla stessa paziente in occasione di precedente contatto con la struttura sanitaria.  Tale numero di telefono, però, non era quello che la paziente aveva indicato in occasione del ricovero e che era riportato all’interno della  cartella clinica.

Alla telefonata dell’infermiera, che si presentava come “infermiera della ginecologia” ed aggiungeva di dover parlare con la signora per una terapia (senza però alcun esplicito riferimento ai motivi del ricovero né dell’intervento)  non rispondeva l’interessata ma un’altra persona: il marito!

Per il Garante della Privacy la condotta dell’infermiera ha comportato, nell’utilizzo di un numero telefonico diverso rispetto a quello indicato dalla paziente per eventuali contatti, l’esplicita correlazione, da parte di un terzo non legittimato (cioè il marito), tra l’interessata ed un determinato reparto di degenza indicativo di uno specifico stato di salute.  Da tale condotta è discesa una comunicazione di dati idonei a rivelare lo stato  di salute dell’interessata effettuata in assenza di idonea base giuridica ed in violazione dell’esplicito diniego della stessa a consentirne la conoscenza da parte di terzi. Inoltre, sempre per il Garante, la condotta è stata causata dalla inefficacia delle misure tecniche e organizzative implementate che si sono dimostrate inadeguate.

Il risarcimento danni

A titolo di cronaca, oltre alla sanzione del Garante all’Azienda Sanitaria è pervenuta anche la richiesta della paziente di risarcimento danni.

Altra ASL (anch’essa del nord Italia) è stata, invece, sanzionata (nella misura di 18.000 euro) per avere inserito nei Fascicoli Sanitari Elettronici di ben 182 assistiti un documento contenente le lettere di dimissioni ospedaliere, con relative terapie farmacologiche, di altri pazienti.  Anche in questo caso si tratta di dati relativi alla salute  finiti a pazienti sbagliati. E’ cambiata solo la modalità: non tramite posta ma per via informatica. Evento, nello specifico, generato da un errore manuale di un tecnico di un’azienda esterna incaricata dei servizi di manutenzione e assistenza informatica del sistema.

Infine, ad una ulteriore ASL (del centro Italia) è stata comminata la sanzione di 6.500 euro per avere spedito documenti (in forma cartacea) contenenti referti, relativi ad  esami ematici di un bambino, a persona diversa da quella legittimata a riceverli. Anche in tal caso l’evento occorso è stato determinato da errore umano nell’imbustamento della documentazione.

In tutti i casi, i procedimenti istruttori sono stati avviati dall’Ufficio del Garante in seguito alla notifica del data breach, da parte dalle stesse aziende ospedaliere e sanitarie, ai sensi dell’art. 33 del GDPR.

Negli episodi elencati emergono di tutta evidenza dei ricorrenti errori nella fase di inoltro (o di messa a disposizione) agli interessati dei referti (o, comunque, di documenti relativi alla loro salute). E’ quindi importante sottolineare come occorra una assoluta attenzione, da parte  delle strutture sanitarie (sia a livello organizzativo, sia da parte dei singoli operatori), nel trattamento dei dati personali degli assistiti.

Volume consigliato