Violazioni privacy in sanità: il Garante sanziona aziende e strutture sanitarie

in Danno non patrimoniale Data privacy Organizzazione aziendale responsabilità on Share

Il nuovo anno si è aperto con l’irrogazione, da parte del Garante Privacy, di una serie di sanzioni ad aziende e strutture sanitarie per violazioni di varia natura, tutte connesse al trattamento dei dati personali e sanitari dei pazienti. Vediamole insieme per evitare gli stessi errori.

 

Le ultime istruttorie concernenti l’erronea comunicazione dei dati dei pazienti a terzi

Ben tre istruttorie dell’Autorità Garante della Privacy, tutte conclusesi con ordinanza-ingiunzione emessa in data 27 gennaio 2021, hanno avuto per oggetto violazioni per erronea comunicazione dei dati personali e concernenti la salute di pazienti a soggetti terzi, non autorizzati a riceverle.

Nel primo caso, un ospedale toscano ha ricevuto la sanzione pecuniaria di Euro 10.000,00 per aver spedito a mezzo posta, al paziente sbagliato, una relazione medica contenente informazioni sulla salute e la vita sessuale di un’altra coppia, a causa di un errore nell’imbustamento del documento.

In un altro caso, un ospedale emiliano ha ricevuto analoga sanzione per aver consegnato a dei pazienti cartelle cliniche contenenti dati e referti riferibili ad altre persone, incluso un minore.

In entrambi i casi le sanzioni sono state calcolate tenendo conto del fatto che:

  • le strutture sanitarie hanno immediatamente dimostrato un elevato grado di cooperazione con il Garante
  • gli episodi sono risultati isolati e non volontari
  • le strutture hanno non solo cercato di rimediare, in quanto possibile, al danno causato, ma anche pianificato ulteriori misure tecniche e organizzative per cercare di ridurre al minimo l’occorrenza di errori umani.

Il terzo caso, più grave dei precedenti, concerne una AUSL dell’Emilia-Romagna, dove una paziente aveva esplicitamente richiesto che nessun soggetto terzo, neppure i familiari, fosse informato sul suo stato di salute e chiesto espressamente di essere contattata solo tramite il numero di telefono cellulare personale, che veniva inserito all’interno della cartella clinica. Sennonché l’infermiera di reparto, ignara della richiesta della paziente e nell’urgenza di comunicarle la posologia di una terapia, contattava la paziente utilizzando il numero registrato nell’anagrafe aziendale, cioè quello del telefono di casa, parlando così con il marito e comunicandogli la struttura e reparto ospedaliero dal quale chiamava.

Anche in questo caso, l’Azienda:

  • ha riconosciuto gli errori che hanno causato la violazione
  • si è impegnata ad implementare un sistema informatizzato di gestione dei numeri di telefono dei pazienti ricoverati e a predisporre una modulistica unica con la quale i pazienti potranno esprimere la loro eventuale volontà di comunicare informazioni sul proprio stato di salute ai terzi, introducendo una specifica policy aziendale.

Considerata la particolare gravità della violazione e l’impatto dannoso particolarmente elevato causato alla vita privata dell’interessata, la AUSL – alla quale è pervenuta anche una richiesta di risarcimento dei danni da parte della paziente – dovrà pagare una sanzione di Euro 50.000,00 per la violazione del Regolamento UE n. 679/2016 (cd. “GDPR”).

 

…e quelle per altre violazioni di dati sanitari

Il mese di gennaio 2021 si è tuttavia aperto con l’irrogazione da parte dell’Autorità Garante, in data 14 gennaio, di altre due sanzioni sempre concernenti casi di violazioni in ambito sanitario.

Il primo caso concerne un poliambulatorio, denunciato al Garante da parte di un paziente che non aveva avuto tempestivo riscontro alla sua richiesta di accesso ai dati personali suoi e delle due figlie minori detenuti dalla struttura.

Il ritardo della struttura nell’evasione della richiesta (che ha richiesto 62 giorni, anziché i 30 giorni indicati dall’art. 12 del GDPR) e gli errori di comunicazione commessi nell’adempimento sono costati alla struttura una sanzione pecuniaria, tutto sommato modesta, di Euro 2.000,00.

Il secondo caso concerne una segnalazione pervenuta dal reparto di Oncologia di un Ospedale romagnolo circa le lamentele avanzate da due pazienti in relazione alla presenza, nel loro fascicolo sanitario elettronico (FSE), di documenti contenente le lettere di dimissione ospedaliera con relative terapie farmacologiche di altri pazienti afferenti allo stesso reparto. A seguito di più accurate ricerche, l’Azienda Ospedaliera ha accertato che:

– gli errori di inserimento avevano in realtà riguardato ben 182 FSE, di cui 49 attivi, e che solo 14 pazienti, dei 49 con FSE attivo, avevano effettivamente visionato il documento erroneamente inserito nel loro FSE;

l’evento sarebbe stato generato dall’errore manuale di un tecnico appartenente ad una ditta esterna e sarebbe stato in ogni caso emendato nelle ore immediatamente successive alla segnalazione.

Tale errore è costato alla AUSL di riferimento l’irrogazione della sanzione pecuniaria di Euro 18.000,00.

Quanto sopra immediatamente a seguire dell’irrogazione, avvenuta nel mese di dicembre, della sanzione di ben 100.000,00 Euro ad una AUSL Toscana per erroneo trattamento dei dati sanitari nel contesto di un piano di “medicina d’iniziativa”, finalizzato all’arruolamento di pazienti affetti da determinate patologie croniche individuate a livello regionale al fine di proporre loro un piano di assistenza individuale. Tutti i particolari del caso specifico a questo link.

 

Il monito dell’Autorità Garante

Alla luce di questi episodi (e di altri ancora in corso di valutazione), il Garante ha ricordato che la disciplina in materia di protezione dei dati personali prevede – in ambito sanitario – che le informazioni sullo stato di salute dei pazienti possano essere comunicate a terzi solo sulla base di un presupposto giuridico o su indicazione della persona interessata, previo rilascio di delega scritta.

Il Garante ha inoltre invitato tutte le strutture sanitarie al pieno rispetto dei principi di correttezza e trasparenza ed ad adottare misure tecniche e organizzative (incluse idonee procedure e la formazione del personale) adeguate a garantire un livello di sicurezza adeguato al rischio utili a evitare violazioni di dati personali, in particolare quelli più delicati – come quelli sulla salute – troppo spesso causate da inadeguate procedure gestionali.

Il tutto anche in relazione a quanto previsto dagli articoli da 10 a 12 del Codice di Deontologia Medica relativi, rispettivamente concernenti gli obblighi deontologici sulle materie del segreto professionale, della riservatezza dei dati personali e del trattamento dei dati sensibili sussistenti in capo a ciascun professionista medico.

 

Per concludere

Dall’esame delle istruttorie sopra menzionate emerge l’importanza, a livello sanitario, non solo di tutelare i dati personali e sanitari dei pazienti mediante l’adozione di misure di sicurezza idonee a proteggersi da attacchi informatici provenienti dall’esterno, ma di ripensare anche la struttura e le procedure operative interne a ciascuna realtà sanitaria – pubblica o privata, strutturata o individuale – in linea con le indicazioni del GDPR e con le altre norme applicabili, per gestire i dati in maniera razionale, efficiente, trasparente e sicura ed evitare il rischio di irrogazione di sanzioni anche molto importanti.

Per approfondire questi temi, vedi anche il mio post “Trattamento dei dati in ambito sanitario: tutti gli errori da evitare“.

 

Ci aggiorniamo la prossima settimana con un nuovo, interessante argomento!

Nel frattempo, resta collegato o iscriviti alla newsletter per non perdere i prossimi aggiornamenti.

A presto!

 

LEGGI I DOCUMENTI

https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9544457

https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9544092

https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9544504

https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9542096

https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9542155

https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9529527

You May Also Like

on

E-mail, sistemi di messaggistica et similia: come la tecnologia cambia il rapporto medico-paziente

on

Omessa diagnosi di frattura e decesso del paziente per trombosi: chi ne risponde?

on

La posizione di garanzia dell’infermiere nei confronti del paziente e la sua responsabilità professionale