Dati sanitari dei pazienti e trasparenza: il Garante sanziona una ASL

I dati relativi alla salute godono di una tutela rafforzata e, fatte salve le eccezioni previste dalle norme in materia, ne è vietata la diffusione. Anche il principio di trasparenza nell’azione amministrativa non può violare la privacy delle persone.

Oggi vi segnalo una recente ordinanza-ingiunzione dell’Autorità Garante per la protezione dei dati personali (n. 199 del 26 maggio 2022) che ha sanzionato una ASL per illecito trattamento dei dati dei pazienti.

Vediamo i motivi del provvedimento per evitare di commettere gli stessi errori.

Il caso

Un’Azienda sanitaria locale pubblica, in chiaro sul proprio sito web istituzionaletutti i nominativi ed i dati relativi alla salute dei soggetti che hanno fatto richiesta di accesso civico ai propri documenti in due annate precedenti. Nella maggior parte dei casi gli atti riguardano la documentazione sanitaria degli interessati – fra cui cartelle cliniche, accertamenti di invalidità, test, relazioni tecniche, ecc. – che rendono identificabile la tipologia di trattamento medico, esame diagnostico e/o stato fisico o mentale concernente l’interessato.

Nello specifico, i documenti contengono:

– nel campo mittente, dati e informazioni personali, con specifica indicazione del nominativo del soggetto interessato o del proprio rappresentate legale, oppure di entrambi

– in un numero molto rilevante di casi, dati relativi alla salute dei soggetti interessati, considerato che la tipologia di atti richiesti alla ASL, nella maggior parte degli accessi, è inerente a documentazione sanitaria (fra cui cartelle cliniche, accertamenti di invalidità, test, relazioni tecniche, ecc.)

– nel campo oggetto, dettagliate descrizioni di quanto richiesto, con chiare indicazioni sempre a dati sulla salute dei soggetti interessati (per esempio: «visita del XX presso la commissione di prima istanza per l’accertamento degli stati di invalidità»; «Richiesta acquisizione visione analisi tossicologiche»; «copia conforme all’originale esami clinici, visita psichiatrica e test psicodiagnostici»; «Richiesta di copia in carta semplice dei test funzioni attentive»; «[…] consegna della documentazione ecografica comprensiva di ecografie – radiografie e referti di tutti gli esami effettuati dal 2009 al 2010», ecc.)

L’Autorità Garante, nello svolgimento delle sue attività di controllo, rileva l’anomala pubblicazione di dati da parte della ASL e si attiva dunque d’ufficio – cioè senza necessità di una segnalazione da parte degli interessati – aprendo un’istruttoria al riguardo. Vediamone i motivi e l’esito.

I motivi dell’istruttoria dell’Autorità Garante

Le violazioni rilevate dall’Autorità sono state le seguenti:

Le difese dell’amministrazione

All’esito della ricezione della comunicazione di apertura dell’istruttoria, l’Ente ha, in particolare, replicato:

– che i file in questione erano stati caricati sul sito istituzionale per mero errore materiale

– che nessuna segnalazione o lamentatela da parte di eventuali interessati era pervenuta all’Azienda

– di aver comunque tempestivamente posto in essere numerose azioni di analisi e rimedio

– di aver in particolare realizzato, con il supporto del DPO aziendale, apposite linee guida per la corretta pubblicazione dei file nel rispetto della normativa in materia di trattamenti dei dati personali.

L’esito dell’istruttoria

Alla luce di tutto quanto precede, il Garante ha irrogato all’ASL in questione una sanzione di Euro 46.000,00.

Nel determinare l’importo della sanzione, il Garante ha tenuto conto di alcuni elementi attenuanti come, in particolare, il carattere del tutto accidentale della condotta, l’assenza di segnalazioni o lamentele dei soggetti interessati, il tempestivo intervento della Asl per porre rimedio alla violazione, la collaborazione con l’Autorità e le misure tecniche e organizzative messe poi in atto a garanzia dei dati personali.

Il provvedimento richiama ancora una volta l’attenzione sulla delicatezza della materia della tutela della riservatezza dei dati personali e, in particolare, dei dati afferenti alla salute dei pazienti e sull’importanza di attuare tutte le misure necessarie ed appropriate per prevenire eventuali violazioni.

Per maggiori informazioni sul tema, vedi anche i miei precedenti post, tra i quali “Trattamento dei dati in ambito sanitario: tutti gli errori da evitare” e “GDPR e trattamento dei dati in ambito sanitario: i chiarimenti del Garante”.

Ci aggiorniamo la prossima settimana con un altro, interessante argomento!

Nel frattempo, resta collegato o iscriviti alla newsletter per non perdere i prossimi aggiornamenti.

A presto!

LEGGI IL DOCUMENTO

Autorità Garante per la protezione dei dati personali, ordinanza-ingiunzione n. 199 del 26 maggio 2022