Qualora il titolare del trattamento (struttura sanitaria, anche privata, o medico) intenda, a seguito di richiesta dell’interessato, inviare copia del referto in formato digitale alla casella di posta elettronica del paziente stesso, deve osservare le cautele indicate dal Garante della Privacy e dalla normativa in vigore.
In mancanza, si espone all’applicazione delle sanzioni previste per la violazione della riservatezza del paziente.
Oggi vi segnalo un recente provvedimento del Garante per la Protezione dei dati personali in tema di invio di referti online, che riassume le regole per la tutela del diritto alla riservatezza dei pazienti in questo specifico frangente. Vediamole di seguito.
Il caso
Una signora si reca con le due figlie minorenni per esami presso una struttura sanitaria privata, acconsentendo all’invio dei relativi referti via email, senza l’utilizzo di password.
Di seguito, la stessa signora riceve una email con il referto relativo ad una sola delle due bambine; contatta dunque telefonicamente la struttura per avere chiarimenti in merito. L’operatore verifica, nel corso della chiamata, quanto avvenuto e procede ad un secondo invio del referto mancante via email. Sennonché, poco dopo la signora richiama, facendo nuovamente presente di non aver ricevuto il referto.
L’operatore, controllando in tempo reale la posta, si rende conto di aver inviato il referto ad un indirizzo e-mail sbagliato e lo fa subito presente all’interessata; contatta poi immediatamente l’erroneo destinatario tramite telefono, segnalando l’errore e chiedendo la cancellazione del messaggio – che non era stato ancora aperto – richiesta che viene subito accolta. Il tutto avviene in una decina di minuti.
Di seguito, la struttura sanitaria adotta una serie di azioni di mitigazione del rischio di diffusione dei dati dei pazienti e, nello specifico:
– procede ad incontri di formazione ed istruzione specifica dei propri incaricati, con richiamo ad una maggiore attenzione
– adotta un sistema di accesso alla refertazione online sicuro, mediante password o codice criptato.
Nonostante l’immediata reazione dell’operatore, la signora presenta reclamo al Garante Privacy. Vediamo qual è l’esito dell’istruttoria svolta dall’Autorità sul caso.
Principi generali in materia di data privacy da tenere presente per lo specifico trattamento
Il titolare del trattamento (cioè il medico o la struttura sanitaria) è innanzitutto tenuto a rispettare il principio di «integrità e riservatezza» dei dati, secondo il quale i dati personali dei pazienti devono essere
“trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (art. 5, par. 1, lett. f) del Regolamento).
I dati devono essere, altresì, trattati nel rispetto del principio di protezione dei dati fin dalla progettazione del sistema (privacy by design), cioè “sia al momento di determinare i mezzi del trattamento, sia all’atto del trattamento stesso“.
Infine, il titolare del trattamento è tenuto ad adottare le misure tecniche e organizzative adeguate – considerati sia il cd. “stato dell’arte” sia i costi di attuazione – a garantire un livello di sicurezza dei dati appropriato rispetto ai rischi cui sono esposti, in particolare i rischi di distruzione, perdita, modifica, divulgazione non autorizzata, accesso accidentale o illegale.
Quali sono le regole per l’invio di referti a mezzo email?
Nello specifico, l’attività di refertazione online è disciplinata dalle “Linee guida in tema di referti on-line” del Garante Privacy, datate 19 novembre 2009, applicabili sia alle strutture sanitarie pubbliche che private.
In particolare, nel predetto provvedimento viene precisato che, qualora il titolare del trattamento intenda inviare copia del referto alla casella di posta elettronica dell’interessato, a seguito di sua richiesta, per il referto prodotto in formato digitale devono essere osservate le seguenti cautele:
1. spedizione del referto in forma di allegato a un messaggio e-mail, e non come testo inserito nel corpo del messaggio;
2. il file contenente il referto dovrà essere protetto con modalità idonee per impedire l’illecita o fortuita acquisizione delle informazioni trasmesse da parte di soggetti diversi da quello cui sono destinati (password per l’apertura del file o chiave crittografica) rese note agli interessati tramite canali di comunicazione differenti da quelli utilizzati per la spedizione dei referti.
Tale cautela può non essere osservata qualora l’interessato ne faccia espressa e consapevole richiesta.
3. Convalida degli indirizzi e-mail tramite apposita procedura di verifica on-line, in modo da evitare la spedizione di documenti elettronici, pur protetti con tecniche di cifratura, verso soggetti diversi dall’utente richiedente il servizio.
In materia, si tenga presente anche il d.P.C.M. 8 agosto 2013, titolato “Modalità di consegna, da parte delle Aziende sanitarie, dei referti medici tramite web, posta elettronica certificata e altre modalità digitali, nonché di effettuazione del pagamento online delle prestazioni erogate”.
L’applicazione dei principi al caso concreto
Nel caso oggi in commento il Garante, pur preso atto del tempestivo intervento dell’operatore per risolvere il problema e delle misure successivamente adottate dalla struttura interessata, ha considerato che:
- all’epoca dei fatti, la struttura sanitaria non aveva predisposto alcuna misura idonea ad impedire l’illecita o fortuita acquisizione delle informazioni trasmesse da parte di soggetti diversi dal destinatario, come, ad esempio, l’utilizzo di una password o di una chiave crittografica per l’apertura del file;
- l’acquisizione di un consenso degli interessati alla trasmissione via mail dei referti “in formato .pdf senza l’utilizzo di password” (che, in ogni caso, non può essere assimilata ad una espressa e consapevole richiesta degli stessi) non solleva il titolare della struttura dal dovere di valutare, nel corso del tempo, l’adeguatezza del livello di sicurezza dei sistemi, che tenga anche conto dello sviluppo tecnologico e dei nuovi rischi di volta in volta emergenti.
Alla luce di quanto precede, il Garante ha concluso che la struttura abbia mancato di ottemperare agli obblighi di adozione delle misure tecniche e organizzative idonee a garantire il livello di sicurezza adeguato ai rischi presentati dal trattamento, e ha comminato alla stessa una sanzione amministrativa di Euro 7.000,00 per la violazione.
Ci aggiorniamo presto con un nuovo, interessante argomento!
Nel frattempo, resta collegato ed iscriviti alla newsletter per non perdere i prossimi aggiornamenti.
A presto!
LEGGI I DOCUMENTI
Provvedimento del Garante per la Protezione dei dati personali n. 10074551 del 17 ottobre 2024