Privacy e strutture sanitarie: elevate sanzioni per decine di migliaia di euro

Il Garante della Privacy tiene alta l'attenzione sulle violazioni alla riservatezza, in particolare sui dati sanitari. Come più volte riportato da Dottnet, è bene rispettare tutte le norme affinché non si cada in erroti che potrebbero costare cari. Ed è ciò che è accaduto ad alcune strutture, come illustra Diritto.it, la prima del 14 gennaio, tre del 27 gennaio, un’altra dell’11 febbraio 2021 con le quali il Garante della Privacy ha sanzionato due Aziende Ospedaliere e tre ASL per avere erroneamente comunicato (o reso consultabili) dati relativi alla salute di propri pazienti a soggetti diversi da quelli legittimati ad averne visione.  La prima Azienda Ospedaliera del lungo elenco ha ricevuto la sanzione di  10.000  euro per avere spedito, via posta, al paziente sbagliato (a causa di un errore nella fase dell’imbustamento) una relazione medica (dell’UOC Genetica Medica) contenente informazioni sulla salute e la vita sessuale di una coppia.

La seconda Azienda Ospedaliera ha ricevuto anch’essa la sanzione di  10.000 euro per avere consegnato a dei pazienti, in due distinte occasioni, cartelle cliniche nelle quali erano stati erroneamente inseriti dati e referti di altre persone. Nel primo caso nella cartella rilasciata ai genitori di un paziente minore era contenuto l’esame microbiologico di altro soggetto. Nel secondo caso nella cartella consegnata all’erede di un paziente deceduto era contenuto il referto di altro paziente. Del tutto particolare (e più grave) la vicenda che ha riguardato una ASL (del nord), che ha ricevuto la sanzione di  50.000 euro. In questo caso una paziente, ricoverata per un’interruzione volontaria di gravidanza, aveva esplicitamente  richiesto, sottoscrivendo un apposito modulo, che nessun soggetto esterno, neppure i familiari, fosse informato sul suo stato di salute.  A tale proposito forniva un numero di telefono personale da utilizzare per successivi contatti.

All’atto delle dimissioni, l’infermiera incaricata di consegnare la lettera di dimissioni all’interessata, dopo averle consegnato la lettera era costretta momentaneamente ad assentarsi per rispondere ad una chiamata di altro degente.  Invitava, quindi, la  signora ad attenderla per confrontarsi sulle disposizioni mediche contenute nella lettera di dimissioni. La  signora, tuttavia, non attendeva e si allontanava senza avvisare. L’infermiera, verificata la circostanza che era stato prescritto un farmaco alla paziente, si legge su Diritto.it,  e che non aveva avuto la possibilità di fornirle indicazioni in ordine alla sua assunzione, tentava di contattarla  utilizzando il numero di telefono riportato sul frontespizio della cartella clinica  (numero registrato all’anagrafe informatizzata dell’Azienda). Numero fornito dalla stessa paziente in occasione di precedente contatto con la struttura sanitaria.  Tale numero di telefono, però, non era quello che la paziente aveva indicato in occasione del ricovero e che era riportato all’interno della  cartella clinica.

Alla telefonata dell’infermiera, che si presentava come “infermiera della ginecologia” ed aggiungeva di dover parlare con la signora per una terapia (senza però alcun esplicito riferimento ai motivi del ricovero né dell’intervento)  non rispondeva l’interessata ma un’altra persona: il marito. Per il Garante della Privacy la condotta dell’infermiera ha comportato, nell’utilizzo di un numero telefonico diverso rispetto a quello indicato dalla paziente per eventuali contatti, l’esplicita correlazione, da parte di un terzo non legittimato (cioè il marito), tra l’interessata ed un determinato reparto di degenza indicativo di uno specifico stato di salute.  Da tale condotta è discesa una comunicazione di dati idonei a rivelare lo stato  di salute dell’interessata effettuata in assenza di idonea base giuridica ed in violazione dell’esplicito diniego della stessa a consentirne la conoscenza da parte di terzi. Inoltre, sempre per il Garante, la condotta è stata causata dalla inefficacia delle misure tecniche e organizzative implementate che si sono dimostrate inadeguate. A titolo di cronaca, oltre alla sanzione del Garante all’Azienda Sanitaria è pervenuta anche la richiesta della paziente di risarcimento danni.

Altra ASL (anch’essa del nord Italia) è stata, invece, sanzionata (nella misura di 18.000 euro) per avere inserito nei Fascicoli Sanitari Elettronici di ben 182 assistiti un documento contenente le lettere di dimissioni ospedaliere, con relative terapie farmacologiche, di altri pazienti.  Anche in questo caso si tratta di dati relativi alla salute  finiti a pazienti sbagliati. E’ cambiata solo la modalità: non tramite posta ma per via informatica. Evento, nello specifico, generato da un errore manuale di un tecnico di un’azienda esterna incaricata dei servizi di manutenzione e assistenza informatica del sistema. Infine, ad una ulteriore ASL (del centro Italia) è stata comminata la sanzione di 6.500 euro per avere spedito documenti (in forma cartacea) contenenti referti, relativi ad  esami ematici di un bambino, a persona diversa da quella legittimata a riceverli. Anche in tal caso l’evento occorso è stato determinato da errore umano nell’imbustamento della documentazione.

In tutti i casi, i procedimenti istruttori sono stati avviati dall’Ufficio del Garante in seguito alla notifica del data breach, da parte dalle stesse aziende ospedaliere e sanitarie, ai sensi dell’art. 33 del GDPR. Negli episodi elencati emergono di tutta evidenza dei ricorrenti errori nella fase di inoltro (o di messa a disposizione) agli interessati dei referti (o, comunque, di documenti relativi alla loro salute). E’ quindi importante sottolineare come occorra una assoluta attenzione, da parte  delle strutture sanitarie (sia a livello organizzativo, sia da parte dei singoli operatori), nel trattamento dei dati personali degli assistiti.

Infine, ad una ulteriore ASL (del centro Italia) è stata comminata la sanzione di 6.500 euro per avere spedito documenti (in forma cartacea) contenenti referti, relativi ad  esami ematici di un bambino, a persona diversa da quella legittimata a riceverli. Anche in tal caso l’evento occorso è stato determinato da errore umano nell’imbustamento della documentazione. In tutti i casi, i procedimenti istruttori sono stati avviati dall’Ufficio del Garante in seguito alla notifica del data breach, da parte dalle stesse aziende ospedaliere e sanitarie, ai sensi dell’art. 33 del GDPR. Negli episodi elencati emergono di tutta evidenza dei ricorrenti errori nella fase di inoltro (o di messa a disposizione) agli interessati dei referti (o, comunque, di documenti relativi alla loro salute). E’ quindi importante sottolineare come occorra una assoluta attenzione, da parte  delle strutture sanitarie (sia a livello organizzativo, sia da parte dei singoli operatori), nel trattamento dei dati personali degli assistiti.

Le aziende sanitarie. Il Dpo

Riguardo alle aziende sanitarie il Garante suggerisce di fornire le informazioni in maniera progressiva. Nei confronti della generalità dei pazienti possono essere fornite le informazioni relative ai trattamenti rientranti nelle ordinarie prestazioni sanitarie. Le informative relative a particolari attività di trattamento possono essere fornite successivamente solo in caso di pazienti effettivamente interessati da tali servizi. Il periodo, da indicare nelle informative, può essere fissato da regole specifiche. In caso di dubbi dovrà essere il titolare del trattamento a stabilirlo e indicarlo nelle informative: se non come periodo fisso, per lo meno precisando i criteri per individuarlo. Tocca, tuttavia, alle aziende sanitarie nominare il Dpo o responsabile della protezione dei dati (siglato anche Rpd). Anche nel caso di un ospedale privato, per una casa di cura o una residenza sanitaria assistenziale. Il singolo professionista sanitario, che opera in regime di libera professione a titolo individuale, come detto in apertura, non dovrà nominare un Dpo.

Il registro delle attività di trattamento

Il registro dovrà essere compilato dai singoli professionisti sanitari, i medici di medicina generale e i medici pediatri, gli ospedali privati, le case di cura, le Rsa, le aziende del servizio sanitario, le farmacie, le parafarmacie e le aziende ortopediche. Il registro non va trasmesso al garante, ma conservato per eventuali controlli.