L’Invio involontario a soggetti terzi del referto di una consulenza genetica costituisce un trattamento illecito dei dati personali

 
Garante per la protezione dei dati personali: Provvedimento numero 29 del 27 gennaio 2021
Riferimenti normativi: art 58, paragrafo 2, del GDPR; art. 9 del GDPR; art 83 del Codice privacy; art. 22, comma 11, d.lgs. 10 agosto 2018; art. 5, par. 1, lett. f) del GDPR;
Fatto
Un’azienda Ospedaliera Universitaria, a seguito di un errore nella consegna della documentazione sanitaria avvenuta a soggetto diverso dall’interessato, aveva provveduto a comunicare al Garante per la protezione dei dati personali la violazione di dati personali ai sensi dell’art. 33 del GDPR.
In particolare nella comunicazione inviata all’Autorità Garante, l’Azienda Ospedaliera aveva riferito che per un errore materiale e umano, al momento dell’imbustamento, era stato inviato a soggetti terzi, per mezzo raccomandata postale, una relazione medica relativa ad una “consulenza genetica” riferita ad altri soggetti interessati. L’Azienda aveva, inoltre, dichiarato di aver appreso dell’errore commesso direttamente dai soggetti terzi, che aveva ricevuto la documentazione sbagliata.
Nella comunicazione destinata all’Autorità, l’Azienda Ospedaliera aveva, poi, informato il Garante della natura dei dati oggetto di violazione, specificando che seppur la documentazione era stata fatta a seguito di una consulenza genetica, questa non conteneva dati genetici, ma dati relativi alla salute e alla vita sessuale di due persone fisiche, e informazioni sulla salute dei loro familiari, non identificati direttamente, ma citati per rapporto di parentela.
Sempre all’interno della comunicazione era stato, poi, specificato che il documento, che era stato erroneamente consegnato a terzi, era stato recuperato e consegnato al direttore della struttura aziendale interessata, e che erano stati presi delle misure volte a ridurre il rischio del ripetersi di tali eventi. L’Azienda, infatti, spiega di aver provveduto ad adibire a mansioni diverse, e più idonee, l’operatore addetto alla spedizione delle relazioni mediche, che ha materialmente commesso l’errore, e di aver sostituito l’invio cartaceo della documentazione sanitaria in parola con un invio telematico, attraverso un indirizzo di posta elettronica certificata di reparto, con la generazione di codici a barre specifici per pazienti.
L’Autorità Garante, ricevuta la comunicazione da parte dell’Azienda Ospedaliera, aveva rinvenuto nella condotta descritta, vale a dire l’invio di una relazione medica appartenente a due soggetti, ed effettuata nell’ambito di una consulenza genetica, contenente quindi dati sulla salute e sulla vita sessuale degli interessati, a soggetti terzi,  una violazione del trattamento dei dati, avendo riferito dati relativi alla salute a terzi in assenza di un idoneo presupposto giuridico. Per tale ragione il Garante aveva deciso di avviare una procedura per l’adozione di provvedimenti i cui all’articolo 58, paragrafo 2,  del Regolamento.
Iniziata la suddetta procedura, nell’ambito delle formalità previste in questa fase, l’Azienda Ospedaliera aveva inviato delle memorie difensive al fine di meglio specificare gli eventi accaduti. In prima battuta l’Azienda ha chiarito che, messa a conoscenza dell’errore delle documentazione inviata dai soggetti destinatari della raccomandata, aveva con essi preso accordi per la restituzione della stessa, proponendo il ritiro del referto a mezzo di un corriere appositamente inviato dall’Azienda al quale i due soggetti avrebbero consegnato il documento, in busta chiusa, indirizzata al Direttore UOC Genetica Medica.
L’Azienda Ospedaliera aveva, poi, precisato al Garante di aver immediatamente acquisito tutte le informazioni utili per circostanziare l’evento al fine di poter limitarne gli effetti negativi, in particolare la perdita di riservatezza dei dati personali protetti da segreto professionale riferiti agli altri soggetti che si erano sottoposti alla consulenza genetica.
A tal proposito l’Azienda aveva riferito al Garante di aver contattato i soggetti coinvolti, i cui dati erano stati riferiti erroneamente a terzi non titolari, e di aver loro comunicato quanto accaduto e le circostanze in cui l’errore era accaduto al fine di analizzare le cause che hanno prodotto l’errore, adottare le misure organizzative immediate per limitare gli effetti negativi e pianificare le ulteriori misure tecniche e organizzative ritenute necessarie per ridurre al minimo l’errore umane.
In fine nelle memorie difensive l’Azienda aveva precisato che la violazione di dati personali che si era verificata non era affatto intenzionale, non era quindi caratterizzata da dolo, ma era dipesa esclusivamente da un errore materiale involontario accaduto durante l’imbustamento della relazione medica in una busta riportante l’indirizzo di residenza di soggetti terzi.
La decisione del Garante
In ordine alla condotta riferita, il Garante ha, preliminarmente alla sua decisione, voluto ricordare che in ambito sanitario la disciplina in materia di protezione dei dati personali prevede che le informazioni sullo stato di salute possono essere comunicate solo all’interessato, potendo essere riferite a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso, previa delega scritta di quest’ultimo. Inoltre tali dati personali devono essere trattati in maniera da garantire un’adeguata sicurezza e protezione da eventuali trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o da danni accidentali, attraverso l’adozione di misure tecniche e organizzative adeguate.
In riferimento all’episodio riportato dall’Azienda Ospedaliera, il Garante ha ritenuto che l’invio a terzi della relazione medica, effettuata nell’ambito di una consulenza genetica, contenente dati sulla salute e sulla vita sessuale degli interessati, abbia determinato una comunicazione dei predetti dati a soggetti non legittimati in assenza di un idoneo presupposto giuridico, raffigurando in tal modo un trattamento illecito dei dati personali.
L’Autorità Garante, dunque, considerando che il fatto di aver erroneamente inviato un referto medico contenente dati sulla salute di due pazienti a soggetti terzi, diversi dai titolari dei suddetti dati personali, configura un trattamento illecito dei dati personali ha provveduto ad adottare una sanzione pecuniaria nei confronti dell’Azienda Ospedaliera.
Allo stesso tempo ha ritenuto non necessario disporre, accanto alla sanzione pecuniaria, misure correttive, avendo la condotta descritta esaurito i suoi effetti, i documenti erroneamente consegnati a terzi, infatti, sono stati restituiti, e avendo pianificato le ulteriori misure tecniche e organizzative ritenute necessarie per ridurre al minimo l’errore umano.
Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali
Monica Mandico, 2019, Maggioli Editore
Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad…

32,00 € 30,40 € Acquista

su www.maggiolieditore.it

Diventa autore di Diritto.it
Scopri di più!

Ti potrebbe interessare anche

Gdpr per le imprese

di Claudio Parroccini
26 novembre 2020

La tutela dei dati “sensibili” prevale sull’esigenza di trasparenza amministrativa

di Muia’ Pier Paolo
7 ottobre 2019

Il gestore di una piattaforma online non è tenuto a comunicare al titolare del diritto di proprietà intellettuale violato l’indirizzo IP dell’utente che ha commesso la violazione

di Muia’ Pier Paolo
10 agosto 2020

Il regime della richiesta di documenti tra diritto alla difesa e tutela della privacy in ambito successorio

di Paolo Geremia
11 marzo 2021

The post L’Invio involontario a soggetti terzi del referto di una consulenza genetica costituisce un trattamento illecito dei dati personali appeared first on Diritto.it.
Source: Diritto.it