Consegna di referti medici alla paziente sbagliata: multa del Garante

Il Garante per la protezione dei dati personali, con ordinanza di ingiunzione 25 تشرين الثاني 2021 multa la Società H San Raffaele Resnati s.r.l. per aver erroneamente consegnato referti medici ad una paziente sbagliata.
Indice:

I fatti
Le violazioni accertate dal Garante
La decisione del Garante

I fatti
Il Garante riceva da parte della Società H San Raffaele Resnati s.r.l. una nota in cui veniva comunicata una violazione del trattamento dei dati personali. Accadeva, في الواقع, che una paziente di un poliambulatorio, gestito dalla Società, aveva ricevuto all’interno di una busta i referti destinati, invece, ad una diversa paziente.
La Società precisava che erano state correttamente attuate le procedure tecniche e organizzative necessarie al fine di garantire la conformità del trattamento alle disposizioni del Regolamento europeo alla luce della particolare e “sensibile” categoria di dati trattati nell’ambito sanitario.
Inoltre, la Società rendeva noto il fatto che era stato posto rimedio tempestivamente: due ore dopo l’accaduto, il personale addetto, infatti aveva recuperato la documentazione erroneamente consegnata ad una diversa paziente e aveva immediatamente avviato un’indagine interna al fine di approfondire le cause dell’accaduto.
In considerazione di quanto riportato nella comunicazione, il Garante ritenendo che gli elementi acquisiti nel corso dell’attività configuravano uno o più violazioni delle disposizioni del GDPR, avviava il procedimento necessario all’adozione di provvedimenti o sanzioni, وفقا للفن. 166 del Codice Privacy.
In particolare, l’Autorità notificava alla Società le presunte violazioni e invitava la stessa a produrre propri scritti difensivi al riguardo, nei quali la parte scrivente affermava che i dati contenuti nella busta erroneamente consegnata ad un’altra paziente non erano tali da fornire indicazioni precise sul quadro clinico dell’interessato, piuttosto erano informazioni che sarebbero state interpretate unicamente nel quadro di più precisi accertamenti clinici.
Ancora, la Società dava atto del fatto che la violazione aveva coinvolto un numero esiguo di persone fisiche tanto da potersi considerare una violazione di non grave entità e non appena avuto conoscenza del fatto, il personale addetto aveva immediatamente (testualmente, “a distanza di poche ore”) attuate misure necessarie a cessare la violazione.
Infine, la struttura sanitaria affermava che la violazione dei dati personali si era realizzata a causa dell’errore di un singolo operatore e, nonostante ciò, erano state attuate procedure al fine di migliorare il sistema adottato per la trasmissione dei referti ai pazienti.
Consigliamo il volume:

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali
Monica Mandico, 2019, Maggioli Editore
Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad

32,00 € 30,40 €
Acquista

su www.maggiolieditore.it –>

Le violazioni accertate dal Garante
Ciò detto e considerato, il Garante ha ritenuto che la Società ha posto in essere un trattamento non conforme alla normativa vigente in materia di protezione dei dati personali, in particolare in base ai fatti per come sopra descritti la struttura sanitaria ha violato quanto disposto negli artt. 5 البريد 9 del GDPR.
فن. 5 del GDPR, il quale detta i principi applicabili al trattamento dei dati personali, dispone infatti che i dati debbono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato. Le finalità devono essere determinate, esplicite e legittime; i dati devono essere adeguati, pertinenti, esatti ed aggiornati, oltre che limitati a quanto necessario rispetto alle finalità, e comunque devono essere trattati in modo da garantirne un’adeguata sicurezza.
فن. 9 del GDPR, invece, rubricato “trattamento di categorie particolare di dati personali”, istituisce il generale divieto di trattamento di dati corrispondenti a quelli definiti “sensibili”, ossia qui dati che sono idonei a rivelare, ad esempio, informazioni sullo stato di salute psicofisica di un soggetto. Sempre l’art. 9 prosegue, prevedendo eccezioni al generale divieto che lo stesso istituisce: في الواقع, la richiamata disposizione normativa prevede che è possibile procedere al trattamento dei dati “sensibili” nei casi dalla medesima espressamente previsti, che vanno a derogare il generale divieto di trattamento (come ad esempio nel caso in cui ci sia il consenso dell’interessato).
Si tratta, dunque, di particolari categorie di dati personali per i quali è disposta dal GDPR una maggiore protezione in ragione proprio delle informazioni ad essi connesse. Si tratta, في الواقع, di un trattamento che dovrebbe essere soggetto a misure appropriate e specifiche al fine di tutelare i diritti e le libertà delle persone fisiche.
In considerazione di quanto detto, il Garante, esaminati gli scritti difensivi della Società, ha ritenuto che ricorressero gli estremi per ravvisare una situazione di violazione della disciplina dei dati personali.
Ancora, in ordine alle asserzioni della Società riferite all’errore dell’addetto alla mansione specificamente prevista per la consegna dei referti, il Garante ha sostenuto che, anche alla luce di una giurisprudenza consolidata, non è possibile discolpare il soggetto responsabile. في الواقع, l’errore in cui lo stesso è incorso sarebbe stato ovviabile attraverso l’uso dell’ordinaria diligenza.
Come riportato, في الواقع, nel provvedimento oggetto del presente commento, “nel caso di specie, l’agente avrebbe potuto diligentemente accertare, attraverso un più accurato controllo dei dati, la correttezza delle operazioni effettuate in occasione dell’imbustamento del referto, evitando in tal modo di comunicare dati sulla salute a un soggetto terzo, non autorizzato”.
La decisione del Garante
Alla luce di quanto suddetto, dunque, il Garante ha ritenuto che l’errore dell’addetto all’imbustamento dei referti non potesse considerarsi un errore scusabile, nonostante la buona fede dello stesso. في الواقع, l’addetto avrebbe potuto agire correttamente, utilizzando l’ordinaria diligenza che gli avrebbe permesso di non incorrere nell’errore che ha, poi, determinato violazione del trattamento dei dati personali.
Ancor di più, il Garante ha evidenziato che la violazione in cui è incorsa la società era una violazione di una particolare e sensibile categoria di dati personali, ossia i dati personali sulla salute.
Ciò detto, tuttavia, il Garante ha tenuto conto del fatto che la stessa violazione ha avuto breve durata (come anche riportato negli scritti difensivi della Società), in quanto un intervento tempestivo del personale ha permesso di far cessare prontamente i suoi effetti negativi a danno dell’interessata.
In considerazione di quanto sopra, quindim, il Garante per la protezione dei dati personali ha sanzionato la struttura sanitaria , وفقا للفن. 58, par. 2, lett i) البريد 83 del GDPR, con una sanzione amministrativa pecuniaria, c.d. ordinanza ingiunzione, pari a €.6.000,00, oltre a disporre la pubblicazione del provvedimento stesso sul sito web del Garante, come sanzione accessoria.
Ebook consigliato:

I rischi nel trattamento dei datie-Book in pdf
Michele Iaselli, 2021, Maggioli Editore
L’ebook analizza gli aspetti pratici dell’attività di analisi dei rischi connessi al trattamento dei dati, partendo dal quadro normativo e fornendo risposte alle principali FAQ in materia di DPIA.

Michele IaselliAvvocato, Funzionario del Ministero della Difesa, Docente a

9,90 € 9,41 €
Acquista

su www.maggiolieditore.it –>

Diventa autore di Diritto.it
Scopri di più!

Ti potrebbe interessare anche

Green pass e lavoro, controlli e revoche: nuovo intervento del garante

di Luisa Di Giacomo
30 ديسمبر 2021

L’oggetto della garanzia di conformità e contenuto digitale

di Martina Liaci
18 مايو 2021

La diffusione su internet dell’avviso di conclusione delle indagini in forma integrale sostanzia violazione della privacy

di MuiaPier Paolo
14 مايو 2020

Il garante privacy si è espresso positivamente sulle modalità di funzionamento della dematerializzazione della prescrizione medica durante il periodo di emergenza sanitaria dovuta al coronavirus

di MuiaPier Paolo
1 مايو 2020

The post Consegna di referti medici alla paziente sbagliata: multa del Garante appeared first on Diritto.it.
مصدر: Diritto.it