Consegna di referti medici alla paziente sbagliata: multa del Garante
Il Garante per la protezione dei dati personali, con ordinanza di ingiunzione 25 November 2021 multa la Società H San Raffaele Resnati s.r.l. per aver erroneamente consegnato referti medici ad una paziente sbagliata.
Index:
The facts
Le violazioni accertate dal Garante
La decisione del Garante
The facts
Il Garante riceva da parte della Società H San Raffaele Resnati s.r.l. una nota in cui veniva comunicata una violazione del trattamento dei dati personali. Accadeva, indeed, che una paziente di un poliambulatorio, gestito dalla Società, aveva ricevuto all’interno di una busta i referti destinati, instead, ad una diversa paziente.
La Società precisava che erano state correttamente attuate le procedure tecniche e organizzative necessarie al fine di garantire la conformità del trattamento alle disposizioni del Regolamento europeo alla luce della particolare e “sensibile” categoria di dati trattati nell’ambito sanitario.
Furthermore, la Società rendeva noto il fatto che era stato posto rimedio tempestivamente: due ore dopo l’accaduto, il personale addetto, infatti aveva recuperato la documentazione erroneamente consegnata ad una diversa paziente e aveva immediatamente avviato un’indagine interna al fine di approfondire le cause dell’accaduto.
In considerazione di quanto riportato nella comunicazione, il Garante ritenendo che gli elementi acquisiti nel corso dell’attività configuravano uno o più violazioni delle disposizioni del GDPR, avviava il procedimento necessario all’adozione di provvedimenti o sanzioni, pursuant to Article. 166 del Codice Privacy.
In particular, l’Autorità notificava alla Società le presunte violazioni e invitava la stessa a produrre propri scritti difensivi al riguardo, nei quali la parte scrivente affermava che i dati contenuti nella busta erroneamente consegnata ad un’altra paziente non erano tali da fornire indicazioni precise sul quadro clinico dell’interessato, piuttosto erano informazioni che sarebbero state interpretate unicamente nel quadro di più precisi accertamenti clinici.
Ancora, la Società dava atto del fatto che la violazione aveva coinvolto un numero esiguo di persone fisiche tanto da potersi considerare una violazione di non grave entità e non appena avuto conoscenza del fatto, il personale addetto aveva immediatamente (testualmente, “a distanza di poche ore”) attuate misure necessarie a cessare la violazione.
Finally, la struttura sanitaria affermava che la violazione dei dati personali si era realizzata a causa dell’errore di un singolo operatore e, nonostante ciò, erano state attuate procedure al fine di migliorare il sistema adottato per la trasmissione dei referti ai pazienti.
Consigliamo il volume:
Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali
Monica Mandico, 2019, Maggioli Editore
Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad…
32,00 € 30,40 €
Buy
your www.maggiolieditore.it –>
Le violazioni accertate dal Garante
Ciò detto e considerato, il Garante ha ritenuto che la Società ha posto in essere un trattamento non conforme alla normativa vigente in materia di protezione dei dati personali, in particolare in base ai fatti per come sopra descritti la struttura sanitaria ha violato quanto disposto negli artt. 5 and 9 del GDPR.
Art. 5 del GDPR, il quale detta i principi applicabili al trattamento dei dati personali, dispone infatti che i dati debbono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato. Le finalità devono essere determinate, esplicite e legittime; i dati devono essere adeguati, pertinenti, esatti ed aggiornati, oltre che limitati a quanto necessario rispetto alle finalità, e comunque devono essere trattati in modo da garantirne un’adeguata sicurezza.
Art. 9 del GDPR, instead, rubricato “trattamento di categorie particolare di dati personali”, istituisce il generale divieto di trattamento di dati corrispondenti a quelli definiti “sensibili”, ossia qui dati che sono idonei a rivelare, ad esempio, informazioni sullo stato di salute psicofisica di un soggetto. Sempre l’art. 9 goes on, prevedendo eccezioni al generale divieto che lo stesso istituisce: indeed, la richiamata disposizione normativa prevede che è possibile procedere al trattamento dei dati “sensibili” nei casi dalla medesima espressamente previsti, che vanno a derogare il generale divieto di trattamento (come ad esempio nel caso in cui ci sia il consenso dell’interessato).
Si tratta, therefore, di particolari categorie di dati personali per i quali è disposta dal GDPR una maggiore protezione in ragione proprio delle informazioni ad essi connesse. Si tratta, indeed, di un trattamento che dovrebbe essere soggetto a misure appropriate e specifiche al fine di tutelare i diritti e le libertà delle persone fisiche.
In considerazione di quanto detto, the Guarantor, esaminati gli scritti difensivi della Società, ha ritenuto che ricorressero gli estremi per ravvisare una situazione di violazione della disciplina dei dati personali.
Ancora, in ordine alle asserzioni della Società riferite all’errore dell’addetto alla mansione specificamente prevista per la consegna dei referti, il Garante ha sostenuto che, anche alla luce di una giurisprudenza consolidata, non è possibile discolpare il soggetto responsabile. Indeed, l’errore in cui lo stesso è incorso sarebbe stato ovviabile attraverso l’uso dell’ordinaria diligenza.
Come riportato, indeed, nel provvedimento oggetto del presente commento, “nel caso di specie, l’agente avrebbe potuto diligentemente accertare, attraverso un più accurato controllo dei dati, la correttezza delle operazioni effettuate in occasione dell’imbustamento del referto, evitando in tal modo di comunicare dati sulla salute a un soggetto terzo, non autorizzato”.
La decisione del Garante
Alla luce di quanto suddetto, therefore, il Garante ha ritenuto che l’errore dell’addetto all’imbustamento dei referti non potesse considerarsi un errore scusabile, nonostante la buona fede dello stesso. Indeed, l’addetto avrebbe potuto agire correttamente, utilizzando l’ordinaria diligenza che gli avrebbe permesso di non incorrere nell’errore che ha, then, determinato violazione del trattamento dei dati personali.
Ancor di più, il Garante ha evidenziato che la violazione in cui è incorsa la società era una violazione di una particolare e sensibile categoria di dati personali, ossia i dati personali sulla salute.
Ciò detto, however, il Garante ha tenuto conto del fatto che la stessa violazione ha avuto breve durata (come anche riportato negli scritti difensivi della Società), in quanto un intervento tempestivo del personale ha permesso di far cessare prontamente i suoi effetti negativi a danno dell’interessata.
In considerazione di quanto sopra, quindim, il Garante per la protezione dei dati personali ha sanzionato la struttura sanitaria , pursuant to Article. 58, by. 2, lett i) and 83 del GDPR, con una sanzione amministrativa pecuniaria, c.d. ordinanza ingiunzione, pari a €.6.000,00, oltre a disporre la pubblicazione del provvedimento stesso sul sito web del Garante, come sanzione accessoria.
Ebook consigliato:
I rischi nel trattamento dei dati – e-Book in pdf
Michele Iaselli, 2021, Maggioli Editore
L’ebook analizza gli aspetti pratici dell’attività di analisi dei rischi connessi al trattamento dei dati, partendo dal quadro normativo e fornendo risposte alle principali FAQ in materia di DPIA.
Michele IaselliAvvocato, Funzionario del Ministero della Difesa, Docente a…
9,90 € 9,41 €
Buy
your www.maggiolieditore.it –>
Become an author of Diritto.it
Find out more!
You may also be interested
Green pass e lavoro, controlli e revoche: nuovo intervento del garante
di Luisa Di Giacomo
30 December 2021
L’oggetto della garanzia di conformità e contenuto digitale
di Martina Liaci
18 May 2021
La diffusione su internet dell’avviso di conclusione delle indagini in forma integrale sostanzia violazione della privacy
di Muia’ Pier Paolo
14 May 2020
Il garante privacy si è espresso positivamente sulle modalità di funzionamento della dematerializzazione della prescrizione medica durante il periodo di emergenza sanitaria dovuta al coronavirus
di Muia’ Pier Paolo
1 May 2020
The post Consegna di referti medici alla paziente sbagliata: multa del Garante appeared first on Diritto.it.
Source: Diritto.it