Inserimento all’interno della cartella clinica di documentazione medica di soggetti diversi
Garant de la protection des données personnelles: Provvedimento del Garante numero 30 la 27 Janvier 2021
Références normatives: art 58, paragrafo 2, del GDPR; art. 9 del GDPR; art 83 del Codice privacy; art. 22, virgule 11, d.lgs. 10 Août 2018; art. 5, par. 1, letton. f) del GDPR;
Volume recommandé
Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali
Monica Mandico, 2019, Editeur Maggs
Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad…
32,00 € 30,40 € acheter
son www.maggiolieditore.it
Fatto
Un’azienda Ospedaliera Universitaria, a seguito di errori nella consegna della documentazione sanitaria avvenuta a soggetto diverso dell’interessato, aveva provveduto a comunicare al Garante per la protezione dei dati personali, con due distinte comunicazioni, la violazione di dati personali ai sensi dell’art. 33 del GDPR.
In particolare nella comunicazione inviata all’Autorità Garante nel luglio 2018, l’Azienda Ospedaliera aveva riferito di aver erroneamente inserito nella cartella clinica di un paziente pediatrico, che era stata, puis, consegnata ai genitori, un referto di esame microbiologico appartenente ad un altro paziente. Aveva, puis, informato il Garante della natura dei dati oggetto di violazione, specificando che si trattava di dai appartenenti alla categoria dei dati personali (nome, cognome, codice fiscale, residenza, data di nascita) e dei dati di salute (reparto di richiesta, tipo di esame microbiologico). L’Azienda Ospedaliera aveva, altresì, informato il Garante di aver provveduto, appena venuta a conoscenza dell’errore, a recuperare la copia della cartella clinica, e ad inviare all’assicurazione la copia della stessa così che potesse procedere con la distruzione.
Con la seconda comunicazione, avvenuta nel gennaio 2019, l’Azienda Ospedaliera aveva informato il Garante di essere venuta a conoscenza di un altro caso in cui all’interno della cartella relativa ad un paziente e consegnata all’erede di questo vi era un referto appartenente a persona diversa dall’interessato. Anche in questo caso il referto conteneva dati personali (cognome, nome, data di nascita) e dati relativi allo stato di salute. L’Azienda aveva, puis, informato il Garante di aver richiesto formalmente all’erede dell’intestatario della cartella la restituzione della copia della stessa, diffidandolo dall’utilizzare i dati dell’intestatario del referto, e richiedendo di dare comunicazione ad eventuali terzi, in possesso di copia della documentazione, di distruggerla e comunque di non utilizzarne i dati ivi contenuti.
Ricevute le due comunicazioni, e ravvisando in entrambi i casi la violazione del trattamento dei dati personali, l’Autorità Garante aveva avviato due separati procedimenti volti ad adottare i provvedimenti sanzionatori previsti dalla normativa in materia.
In riferimento al primo episodio, e dunque alla comunicazione del luglio 2018, dove si denunciava la violazione dei dati personali tramite l’inserimento all’interno di una cartella pediatrica di un referto appartenente ad altro paziente pediatrico, l’Azienda Ospedaliera rea della violazione, a seguito della procedura avviata dal Garante, aveva provveduto ad inviare le proprie memorie difensive.
In particolare all’interno delle suddette memorie, e in ordine alla durata della violazione denunciata, era stato specificato che la stessa si era verificata dal momento della consegna della cartella all’intestatario richiedente, che era avvenuta il 14/06/2018, fino all’accertamento della violazione, avvenuto il 02/07/2018. Inoltre era stato specificato che il recupero della documentazione dai genitori del paziente era avvenuto tempestivamente lo stesso 02/07/2018, e che, altrettanto tempestivamente, si era provveduto a ripristinare la corretta cartella, priva del referto appartenente ad altro paziente, e consegnata all’interessato.
L’Azienda Ospedaliera aveva poi riferito che, a suo parere, nessuna conseguenza si era verificata a seguito dell’errore commesso, sia a seguito degli interventi posti prontamente in essere dall’Azienda stessa, sia grazie al senso civico dimostrato dai genitori del paziente che si erano resi immediatamente disponibili alla restituzione del referto altrui.
In conclusione, l’Azienda Ospedaliera aveva poi assicurato il Garante di aver provveduto a sensibilizzare il personale del reparto interessato, di aver inviato alle funzioni preposte una Check list per l’autovalutazione in merito alla compilazione della cartella clinica, e di aver apportato le modifiche necessarie alle procedure di compilazione delle cartelle così da ridurre il rischio di errori in termini di violazione dei dati personali, e di aver correttamente formato il personale interessato.
Con riferimento alla seconda comunicazione di violazione dei dati personali, avvenuta nel gennaio 2019, l’Azienda Ospedaliera aveva specificato in riferimento alla durata, che la violazione si era verificata dal momento della consegna all’erede dell’intestatario della cartella sanitaria, avvenuta in data 18/06/2018, fino al giorno 23/01/2019, data in cui il personale in sede di fotoriproduzione si accorgeva della presenza all’interno della cartella di un referto non riconducibile all’intestatario della cartella stessa.
L’Azienda Ospedaliera aveva, puis, specificato che immediatamente dopo aver appreso dell’errore, si era proceduto a contattare l’erede dell’intestatario della cartella chiedendone la restituzione, e che, a fronte di un atteggiamento non collaborativo di questo, era stata formalmente richiesta, con mezzo raccomandata, la restituzione della cartella, nonché e si era diffidato a non utilizzare i dati dell’intestatario del referto e a consegnare copia della documentazione a terzi.
L’azienda Ospedaliera aveva, enfin, riferito di aver avvisato la Procura della Repubblica avendo appreso da parte del legale dell’erede dell’intestatario della cartella che la cartella era stata inoltrata all’Autorità giudiziaria.
La decisione del Garante
In ordine ai due episodi riferiti, il Garante ha, preliminarmente alla sua decisione, voluto ricordare che in ambito sanitario la disciplina in materia di protezione dei dati personali prevede che le informazioni sullo stato di salute possono essere comunicate solo all’interessato, potendo essere riferite a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso, previa delega scritta di quest’ultimo. Inoltre tali dati personali devono essere trattati in maniera da garantire un’adeguata sicurezza e protezione da eventuali trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o da danni accidentali, attraverso l’adozione di misure tecniche e organizzative adeguate.
In riferimento ai episodi riportati dall’Azienda Ospedaliera, il Garante ha ritenuto che l’inserimento all’interno di due cartelle cliniche di documentazione medica di soggetti diversi dagli intestatari delle stesse ha determinato una comunicazione di dati sulla salute a soggetti non legittimati in assenza di un idoneo presupposto giuridico, raffigurando in tal modo un trattamento illecito dei dati personali.
L’Autorità Garante ha, donc, provveduto ad adottare una sanzione pecuniaria nei confronti dell’Azienda Ospedaliera, non anche misure correttive avendo la condotta illecita esaurito i suoi effetti (in quanto i documenti erroneamente consegnati a terzi sono stati restituiti) e avendo l’Azienda Ospedaliera pianificato le ulteriori misure tecniche e organizzative ritenute necessarie per ridurre al minimo l’errore umano.
Volume recommandé
Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali
Monica Mandico, 2019, Editeur Maggs
Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad…
32,00 € 30,40 € acheter
son www.maggiolieditore.it
Devenez auteur de Diritto.it
En savoir plus!
Vous pourriez aussi être intéressé
Il diritto all’oblio non si estende fino alla rimozione della notizia dopo un lungo tempo dalla verificazione dei fatti, se questa è di rilevante interesse pubblico, ma impone soltanto che essa sia aggiornata
di Muia’ Pier Paolo
25 novembre 2019
L’Invio involontario a soggetti terzi del referto di una consulenza genetica costituisce un trattamento illecito dei dati personali
di Muia’ Pier Paolo
29 mars 2021
La trasmissione dei dati sanitari tra enti ospedalieri alla luce del GDPR
di Vincenzo Terraciano
8 mai 2019
La pubblicazione di immagini ritraenti soggetti in stato di limitazione della libertà personale è vietata se tali soggetti sono riconoscibili
di Muia’ Pier Paolo
13 Janvier 2020
The post Inserimento all’interno della cartella clinica di documentazione medica di soggetti diversi appeared first on Diritto.it.
La source: Diritto.it