L’inserimento all’interno del Fascicolo Sanitario Elettronico di un referto relativo a un paziente diverso dall’interessato, anche se omonimo, costituisce una violazione della privacy
Гарант по защите персональных данных: Ordinanza ingiunzione n. 141 del 9 июль 2020
Il fatto
Nel provvedimento oggetto di commento, una struttura sanitaria aveva notificato al Garante per la protezione dei dati personali di aver riscontrato un data breach consistito nell’inserimento, all’interno del Fascicolo Sanitario Elettronico (FSE) di un paziente, il referto medico di un altro paziente che aveva lo stesso nome.
La vicenda era emersa alla luce a seguito di una segnalazione, da parte del soggetto interessato, all’URP della struttura sanitaria con cui lo stesso segnalava che di aver effettuato un accesso al proprio FSE e di aver ivi rinvenuto il referto relativo a situazioni cliniche che non erano a lui relative. A seguito di indagini interne da parte della struttura sanitaria, quest’ultima aveva avuto modo di ricostruire l’accaduto: in particolare, qualche mese prima un altro paziente, omonimo del soggetto interessato, si era recato al Pronto Soccorso della struttura sanitaria e lì era stato registrato in modo errato da parte degli operatori, i quali non avevano correttamente indicato la data di nascita del paziente e pertanto lo avevano associato all’altro paziente omonimo. In considerazione dell’omonimia tra i due pazienti e dell’errore di identificazione della data di nascita, poi, il referto relativo al paziente che si era recato al Pronto Soccorso era stato erroneamente inserito all’interno del FSE dell’interessato.
A seguito della notifica della violazione dei dati personali, il Garante per la protezione dei dati personali apriva l’istruttoria nei confronti della struttura sanitaria, invitando quest’ultima a formulare le proprie difese.
La struttura sanitaria evidenziava che il data breach si era verificato a causa di un errore umano da parte dell’operatore del Pronto Soccorso che non aveva correttamente identificato il paziente che aveva effettuato l’accesso al Pronto Soccorso: in particolare, il personale al triage non aveva correttamente recepito la data di nascita del paziente e quindi aveva selezionato il nominativo dell’altro paziente, omonimo. In secondo luogo, la struttura sanitaria rilevava che l’interessato non avesse subito alcuna conseguenza negativa da tale errore, posto che lo stesso quando aveva effettuato l’accesso al proprio FSE aveva soltanto visto un referto relativo a dati clinici che non gli appartenevano, ma nessun soggetto diverso da lui aveva visto i suoi dati sanitari. Né tanto meno lo stesso interessato aveva potuto identificare chi fosse l’altro paziente a cui quel referto (contenuto all’interno del suo FSE) fosse riferito.
Infine, l’Ospedale evidenziava come, venuta a conoscenza dell’errore, aveva immediatamente corretto la situazione, eliminando il referto dal FSE dell’interessato, ed aveva sensibilizzato il proprio personale sull’accaduto e sul corretto trattamento dei dati sanitario nonché effettuato una revisione delle procedure di accettazione dei pazienti al Pronto Soccorso.
In considerazione di ciò, la struttura sanitaria chiedeva l’archiviazione del procedimento nei suoi confronti.
La decisione del Garante
Il Garante per la protezione dei dati personali, pur apprezzando il comportamento tenuto dalla struttura sanitaria per attenuare le conseguenze negative della violazione, ha comunque ritenuto che la condotta dell’Ospedale configurasse comunque una violazione della normativa in materia di protezione dei dati personali e l’ha sanzionata con un semplice ammonimento (ritenendo comunque minore la violazione).
Preliminarmente, l’autorità ha evidenziato che, in ambito sanitario, la disciplina europea e nazionale in materia di protezione dei dati personali stabilisce che le informazioni sullo stato di salute di una persona possano essere comunicate solo all’interessato e possano essere comunicate a soggetti terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso, previa delega scritta di quest’ultimo.
Inoltre, i principi di integrità e riservatezza, previsto dal Regolamento europeo per la protezione dei dati personali (GDPR), stabiliscono che i dati personali devono essere trattati in maniera da garantire un’adeguata sicurezza e devono essere protetti da trattamenti non autorizzati o illeciti e dalla loro perdita, distruzione o danno accidentali, attraverso l’adozione da parte del titolare del trattamento di misure tecniche e organizzative adeguate.
Secondo il Garante, l’ erronea registrazione del paziente che aveva effettuato l’accesso al Pronto Soccorso della struttura sanitaria e il conseguente errato inserimento del referto di quest’ ultimo nel Fascicolo Sanitario Elettronico dell’ altro paziente, costituisce proprio una violazione dei suddetti principi di integrità e riservatezza dei dati, in quanto frutto di una non corretta adozione di idonei strumenti tecnici e organizzativi da parte della struttura sanitaria.
Sancita la violazione dei principi suddetti e ritenuto quindi che il comportamento posto in essere dalla struttura sanitaria configurasse un trattamento illecito di dati personali, ha determinato la sanzione applicabile al caso di specie. A tal proposito, il Garante ha, in primo luogo, valutato che l’episodio oggetto del procedimento è stato l’unico accertato e in generale un episodio isolato, che è derivato da un errore umano non volontario di un operatore del Pronto Soccorso in servizio presso il titolare del trattamento. In secondo luogo, l’Autorità ha altresì preso in considerazione il fatto che la stessa è venuta a conoscenza della violazione proprio grazie alla notifica spontanea del data breach da parte della stessa struttura sanitaria (titolare del trattamento), la quale ultima ha anche informato il paziente interessato di quanto accaduto e ha immediatamente eliminato le conseguenze pregiudizievoli della violazione (attraverso la eliminazione del referto relativo all’altro paziente dal Fascicolo Sanitario Elettronico dell’interessato) ed ha altresì sottoposto a controllo e revisione le procedure di identificazione dei pazienti che accedono al Pronto Soccorso e sviluppato delle iniziative formative volte a sensibilizzare le persone autorizzate al trattamento al rispetto della disciplina in materia di protezione dati personali.
In considerazione di tali valutazioni, quindi, il Garante per la protezione dei dati personali ha ritenuto di qualificare il caso come “violazione minore” e conseguentemente ha ritenuto che fosse sufficiente sanzionare la struttura sanitaria con un semplice ammonimento al rispetto delle disposizioni in tema di protezione dei dati personali.
Объем рекомендуется
Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali
Monica Mandico, 2019, Maggs Издательство
Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad…
32,00 € 27,20 € Купить
его www.maggiolieditore.it
Стать автором Diritto.it
Узнайте больше!
Ti potrebbe interessare anche
Difficile rapporto tra GDPR e tecnologia blockchain
di Lione Federico
30 ноябрь 2018
Responsabilità privacy: quali sono gli illeciti civili, amministrativi e penali
di Postiglione Mario
27 ноябрь 2018
Le faq del Garante Privacy sul trattamento dati nel contesto sanitario nell’ambito dell’emergenza sanitaria da Covid-19
di Muia’ Pier Paolo
18 может 2020
L’importanza del rispetto della privacy durante l’emergenza coronavirus secondo il Presidente del Garante Privacy
di Muia’ Pier Paolo
24 марш 2020
The post L’inserimento all’interno del Fascicolo Sanitario Elettronico di un referto relativo a un paziente diverso dall’interessato, anche se omonimo, costituisce una violazione della privacy appeared first on Diritto.it.
Источник: Diritto.it