2871
Sanzionate strutture sanitarie per comunicazioni a terzi
Francesca Gardini, Ufficio giuridico
Il Garante per la protezione dei dati personali, con la newsletter n. 473 del 19 febbraio 2021, ha reso noto di aver assunto il 27 gennaio 2021 tre provvedimenti, con i quali sono state comminate sanzioni pecuniarie pari ad euro 10.000,00 e 50.000,00 nei confronti, rispettivamente di due diverse strutture sanitarie e un ASL, colpevoli di non aver adottato tutte le misure tecniche e organizzative necessarie ad evitare la comunicazione di dati sanitari dei propri pazienti a terzi. Evento, questo, che aveva già portato l’Autorità ad ammonire due strutture sanitarie, come segnalato con Informaiop n. 373.
Nei casi presi in esame nei suddetti provvedimenti i titolari del trattamento hanno notificato all’Autorità, ai sensi dell’art. 33 del Regolamento (UE) 2016/679, i seguenti episodi:
a) consegna di referti a soggetti diversi dall’interessato
b) consegna di una relazione medica cartacea riferita a soggetti diversi dall’interessato
c) utilizzo di un numero di telefono diverso rispetto a quello indicato dalla paziente per eventuali contatti afferenti al ricovero.
Tutti casi in cui il Garante ha ravvisato sussistere gli elementi idonei a configurare, da parte dei titolari una violazione dell’art. 9 del Regolamento UE (2016/679), anche alla luce dei principi di integrità e riservatezza (art. 5, par. 1, lett. f) del citato Regolamento).
La disciplina in materia di protezione dei dati personali prevede, infatti, in ambito sanitario, che le informazioni sullo stato di salute possano essere comunicate solo all’interessato ed eventualmente, a terzi, sulla base di un idoneo presupposto giuridico o su indicazioni dell’interessato stesso previa delega scritta; prevede, altresì, che i dati personali debbano essere «trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamento non autorizzati o illeciti e dalla perdita, dalla distribuzione o da danno accidentale».
Nelle prime fattispecie, dunque, l’Autorità, valutato il carattere isolato degli episodi e attesa l’assenza di elementi di volontarietà da parte dei titolari del trattamento e l’elevato grado di cooperazione degli stessi, ha determinato di quantificare la sanzione da applicare agli interessati in euro 10.000,00 euro.
Nell’ultimo episodio, invece, l’Autorità, attesa l’imputabilità della condotta alla colpa del titolare che non ha implementato misure tecniche e organizzative efficaci e adeguate ad assicurare il rispetto della volontà dei pazienti di non far conoscere a soggetti terzi notizie circa i proprio stato di salute, e attesa, altresì, l’estrema delicatezza dell’intervento di interruzione di gravidanza per il quale la normativa vigente prevede un sistema rafforzato di tutela, ha determinato di quantificare la sanzione da applicare all’interessato in euro 50.000,00 euro.
Alla luce di quanto sopradetto ricordiamo a tutte le nostre strutture associate l’importanza delle misure tecniche e organizzative utili non solo a proteggersi da attacchi informatici ma anche a evitare violazioni di dati personali sulla salute, in quanto, come sottolinea il Garante, sono «troppo spesso causate da inadeguate procedure gestionali».