3208
Comunicazione dei dati sanitari a terzi per errore umano
Il Garante per la protezione dei dati personali ammonisce il titolare del trattamento
Francesca Gardini, Ufficio giuridico
Erronea consegna, a un paziente richiedente copia della propria cartella clinica, della cartella clinica relativa ad altro paziente ed erroneo inserimento nel fascicolo sanitario elettronico di un referto relativo ad altro paziente. Queste le violazioni di dati personali notificate in ottemperanza al Regolamento (UE) 2016/679, da una ASL e un IRCSS, al Garante per la protezione dei dati personali, rispetto alle quali l’Autorità ha stabilito di ammonire i titolari.
In entrambi i casi, il Garante ha riconosciuto l’illiceità del trattamento dei dati personali, configurando, sia la consegna di copia della cartella clinica di un paziente ad altro paziente che l’erronea attribuzione di un referto ad un soggetto diverso dall’interessato, una comunicazione di dati relativi alla salute dell’interessato a soggetti terzi priva di idoneo presupposto giuridico, con conseguente violazione dei principi base applicabili al trattamento e, in particolare, quelli di «liceità, correttezza e trasparenza» di cui all’art. 5, par. 1, lett. a) del Regolamento, nel primo caso, e quelli di «integrità e riservatezza» di cui all’art. 5, par. 1, lett. f), nel secondo.
Nonostante quanto sopradetto, nel primo episodio, il Garante, con provvedimento del 2 luglio 2020 (doc. web. n. 9440096), considerato che, come dichiarato dallo stesso titolare, il destinatario della cartella clinica consegnata accidentalmente ha prontamente contattato l’ospedale, riconsegnando la documentazione, ha qualificato l’episodio come “violazione minore”, ai sensi del Regolamento (UE) 2016/679.
Il Garante, dunque, sulla base delle predette considerazioni, ha stabilito di ammonire la ASL per la violazione della disciplina sulla protezione dei dati personali, anche alla luce della circostanza che l’episodio risulta essere stato unico e isolato, determinato da un errore umano, e che il titolare ha prontamente adottato – appena venuta a conoscenza della violazione - correttivi nella procedura di preparazione e consegna delle cartelle cliniche, istruendolo gli operatori.
Analoghe considerazioni sono state poste alla base del provvedimento del 9 luglio 2020 (doc. web. 9440117) con il quale il Garante, nel secondo caso, considerato, altresì, che la struttura sanitaria, ha informato l’interessato dell’accaduto e ha adottato accorgimenti organizzativi e iniziative formative volte a sensibilizzare il personale al rispetto delle disposizioni sulla protezione dei dati e delle procedure per la corretta identificazione dei pazienti, ha qualificato la violazione come “minore” e, conseguentemente, ammonito l’IRCSS.
Si tratta di due episodi, come dichiarato dallo stesso Garante, di portata oggettivamente limitata che dimostrano come la sensibilizzazione del personale e la previsione di adeguate misure organizzative rappresentino, al pari delle misure tecniche, elementi essenziali della sicurezza del trattamento (Newsletter n. 467 del 27 luglio 2020).