Data breach nella sanità, il Garante privacy sanziona due ospedali e una Asl - CorCom

DATA PROTECTION

Data breach nella sanità, il Garante privacy sanziona due ospedali e una Asl

Le tre strutture avevano comunicato informazioni sulla salute dei pazienti sbagliando destinatario. L’Authority: “Adottare tutte le misure tecniche o organizzative per evitare che accada”

19 Feb 2021

Avevano inviato a destinatari sbagliati le informazioni sulla salute di alcuni pazienti, violando in questo modo il diritto alla privacy degli utenti coinvolti nell’errore. Per questo il Garante privacy ha sanzionato due ospedali e una Asl per le violazioni dei dati personali in seguito a un errore nelle procedure o direttamente dei dipendenti, e non a causa di un attacco informatico. Nello spiegare la propria decisione l’authority sottolinea che le strutture sanitarie devono adottare tutte le misure tecniche e organizzative necessarie per evitare che i dati dei loro pazienti siano comunicati per errore ad altre persone.

Nello specifico, si legge nella newsletter del garante, un ospedale toscano ha ricevuto la sanzione di 10mila euro per aver spedito via posta, al paziente sbagliato, una relazione medica contenente le informazioni sulla salute e la vita sessuale di un’altra coppia. Stessa sanzione anche per un ospedale dell’Emilia-Romagna, che ha consegnato ad alcuni pazienti cartelle cliniche contenenti dati e referti riferibili ad altre persone, incluso un minore. Le sanzioni, spiega l’authority, sono state calcolate tenendo conto che le strutture sanitarie hanno immediatamente dimostrato un elevato grado di cooperazione con il Garante e che gli episodi sono risultati isolati e non volontari. Le due strutture hanno anche messo a punto ulteriori misure tecniche e organizzative per ridurre al minimo l’errore umano.

Il terzo caso si riferisce a un’azienda sanitaria locale sempre in Emilia-Romagna, dove una paziente aveva esplicitamente richiesto che nessun soggetto esterno, neppure i familiari, fosse informato sul suo stato di salute, mentre il modulo non era stato inserito all’interno della cartella clinica. Un’infermiera del reparto dove la donna stava seguendo delle terapie, non essendo a conoscenza della richiesta, invece che contattarla sul telefono cellulare privato, aveva chiamato il numero di casa registrato nell’anagrafe aziendale, parlando così con un familiare. Anche in questo caso, l’Azienda ha riconosciuto gli errori che hanno causato il data breach, e si è impegnata quindi ad implementare un sistema informatizzato di gestione dei numeri di telefono dei pazienti ricoverati e a predisporre una modulistica unica con la quale i pazienti potranno esprimere la loro eventuale volontà di comunicare informazioni sul proprio stato di salute ai terzi, introducendo una specifica policy aziendale. La Asl, che ha subito anche una richiesta di risarcimento danni da parte della paziente, dovrà pagare una sanzione di 50.000 euro per la violazione del Gdpr.

Le informazioni sullo stato di salute, spiega il Garante, possono essere comunicate a terzi solo sulla base di un presupposto giuridico o su indicazione della persona interessata, previa delega scritta. Da qui l’invito a tutte le strutture sanitarie a rispettare in pieno i principi di correttezza e trasparenza, adottando misure tecniche e organizzative utili non solo a proteggersi da attacchi informatici, ma anche a evitare violazioni di dati personali, in particolare quelli più delicati, come quelli sulla salute – troppo spesso causate da inadeguate procedure gestionali.

@RIPRODUZIONE RISERVATA