È emersa dall’Autorità Garante per la protezione dei dati personali una profonda preoccupazione sul tema della necessità di un’adeguata tutela dei dati sanitari. A scatenare tale allarmismo sono state le recenti sanzioni nei confronti di due ospedali e un ‘ASL per aver trattato illecitamente i dati sanitari di alcuni pazienti.
Le sanzioni del Garante sono state frutto di errate procedure poste in essere dai dipendenti delle strutture sanitarie.
Allo scopo di garantire una maggiore protezione dei dati personali, il Garante Privacy aveva, già, con deliberazione del 10 dicembre 2020, approvato il Programma delle ispezioni di ufficio pianificate per il primo semestre (gennaio-giugno) 2021. Con esso l’Autorità ha espresso – soprattutto alla luce di questi spiacevoli episodi di grave violazione della privacy – la necessità impellente, per le organizzazioni che conservano nei propri archivi dati personali, di rivedere e aggiornare le proprie policies in materia di data breach e di predisporre un’apposita procedura di gestione delle richieste e delle ispezioni del Garante.
I Casi
Sono tre i provvedimenti sanzionatori del Garante. Il primo riguarda un ospedale toscano punito con una sanzione da 10.000 euro per aver spedito, tramite posta, a un altro paziente una relazione medica contenente informazioni riguardanti la salute e la vita sessuale di un’altra persona.
Il secondo caso preso in esame riguarda, un ospedale emiliano sanzionato , sempre per 10.000 euro, a causa della consegna di cartelle cliniche a persone sbagliate e contenenti, inoltre, dati di un minore.
L’ultimo caso risulta quello più grave. Un’ASL dell’Emilia Romagna, ha fornito per errore informazioni riservate riguardanti la salute di un paziente a soggetto terzo, suo familiare, senza autorizzazione. La gravità si evince nella leggerezza dell’atto, poiché la paziente, tramite la sottoscrizione di apposito modulo, aveva espresso chiaramente la sua volontà a non comunicare alcuna informazione sul suo stato di salute. Tuttavia, un’infermiera, ignara del modulo sottoscritto dalla paziente, metteva a conoscenza, per via telefonica, il marito della stessa. Il Garante Privacy ha quindi sanzionato l’ASL, condannandola al pagamento di una sanzione pecuniaria pari a euro 50.000, a causa della violazione degli artt. 5, par. 1, lett. a), d) e f), 9 e 32, par. 1, lett. b) del GDPR
Il monito dell’Autorità Garante
Una violazione, quindi, di categorie particolari di dati attinenti alla sfera della salute dell’individuo e come tali devono essere adeguatamente protetti da qualsiasi ingiustificata ingerenza esterna. Tali informazioni, infatti, possono essere comunicati a terzi ove sussista un presupposto giuridico o su espressa indicazione dell’interessato. Al fine di prevenire altri casi, il Garante ha invitato tutte le strutture ospedaliere a rispettare i principi di liceità, correttezza e trasparenza del trattamento dei dati personali.
L’Autorità Garante ha, inoltre, evidenziato la necessità per le strutture ospedaliere di adottare tutte le misure tecniche e organizzative adeguate a evitare nuovamente la comunicazione erronea a soggetti terzi dei dati dei loro pazienti.
Conclusioni
Da questi fatti emerge la difficoltà per le strutture sanitarie nel trattare dati personali dei propri pazienti. Questi casi di data breach non sono dovuti ad attacchi informatici, ma a pratiche sbagliate da parte delle strutture sanitarie. Dunque, allo scopo di prevenire simili episodi di violazioni dei dati e per tutelare maggiormente gli interessati è fondamentale insistere sull’importanza di investire nella formazione dei dipendenti e nell’implementazione di adeguate misure tecniche e organizzative. Ciò allo scopo di rendere il personale sanitario più consapevole circa i rischi e i pericoli delle falle dei sistemi informatici e di sicurezza e di taluni comportamenti negligenti che possono comportare violazioni anche molto gravi.
Da questo emerge, infine, la necessità di introdurre all’interno delle strutture mediche una figura adeguata che possa seguire questi processi. La mancanza di un DPO consapevole del suo ruolo e realmente preparato non è più una situazione accettabile in un sistema che richiede a gran voce un orientamento costante verso i processi e che sia, quindi, adeguato e all’altezza dell’attuale avanzamento tecnologico.
Leggi la notizia –Newsletter 19/02/21 – Data breach sanitari, Garante privacy sanziona tre strutture