Violazione dei dati, sanzionate tre strutture sanitarie italiane

La decisione del Garante per la privacy ha coinvolto due ospedali e una Asl

Il Garante per la privacy ha sanzionato due ospedali e una Asl per aver effettuato procedure inadeguate nella protezione dei dati personali. La multa per i due ospedali è di 10 mila euro ciascuno, più pesante invece la sanzione per l’Asl: 50 mila euro. Nel prendere la sua decisione, l’Autorità ha ricordato che le strutture sanitarie devono adottare tutte le misure tecniche e organizzative necessarie per evitare che i dati dei loro pazienti siano comunicati per errore ad altre persone.

Il perché delle multe ai due ospedali

I due ospedali colpiti dalle sanzioni, sono uno toscano e l’altro emiliano-romagnolo. Nel primo caso il nosocomio è stato accusato di aver spedito al paziente sbagliato, via posta, una relazione medica contenente le informazioni sulla salute e la vita sessuale di un’altra coppia. Nel secondo caso, la struttura ospedaliera ha consegnato ad alcuni pazienti cartelle cliniche contenenti dati e referti riferibili ad altre persone, incluso un minore. Le sanzioni contenute di 10 mila euro ad ospedale sono state giustificate dal fatto che entrambe le strutture sanitarie hanno immediatamente dimostrato un elevato grado di cooperazione con il Garante e che gli episodi sono risultati isolati e non volontari.

La sanzione più pesante alla Asl

Il terzo caso ha coinvolto una Asl sempre dell’Emilia-Romagna risultata inosservante delle richieste di un paziente. Quest’ultimo, infatti, compilando un apposito modulo, aveva esplicitamente richiesto che nessun soggetto esterno, compresi i familiari, fosse informato sul suo stato di salute. Il modulo, però, era stato inserito all’interno della cartella clinica. Come evidenziato sul provvedimento del Garante per la privacy, “un’infermiera del reparto dove il paziente stava seguendo delle terapie, non essendo a conoscenza della richiesta, invece che contattarla sul telefono cellulare privato, aveva chiamato il numero di casa registrato nell’anagrafe aziendale, parlando così con un familiare”.

La Asl, che oltre alla sanzione di 50 mila euro per violazione del Gdpr, ha subìto anche una richiesta di risarcimento danni da parte del paziente, ha riconosciuto l’errore umano che, di fatto, ha causato il data breach, e si è impegnata a implementare un sistema informatizzato di gestione dei numeri di telefono dei pazienti ricoverati, e a predisporre una modulistica unica con la quale i pazienti potranno esprimere la loro eventuale volontà di comunicare informazioni sul proprio stato di salute ai terzi, introducendo una specifica policy aziendale.

Il Garante ha ricordato che le informazioni sullo stato di salute possono essere comunicate a terzi solo sulla base di un presupposto giuridico o su indicazione della persona interessata, previa delega scritta.

FONTE: garanteprivacy.it