In un provvedimento dello scorso Luglio, sanzionando con la censura una struttura sanitaria, il Garante si è pronunciato sulla valenza delle autodenunce in caso di data breach. La decisione del Garante offre interessanti spunti di riflessione per chi deve applicare la disciplina del GDPR specialmente quando tratti dati sensibili.
La vicenda portata all’attenzione del Garante muove da un caso di omonimia ed una errata identificazione di un paziente che ha portato alla pubblicazione dei suoi dati personali nel fascicolo sanitario di altro paziente. Uno dei due è stato portato a conoscenza dei dati sanitari dell’altro, peraltro non identificato e non identificabile il quale, a propria volta, non ha ricevuto correttamente le informazioni sul suo stato di salute.

Pronte le giustificazioni della struttura, che dava atto di un errore umano involontario avvenuto al momento della registrazione, quando venne digitato erroneamente l’anno di nascita di un nuovo paziente e, per coincidenza, il dato si accavallò a quello di altro paziente omonimo già presente nel database. Immediata la correzione a cui seguiva inoltre un’attività di formazione; tuttavia il procedimento avanti l’Authority ha proseguito il suo corso e, nella sua decisione, il Garante ha motivato rilevando come la disciplina in materia di protezione dati in ambito sanitario stabilisca che le informazioni sullo stato di salute possano essere comunicate solo all’interessato e per la comunicazione a terzi sia necessario un idoneo presupposto giuridico o una chiara volontà dell’interessato in forma scritta.

E’ stato quindi rilevato come il trattamento in questione sia stato effettuato in violazione dei principi di integrità e riservatezza pur essendo in buona fede il Titolare che, comunque, non aveva applicato correttamente le misure tecniche e organizzative predisposte, al punto di dover attivare misure correttive da parte dell’Autorità Garante. E’ stato quindi ritenuto violazione del GDPR, quale illecito trattamento l’inserimento all’interno di un registro del referto di un paziente diverso dall’interessato e, considerate tutte le circostanze favorevoli al Titolare, il Garante ha emesso un provvedimento relativamente mite, vale a dire la censura, qualificando l’episodio come una “violazione minore”, ai sensi del considerando 148 del Regolamento.

Il provvedimento è un monito da parte del Garante nei confronti di tutti coloro che trattano particolari categorie di dati, in quanto invita, neppure troppo velatamente, ad una maggiore cautela nella defiizione delle policy nonché richiama l’attenzione sui doveri di formazione del personale anche con semplici mansioni di Data Handler e una maggiore cura del loro operato.