GUARDA QUIhttps://www.accademiaitalianaprivacy.it/areaprivata/foto/625/01.jpg
lunedì 17 gennaio 2022
di GDPRlab.it
Nuova sanzione del Garante in ambito sanitario: sanzionato un ambulatorio per l'invio dei referti al paziente sbagliato.
Antefatto: la violazione dei dati personali
Con apposita nota, una società gestrice di un ambulatorio medico notificava al Garante un data breach. In dettaglio faceva sapere che due referti relativi ad una paziente sono stati inseriti erroneamente in una busta destinata ad un altro paziente. I documenti consistevano in un esame emocromocitometrico e un elettrocardiogramma senza tracciato.
Nella comunicazione, la società evidenziava che:
“il controllo del contenuto delle buste dei referti è effettuato attraverso specifiche procedure organizzative aziendali (…)”.
Due ore dopo la documentazione consegnata erroneamente al paziente sbagliato è stata recuperata dal personale autorizzato dal Titolare del Trattamento, una volta ricevuta segnalazione dal Data Protection Officer (DPO). L'indagine interna ha consentito di attribuire l'accaduto ad errore umano da parte del dipendente addetto all'imbustamento dei referti.
Per approfondire > Hacktivisti pubblicano dati sanitari online: il Garante sanziona la casa di cura
L'attività istruttoria del Garante
In seguito a quanto comunicato dalla Società, il Garante ha avviato un procedimento e invitato la società a produrre scritti difensivi. Riscontrando, ovviamente, una responsabilità della Società. Tenuto conto che:
e verificato l'errore di imbustamento, il Garante ha riscontrato la violazione della normativa.
Le memorie difensive della Società
La società presentava memorie difensive che si sono articolate intorno a 6 punti principali:
L'esito dell'istruttoria: il Garante opta per la sanzione
Il Garante non ha ritenuto sufficiente la difesa presentata dalla Società. Il motivo? Eccolo
"l’agente avrebbe potuto diligentemente accertare, attraverso un più accurato controllo dei dati, la correttezza delle operazioni effettuate in occasione dell’imbustamento del referto, evitando in tal modo di comunicare dati sulla salute a un soggetto terzo, non autorizzato."
Il Garante spiega cioè che non siamo di fronte ad un "errore scusabile" intendendo che:
"la buona fede o l’errore si fondino su un elemento positivo, estraneo all’agente e idoneo a determinare in lui la convinzione della liceità del suo comportamento (errore scusabile). Tale elemento positivo deve risultare non ovviabile dall’agente con l’uso dell’ordinaria diligenza"
Per queste ragioni, il trattamento in oggetto è da ritenersi illegittimo, in violazione degli art. 5, par. 1, lett. f) e 9 del Regolamento.
Sanzione e provvedimenti
Il Garante ha optato per la sanzione amministrativa di 6000 euro, con pubblicazione del provvedimento sulla pagina istituzionale del Garante come sanzione accessoria. Quest'ultima decisione è conseguente alla tipologia di dati trattati illecitamente, un modo con cui il Garante ha ribadito la tutela rafforzata riguardo i dati sanitari.
Qui è possibile consultare il provvedimento completo
CONDIVIDI QUESTA PAGINA!