Nuova sanzione del Garante in ambito sanitario: sanzionato un ambulatorio per l'invio dei referti al paziente sbagliato.

Antefatto: la violazione dei dati personali

Con apposita nota, una società gestrice di un ambulatorio medico notificava al Garante un data breach. In dettaglio faceva sapere che due referti relativi ad una paziente sono stati inseriti erroneamente in una busta destinata ad un altro paziente. I documenti consistevano in un esame emocromocitometrico e un elettrocardiogramma senza tracciato.

Nella comunicazione, la società evidenziava che:

“il controllo del contenuto delle buste dei referti è effettuato attraverso specifiche procedure organizzative aziendali (…)”.

Due ore dopo la documentazione consegnata erroneamente al paziente sbagliato è stata recuperata dal personale autorizzato dal Titolare del Trattamento, una volta ricevuta segnalazione dal Data Protection Officer (DPO). L'indagine interna ha consentito di attribuire l'accaduto ad errore umano da parte del dipendente addetto all'imbustamento dei referti.

Per approfondire > Hacktivisti pubblicano dati sanitari online: il Garante sanziona la casa di cura

L'attività istruttoria del Garante

In seguito a quanto comunicato dalla Società, il Garante ha avviato un procedimento e invitato la società a produrre scritti difensivi. Riscontrando, ovviamente, una responsabilità della Società. Tenuto conto che:

• la normativa prevede che le informazioni relative allo stato di salute possono essere comunicate solo all'interessato o a terzi solo sulla base di "idoneo presupposto giuridico";
• Il titolare del trattamento deve rispettare i principi del GDPR con particolare attenzione a quelli di "Integrità e riservatezza" degli stessi;

e verificato l'errore di imbustamento, il Garante ha riscontrato la violazione della normativa.

Le memorie difensive della Società

La società presentava memorie difensive che si sono articolate intorno a 6 punti principali:

1. il data breach è avvenuto, ma limitatamente a due referti relativi ad un'unica paziente ed a causa di errore umano;
2. i referti non contengono valori clinici utili a ricostruire lo stato di salute dell'interessata;
3. dal momento in cui il segnalante ha informato il DPO della Società al recupero dei referti tramite persona autorizzata sono trascorse poche ore;
4. la violazione è da ritenersi di gravità minima a causa di
   • numero limitato di interessati coinvolti (1);
   • il tipo di dati personali riguardati, "scarsamente denotativi" dello stato di salute dell'interessata;
   • la modalità della trasmissione dei dati. A differenza del digitale, la circolazione cartacea è molto limitata;
5. la Società si è comunque dotata di procedure specifiche per evitare tali errori. Gli operatori ricevono apposita autorizzazione al trattamento e periodica formazione per garantire la conformità normativa;
6. la Società ha intrapreso azione volti a migliorare le procedure e i sistemi di sicurezza impiegati nel trattamento dati.

L'esito dell'istruttoria: il Garante opta per la sanzione

Il Garante non ha ritenuto sufficiente la difesa presentata dalla Società. Il motivo? Eccolo
"l’agente avrebbe potuto diligentemente accertare, attraverso un più accurato controllo dei dati, la correttezza delle operazioni effettuate in occasione dell’imbustamento del referto, evitando in tal modo di comunicare dati sulla salute a un soggetto terzo, non autorizzato."

Il Garante spiega cioè che non siamo di fronte ad un "errore scusabile" intendendo che:

"la buona fede o l’errore si fondino su un elemento positivo, estraneo all’agente e idoneo a determinare in lui la convinzione della liceità del suo comportamento (errore scusabile). Tale elemento positivo deve risultare non ovviabile dall’agente con l’uso dell’ordinaria diligenza"

Per queste ragioni, il trattamento in oggetto è da ritenersi illegittimo, in violazione degli art. 5, par. 1, lett. f) e 9 del Regolamento.

Sanzione e provvedimenti
Il Garante ha optato per la sanzione amministrativa di 6000 euro, con pubblicazione del provvedimento sulla pagina istituzionale del Garante come sanzione accessoria. Quest'ultima decisione è conseguente alla tipologia di dati trattati illecitamente, un modo con cui il Garante ha ribadito la tutela rafforzata riguardo i dati sanitari.

Qui è possibile consultare il provvedimento completo