Vuoi ricevere i nostri aggiornamenti?
Comunicazione illecita di dati sanitari: cosa non fare e come prevenire
Il GDPR richiede al Titolare del trattamento di approntare misure tecniche ed organizzative, spesso anche complesse, per garantire la tutela dei dati e il rispetto dei principi del trattamento; l’attenzione deve essere quantomai elevata quando i dati personali trattati sono dati particolari, come accade in ambito sanitario.
Spesso però le violazioni sono causate da errori umani, anche banali, che causano dei veri e propri data breach e soprattutto espongono il Titolare a provvedimenti sanzionatori da parte del Garante.
Quanto costano questi “errori” alla sanità?
Analizziamo brevemente alcune recenti sanzioni e le vicende che hanno comportato l’irrogazione di una sanzione a carico di strutture sanitarie.
| IL PROVVEDIMENTO | LA VICENDA | LA SANZIONE |
|---|---|---|
| Provvedimento n. 47 del 10 febbraio 2022, doc. web n. 9754355 |
Referto comunicato al paziente sbagliato. A causa di un errore umano, il referto relativo ad un esame diagnostico viene consegnato al destinatario sbagliato. L’istruttoria ha fatto emergere che la violazione è stata causata da una svista nella predisposizione della busta cartacea, che ha causato lo scambio dei referti di due pazienti. |
€ 3.500 |
| Provvedimento n. 85 del 10 marzo 2022, doc. web n. 9762945 |
Errore di invio della cartella clinica. Due pazienti richiedono la copia delle proprie cartelle cliniche alla struttura sanitaria. Nella preparazione dei documenti, il personale commette l’errore di fare due copie della medesima cartella, inviando così la medesima cartella anche al paziente sbagliato. |
€ 10.000 |
| Provvedimento n. 84 del 10 marzo 2022, doc. web n. 9763968 |
Comunicazione dati sanitari ad un soggetto diverso dal paziente. Un'operatrice della struttura sanitaria ha inviato dati relativi alla salute a una persona diversa da quelle indicate dalla paziente. Il motivo? L'operatrice temeva di non poter contattare i due soggetti in precedenza indicati dalla paziente per le comunicazioni, e per questo ha riferito le notizie (dati di salute) ad una familiare della paziente. |
€ 1.000 |
| Provvedimento n. 100 del 24 marzo 2022, doc. web n. 9767077 |
Invio errato di referto e CD. Il personale autorizzato ha imbustato il CD e il referto di indagine diagnostica senza il consueto controllo accurato della correlazione tra il nominativo nei documenti e il nominativo sulla busta. Questa mancanza ha comportato che il documento e il CD con le immagini radiologiche fossero ricevute dal paziente sbagliato, che ha immediatamente avvertito la struttura sanitaria e distrutto tutti i dati |
Ammonimento |
| Provvedimento n. 164 del 28 aprile 2022, doc. web n. 9779057 |
Newsletter con indirizzi email in cc (e non ccn). Quando è insorta l’emergenza Covid-19, la struttura sanitaria ha avviato una newsletter per pazienti e caregiver, così da tenerli informati sulle attività della struttura stessa, data l’improvvisa mancanza di contatto diretto tra la struttura ospedaliera e i pazienti. A causa di un errore umano, in due occasioni la newsletter è stata inviata inserendo nel campo “cc” gli indirizzi e-mail di centinaia di pazienti, così da violare la riservatezza anche dei dati sanitari (le mail erano inviate da un reparto specifico). |
€ 70.000 |
| Provvedimento n. 176 del 12 maggio 2022, doc. web n. 9781947 |
Consegna del supporto digitale con dati di un altro paziente. Un paziente esegue un esame diagnostico presso una struttura sanitaria e vi si reca poi per ritirare il referto. La busta è correttamente intesta, così come il referto al suo interno. Tuttavia, il supporto digitale inserito nella busta si riferisce ad una prestazione neuroradiologica erogata a favore di altro soggetto. |
€ 7.000 |
| Provvedimento n. 242 del 7 luglio 2022, doc. web n. 9809998 |
Newsletter con indirizzi email in cc (e non ccn). Per un errore di un dipendente, una società distributrice di un dispositivo medico ha inviato a 2.000 pazienti una e-mail con tutti gli indirizzi nel campo “cc”. La comunicazione è stata inviata nell’ambito di una campagna informativa riguardo un sistema di monitoraggio continuo del glucosio per persone affette da diabete, e ciò ha comportato la violazione dei dati sanitari dei destinatari |
€ 45.000 |
| Provvedimento n. 344 del 6 ottobre 2022, doc. web n. 9828965 |
Referto trasmesso al paziente sbagliato (parte 1). Durante la fase di predisposizione della trasmissione dei referti ai pazienti, per errore viene allegato il referto di un paziente alla PEC destinata ad un altro soggetto. La sanzione è stata comminata al responsabile del trattamento, che si è occupato dell’invio errato. |
€ 7.000 |
| Provvedimento n. 345 del 20 ottobre 2022, doc. web n. 9832526 |
Referto trasmesso al paziente sbagliato (parte 2). Durante la fase di predisposizione della trasmissione dei referti ai pazienti, per errore viene allegato il referto di un paziente alla PEC destinata ad un altro soggetto. Nonostante la violazione sia stata effettuata dal responsabile del trattamento, la sanzione è stata comminata (anche) al titolare del trattamento, per non aver svolto le dovute attività di vigilanza e controllo sull’attività del responsabile |
€ 9.000 |
| Provvedimento n. 320 del 6 ottobre 2022, doc. web n. 9830178 |
Vaccinazione anti SARS-CoV-2 per gli operatori sanitari. Nell’ambito della gestione dell’emergenza Covid-19, la Regione ha previsto l’obbligo di comunicare ai medici competenti operanti presso le aziende sanitarie degli elenchi di tutto il personale sanitario che all’epoca dei fatti non risultava vaccinato. Questa comunicazione di dati personali particolari è stata considerata dal Garante una violazione. * Il provvedimento è stato impugnato innanzi al Tribunale di Venezia; il Tribunale ha disposto in via cautelare la sospensione dell’efficacia esecutiva del provvedimento |
€ 100.000 |
| Provvedimento n. 336 del 20 ottobre 2022, doc. web n. 9831081 |
La base giuridica per comunicare i dati al medico. Un’associazione crea una app che permette di mettere in contatto pazienti e medici. Per questo, la app trasmette i dati personali di salute dei pazienti ai medici (titolari del trattamento). Tuttavia, tale comunicazione di dati avveniva senza che il proprietario della app avesse una base giuridica adeguata. |
€ 5.000 |
| Provvedimento n. 385 del 24 novembre 2022, doc. web n. 9839018 |
Illecita comunicazione di dati sanitari del medico. La struttura sanitaria trasmette all’Ordine professionale il provvedimento di accertamento dell’assenza del requisito vaccinale di un medico e il conseguente provvedimento adottato dalla struttura, in qualità di datore di lavoro, con il quale è stata disposta la sospensione dal servizio di quest’ultimo. A sua volta l’Ordine invia tutti i documenti alle autorità compenti e ai presidenti degli ordini dei Medici Chirurghi e degli Odontoiatri. |
€ 3.000 |
| Provvedimento n. 388 del 24 novembre 2022, doc. web n. 9842370 |
Comunicazione dati sanitari ad un soggetto diverso dal paziente. La cliente di una palestra presenta un reclamo presso il Garante: la società presso cui aveva effettuato una visita per ottenere un certificato di idoneità alla pratica sportiva ha comunicato i suoi dati sanitari alla palestra dove è iscritta, senza la sua autorizzazione. |
€ 4.000 |
| Provvedimento n. 403 del 1° dicembre 2022, doc. web n. 9842754 |
Invio di documenti sanitari senza autorizzazione del paziente. Un paziente chiede al suo medico odontoiatra la documentazione medica riferita alle cure ricevute presso il suo studio dentistico. Il medico invia al paziente via PEC un file .zip contenente vari documenti sanitari ma, senza alcuna autorizzazione né motivazione, mette in copia anche l’Ordine dei medici di Genova. |
Ammonimento |
Cosa fare per prevenire questi errori?
L’evidenza che emerge dalle sanzioni illustrate è che la predisposizione e l’affidamento alle sole misure tecniche non è sufficiente, perché l’errore umano è sempre “in agguato”. Occorre, pertanto, diminuire proprio il rischio che un errore causi una violazione del GDPR.
La costruzione di un sistema di gestione dei dati personali “tutelante” non può prescindere dalla predisposizione di procedure e istruzioni operative efficaci.
Un primo aspetto da tenere in considerazione è la c.d. segregazione delle funzioni e l’introduzione di sistemi di “doppio controllo”; le procedure devono descrivere l’intero iter di erogazione di un servizio o di una prestazione, individuando in modo preciso, i soggetti incaricati di presidiare ciascuna parte della procedura e i soggetti a cui è affidato il controllo.
Ovviamente il sistema non può prescindere da una formazione specifica sulle procedure, dal monitoraggio del rispetto delle stesse da parte del personale autorizzato e da un aggiornamento continuo al fine di renderle aderenti ai servizi resi.
La redazione delle procedure dovrebbe essere affidata a gruppi di lavoro interdisciplinari, che possano cogliere le diverse sfaccettature del processo e tenere conto dei feeback da parte degli operatori, che dunque dovrebbero essere coinvolti anche in sede di valutazione oltre che di mera esecuzione.
Rubrica "Privacy in Sanità: imparare dalle sanzioni"
Leggi gli altri articoli e accedi agli ulteriori contenuti presenti nella nostra rubrica dedicata.