La perdita della cartella clinica è un evento infausto che ha impatta non solo sotto il profilo risarcitorio in ambito processuale ma anche sotto quello sanzionatorio, a livello amministrativo, per violazione dei dati personali.
Come noto, in generale, nel settore sanitario l’indisponibilità di dati riferiti a un paziente si traduce spesso nella impossibilità di curare l’assistito.
Per questo motivo, la perdita parziale di cartelle cliniche da parte di un’Azienda Sanitaria è stata notificata da quest’ultima al Garante Privacy ex art. 33 GDPR, sul presupposto che tale violazione di dati presentasse un rischio elevato per i diritti e le libertà dei pazienti.
Nel caso specifico era stata smarrita la diaria medica cartacea di una paziente, riportante la descrizione delle condizioni cliniche quotidiane e il foglio di consenso all'esecuzione della procedura diagnostica (paracentesi) e la documentazione clinica di un altro paziente alla chiusura della cartella.
La struttura sanitaria ha dichiarato che in entrambi i casi la perdita dei dati aveva avuto origine da un errore umano occorso nel contesto di una procedura interna indicata nel protocollo di gestione della cartella clinica.
Ha, inoltre, qualificato l’evento come “imprevedibile nell’ambito di un percorso estremamente organizzato”, aggiungendo che “Nell’U.O. sono gestiti mediamente oltre 1800 pazienti all’anno e nel recente periodo pandemico che ha visto oltre 3000 pazienti curati dai reparti di Medicina non si sono mai verificate, a conoscenza, dissinergie sulla conservazione dei documenti sanitari”.
Come misure di prevenzione a future simili violazioni, l’Azienda Sanitaria ha dichiarato la programmazione di specifici corsi di formazione.
Preso atto di quanto rappresentato e documentato dall’Azienda nel corso dei procedimenti istruttori, il Garante ha concluso che gli elementi forniti dal titolare del trattamento nelle memorie difensive, seppure meritevoli di considerazione, non consentono di superare i rilievi dell’Autorità.
In particolare, ha ritenuto che i dati contenuti nella cartella clinica non siano stati trattati in maniera da garantirne un’adeguata sicurezza, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali, secondo il principio di «integrità e riservatezza» di cui all’art. 5, par. 1, lett. f) GDPR.
Con il provvedimento di ordinanza ingiunzione l’Autorità ha inflitto una sanzione all’Azienda il cui ammontare è stato determinato in € 3.000.
L’adozione di protocolli interni per la corretta gestione delle cartelle cliniche – così come di regolamenti interni per il corretto trattamento dei dati – è sicuramente una misura idonea.
In generale, è però anche opportuno che le strutture sanitarie si assicurino che le indicazioni siano chiare e vengano correttamente recepite.
Per questo motivo è particolarmente strategico – oltre che obbligatorio ai sensi dell’art. 29 GDPR – formare (già all’atto dell’assunzione e con sessioni di aggiornamento) tutto il personale che tratta dati personali sotto l’autorità della struttura sanitaria, fornendo soprattutto esempi pratici e indicazioni operative sul corretto trattamento dei dati.
Tra le indicazioni da fornire è particolarmente utile che vengano trasmesse le best practices da applicare in concreto per la corretta tenuta e conservazione della cartella clinica e, in generale, di tutta la documentazione cartacea.
Sotto il profilo organizzativo, la soluzione in assoluto più efficace è quella che prevede incontri di formazione che avvengono in maniera interattiva tra docenti e discenti e la compilazione da parte dei partecipanti di questionari di verifica dell’apprendimento da mantenere archiviati in ottica di accountability.
Leggi gli altri articoli e accedi agli ulteriori contenuti presenti nella nostra rubrica dedicata.