Fascicolo Sanitario Elettronico: violazione della privacy per l’erroneo inserimento di un referto relativo a un paziente omonimo

Fascicolo Sanitario Elettronico: violazione della privacy per l’erroneo inserimento di un referto relativo a un paziente omonimo

Nel provvedimento del Garante Privacy n. 141/2020, una struttura sanitaria aveva notificato di aver riscontrato un data breach consistito nell’inserimento, all’interno del Fascicolo Sanitario Elettronico (FSE) di un paziente, del referto medico di un altro paziente che aveva lo stesso nome.

La vicenda era emersa a seguito di una segnalazione, da parte del soggetto interessato, all’Urp della struttura sanitaria con cui lo stesso segnalava di aver effettuato un accesso al proprio FSE e di aver rinvenuto il referto relativo a situazioni cliniche che non erano a lui relative. A seguito di indagini interne, la struttura sanitaria aveva riscontrato un errore da parte di un operatore nella registrazione di un altro paziente, omonimo del soggetto interessato, che qualche mese prima, aveva fatto accesso al Pronto Soccorso, dovuto ad un’erronea indicazione della data di nascita del paziente che aveva determinato l’associazione all’altro paziente omonimo. Da tale errore, era successivamente scaturito l’inserimento del referto all’interno del FSE dell’interessato.

L’Ospedale aveva, tuttavia, evidenziato come, venuto a conoscenza dell’errore, aveva immediatamente corretto la situazione, eliminando il referto dal FSE dell’interessato, ed avviato un’azione di sensibilizzazione del proprio personale sull’accaduto e sul corretto trattamento dei dati sanitario nonché effettuato una revisione delle procedure di accettazione dei pazienti al Pronto Soccorso.

In considerazione di ciò, la struttura sanitaria aveva chiesto l’archiviazione del procedimento nei suoi confronti.

Il Garante Privacy, pur apprezzando il comportamento tenuto dalla struttura sanitaria per attenuare le conseguenze negative della violazione, ha comunque ritenuto che la condotta dell’Ospedale configurasse comunque una violazione della normativa in materia di protezione dei dati personali.

Preliminarmente, l’autorità ha evidenziato che,in ambito sanitario, la disciplina europea e nazionale in materia di protezione dei dati personali stabilisce che le informazioni sullo stato di salute di una persona possano essere comunicate solo all’interessato e possano essere comunicate a soggetti terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso, previa delega scritta di quest’ultimo.

Inoltre, i principi di integrità e riservatezza, previsti dal Regolamento europeo per la protezione dei dati personali (Gdpr), stabiliscono chei dati personali devono essere trattati in maniera da garantire un’adeguata sicurezza e devono essere protetti da trattamenti non autorizzati o illeciti e dalla loro perdita, distruzione o danno accidentali, attraverso l’adozione da parte del titolare del trattamento di misure tecniche e organizzative adeguate.

Secondo il Garante, l’erronea registrazione del paziente che aveva effettuato l’accesso al Pronto Soccorso della struttura sanitaria e il conseguente errato inserimento del referto di quest’ ultimo nel Fascicolo sanitario elettronico dell’altro paziente, costituisce proprio una violazione dei suddetti principi di integrità e riservatezza dei dati, in quanto frutto di una non corretta adozione di idonei strumenti tecnici e organizzativi da parte della struttura sanitaria.

Ciò posto, in ragione del comportamento adottato dalla Struttura e in considerazione del fatto che l’Autorità fosse venuta a conoscenza della violazione proprio grazie alla notifica spontanea del data breach da parte della stessa Struttura sanitaria, il Garante ha ritenuto di qualificare il caso come “violazione minore” e conseguentemente ha ritenuto che fosse sufficiente sanzionare la struttura sanitaria con un semplice ammonimento al rispetto delle disposizioni in tema di protezione dei dati personali. L’ammonimento è uno dei nuovi poteri attribuiti dal Regolamento europeo alle Autorità di protezione dati che consente alle stesse – in presenza di una violazione minore o qualora la sanzione pecuniaria da imporre dovesse costituire un onere sproporzionato per una persona fisica – di rilevare la violazione e annotarla nel registro tenuto dall’Autorità anziché adottare una sanzione pecuniaria. Ciò consente, in caso di recidiva, di tenerne conto ai fini della quantificazione della sanzione.


Related Articles

Condotta omissiva di Dirigenti ospedalieri del controllo e della vigilanza sugli incassi del Cup per ticket sanitari sottratti

Corte dei conti – Sezione Seconda Giurisdizionale Centrale d’Appello – Sentenza n. 758 del 27 dicembre 2018 Oggetto: Condanna Dirigenti

Incremento dell’indennità del Sindaco nei Comuni fino a 3.000 abitanti: nessun effetto automatico per gli altri componenti della Giunta

Nella Delibera n. 42 del 22 giugno 2020 della Corte dei conti Molise, un Sindaco ha chiesto se l’incremento della

SPECIALE “Legge di bilancio 2017”: il commento dei commi che impattano sul bilancio degli Enti Locali

Commi da 433 a 443 – Fondi a favore degli Enti territoriali Il comma 433 istituisce un Fondo presso il

No comments

Write a comment
No Comments Yet! You can be first to comment this post!

Only registered users can comment.