Nel provvedimento del Garante Privacy n. 141/2020, una struttura sanitaria aveva notificato di aver riscontrato un data breach consistito nell’inserimento, all’interno del Fascicolo Sanitario Elettronico (FSE) di un paziente, del referto medico di un altro paziente che aveva lo stesso nome.
La vicenda era emersa a seguito di una segnalazione, da parte del soggetto interessato, all’Urp della struttura sanitaria con cui lo stesso segnalava di aver effettuato un accesso al proprio FSE e di aver rinvenuto il referto relativo a situazioni cliniche che non erano a lui relative. A seguito di indagini interne, la struttura sanitaria aveva riscontrato un errore da parte di un operatore nella registrazione di un altro paziente, omonimo del soggetto interessato, che qualche mese prima, aveva fatto accesso al Pronto Soccorso, dovuto ad un’erronea indicazione della data di nascita del paziente che aveva determinato l’associazione all’altro paziente omonimo. Da tale errore, era successivamente scaturito l’inserimento del referto all’interno del FSE dell’interessato.
L’Ospedale aveva, tuttavia, evidenziato come, venuto a conoscenza dell’errore, aveva immediatamente corretto la situazione, eliminando il referto dal FSE dell’interessato, ed avviato un’azione di sensibilizzazione del proprio personale sull’accaduto e sul corretto trattamento dei dati sanitario nonché effettuato una revisione delle procedure di accettazione dei pazienti al Pronto Soccorso.
In considerazione di ciò, la struttura sanitaria aveva chiesto l’archiviazione del procedimento nei suoi confronti.
Il Garante Privacy, pur apprezzando il comportamento tenuto dalla struttura sanitaria per attenuare le conseguenze negative della violazione, ha comunque ritenuto che la condotta dell’Ospedale configurasse comunque una violazione della normativa in materia di protezione dei dati personali.
Preliminarmente, l’autorità ha evidenziato che,in ambito sanitario, la disciplina europea e nazionale in materia di protezione dei dati personali stabilisce che le informazioni sullo stato di salute di una persona possano essere comunicate solo all’interessato e possano essere comunicate a soggetti terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso, previa delega scritta di quest’ultimo.
Inoltre, i principi di integrità e riservatezza, previsti dal Regolamento europeo per la protezione dei dati personali (Gdpr), stabiliscono chei dati personali devono essere trattati in maniera da garantire un’adeguata sicurezza e devono essere protetti da trattamenti non autorizzati o illeciti e dalla loro perdita, distruzione o danno accidentali, attraverso l’adozione da parte del titolare del trattamento di misure tecniche e organizzative adeguate.
Secondo il Garante, l’erronea registrazione del paziente che aveva effettuato l’accesso al Pronto Soccorso della struttura sanitaria e il conseguente errato inserimento del referto di quest’ ultimo nel Fascicolo sanitario elettronico dell’altro paziente, costituisce proprio una violazione dei suddetti principi di integrità e riservatezza dei dati, in quanto frutto di una non corretta adozione di idonei strumenti tecnici e organizzativi da parte della struttura sanitaria.
Ciò posto, in ragione del comportamento adottato dalla Struttura e in considerazione del fatto che l’Autorità fosse venuta a conoscenza della violazione proprio grazie alla notifica spontanea del data breach da parte della stessa Struttura sanitaria, il Garante ha ritenuto di qualificare il caso come “violazione minore” e conseguentemente ha ritenuto che fosse sufficiente sanzionare la struttura sanitaria con un semplice ammonimento al rispetto delle disposizioni in tema di protezione dei dati personali. L’ammonimento è uno dei nuovi poteri attribuiti dal Regolamento europeo alle Autorità di protezione dati che consente alle stesse – in presenza di una violazione minore o qualora la sanzione pecuniaria da imporre dovesse costituire un onere sproporzionato per una persona fisica – di rilevare la violazione e annotarla nel registro tenuto dall’Autorità anziché adottare una sanzione pecuniaria. Ciò consente, in caso di recidiva, di tenerne conto ai fini della quantificazione della sanzione.
