Nell’ambito della protezione dei dati personali, le strutture sanitarie non devono commettere l’errore di preoccuparsi solamente delle possibili violazioni causate dagli attacchi informatici esterni ma devono adottare ed efficacemente implementare procedure adeguate e formare il personale sulle procedure e sui rischi collegati al trattamento.
Ai sensi dell’art. 32 del Gdpr, “sicurezza del trattamento”, il titolare del trattamento, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, mette in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.
L’art. 24 del Gdpr, “Responsabilità del titolare del trattamento” ribadisce tale concetto affermando che:
“1. Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.
2. Se ciò è proporzionato rispetto alle attività di trattamento, le misure di cui al paragrafo 1 includono l’attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento”.
Alla luce delle due norme (art. 32 e art. 24), quindi, le misure sono sì tecniche ma soprattutto sono organizzative. Lo ha ricordato il Garante per la Protezione dei Dati Personali in occasione delle recenti sanzioni irrogate nel mese di febbraio 2021 nei confronti di due ospedali e una Asl per le violazioni di dati personali causati non da attacchi informatici esterni, ma da procedure inadeguate e da semplici errori materiali del personale.
Si passano, quindi, in rassegna le tre vicende sottese ai rispettivi provvedimenti del Garante.
Nel primo caso (registro dei provvedimenti n. 29 del 27 gennaio 2021), un ospedale toscano ha ricevuto la sanzione di 10.000 Euro per aver spedito via posta a causa di un errore materiale in fase di imbustamento, al paziente sbagliato, una relazione medica contenente le informazioni sulla salute e la vita sessuale di un’altra coppia.
Nel secondo caso (Registro dei provvedimenti n. 30 del 27 gennaio 2021), un ospedale dell’Emilia-Romagna ha ricevuto la sanzione di 10.000 Euro per aver consegnato a dei pazienti cartelle cliniche contenenti dati e referti riferibili ad altre persone, incluso un minore.
In entrambi casi, le strutture, appreso l’errore nel trattamento, hanno notificato l’incidente (c.d. “data breach”) al Garante il quale all’esito dell’istruttoria ha emesso le sanzioni.
In entrambi i casi le sanzioni sono state calcolate tenendo conto che le strutture sanitarie hanno immediatamente dimostrato un elevato grado di cooperazione con il Garante e che gli episodi sono risultati isolati e non volontari. Le due strutture hanno anche pianificato ulteriori misure tecniche e organizzative per ridurre al minimo l’errore umano.
Il terzo caso riguarda invece una Asl dell’Emilia-Romagna (Registro dei provvedimenti
n. 36 del 27 gennaio 2021), dove una paziente aveva esplicitamente richiesto – sottoscrivendo un apposito modulo – che nessun soggetto esterno, neppure i familiari, fosse informato sul suo stato di salute. Il modulo, però, era stato inserito all’interno della cartella clinica. Un’infermiera del reparto dove la donna stava seguendo delle terapie, non essendo a conoscenza della richiesta, invece che contattarla sul telefono cellulare privato, aveva chiamato il numero di casa registrato nell’anagrafe aziendale, parlando così con un familiare.
Anche in questo caso, l’Azienda ha riconosciuto gli errori che hanno causato il data breach.
L’Azienda si è impegnata ad implementare un sistema informatizzato di gestione dei numeri di telefono dei pazienti ricoverati, e a predisporre una modulistica unica con la quale i pazienti potranno esprimere la loro eventuale volontà di comunicare informazioni sul proprio stato di salute ai terzi, introducendo una specifica policy aziendale. La Asl, che ha subito anche una richiesta di risarcimento danni da parte della paziente, in ogni caso dovrà pagare una sanzione di 50.000 euro per la violazione del GDPR.
Alla luce di questi episodi, il Garante ha ricordato che le informazioni sullo stato di salute costituiscono dati di categorie particolari di dati ai sensi dell’art. 9 del Gdpr. Tali dati possono essere comunicati a terzi solo sulla base di un presupposto giuridico o su indicazione della persona interessata, previa delega scritta. Inoltre, il Garante per la Protezione dei Dati Personali ha invitato tutte le strutture sanitarie al pieno rispetto dei principi di correttezza e trasparenza, adottando misure tecniche e organizzative utili non solo a proteggersi da attacchi informatici, ma anche a evitare violazioni di dati personali, in particolare quelli più delicati, come quelli sulla salute – troppo spesso causate da inadeguate procedure gestionali.
