Sanzionate tre strutture sanitare per violazione dei dati
Il Garante Privacy ha recentemente ricordato, successivamente a due sanzioni, come le strutture sanitarie debbano adottare misure opportune per evitare che i dati dei loro pazienti vengano comunicati per errore ad altri.
A causa di un errore d’indirizzo, un ospedale toscano ha ricevuto una sanzione di 10.000 euro poiché ha invitato per errore informazioni sulla salute e la vita sessuale di un’altra coppia.
Allo stesso tempo in Emilia-Romagna un ospedale ha ricevuto una sanzione da 10.000 euro per aver consegnato a dei pazienti cartelle cliniche di altre persone, tra le quali un minore.
In tutti e due i casi le sanzioni sono state calcolate in base al grado di cooperazione delle strutture con il Garante e in base anche al fatto che questi fossero casi isolati e non volontari. A fronte di questi provvedimenti le strutture si sono anche adoperate per aumentare e migliore le misure tecniche e organizzative per ridurre al minimo l’errore umano.
Un altro caso riguarda l’Asl dell’Emilia-Romagna, dove un paziente aveva specificatamente richiesto che nessun soggetto, nemmeno i suoi familiari venissero a conoscenza del suo stato di salute. Purtroppo, il modulo era stato inserito all’interno della cartella clinica e un’infermiera di reparto dove la donna stava eseguendo le terapie ha contattato la paziente al numero di casa dove ha risposto un familiare. Anche in questo caso l’Azienda ha riconosciuto l’errore e si è impegnata ad implementare un sistema informatizzato per gestire i numeri di telefono dei pazienti ricoverati, predisponendo una modulistica dove sarà possibile aggiungere le richieste e volontà dei tali. La sanzione subita dall’Asl sarà di 50.000 per violazione del Gdpr.
Dopo questi episodi il Garante ha ricordato che le informazioni sullo stato di salute possono essere comunicati a terzo solamente su base di prospetto giuridico o su indicazione della persona interessata. Per questa ragione ha invitato tutte le strutture sanitare ad adottare misure tecniche e organizzative non solo per proteggersi da attacchi informatici ma per evitare la violazione dei dati, spesso causate da procedure gestionali.