Garante per la privacy: sanzionati due ospedali e una AUSL

Ospedali
Il Garante per la privacy ha sanzionato due ospedali e una AUSL, avevano comunicato informazioni mediche alle persone sbagliate.
Le tre strutture multate sono l’Azienda Ospedaliero Universitaria Senese, l’Azienda Ospedaliero Universitaria di Parma e l’AUSL della Romagna. Ai due ospedali è stata comminata una multa di 10.000 euro, mentre per l’AUsl romagnola l’ammenda è stata di 50.000 euro.

Gravi errori che hanno portato il Garante per la privacy a perseguire le tre strutture sanitarie con pene a titolo di sanzione amministrativa pecuniaria. Le strutture sanitarie sono obbligate ad adottare tutte le misure tecnico-organizzative volte a evitare che i dati dei pazienti vengano erroneamente comunicati alle persone sbagliate.

Questa volta nulla hanno a che vedere attacchi informatici a sistemi IT o phishing ai danni delle strutture ospedaliere. In tutti e tre i casi gli errori sono da imputare al personale ospedaliero a seguito di procedure inadeguate e di comuni errori materiali.

L’Azienda Ospedaliero Universitaria Senese ha ricevuto una sanzione di 10.000 euro. L’ospedale toscano è stato giudicato colpevole per aver spedito, via posta alle persone sbagliate, un documento contenente una relazione medica nell’ambito di una consulenza genetica, contenente dati sulla salute e sulla vita sessuale di un’altra coppia di persone.

Per l’Azienda Ospedaliero Universitaria di Parma la sanzione amministrativa inflitta dal Garante per la privacy è stata di 10.000 euro. L’Azienda è stata ritenuta colpevole d’aver consegnato ad altri pazienti delle cartelle cliniche con dati personali (nome, cognome, codice fiscale, residenza, data di nascita) e referti riconducibili ad un minore.

In questi due casi le sanzioni sono state calcolate tenendo conto dell’elevato grado di cooperazione dimostrato con il Garante e che, inoltre, gli episodi sono risultati isolati e non volontari. Le due strutture ospedaliere hanno fra l’altro deciso di intraprendere ulteriori e immediate misure tecnico-organizzative volte a ridurre al minimo l’errore umano.

Il terzo caso, sicuramente quello più grave, è accaduto all’AUSL della Romagna e riguarda una paziente ricoverata nel reparto di ginecologia. Durante il ricovero la paziente aveva esplicitamente richiesto – sottoscrivendo un apposito modulo – che nessun soggetto esterno, neppure i familiari, fosse informato sul suo stato di salute. Il modulo compilato e sottoscritto era stato però inserito all’interno della propria cartella clinica.

Dopo le dimissioni la paziente veniva contattata telefonicamente da un’infermiera del reparto dove la donna aveva eseguito le terapie, ma non essendo a conoscenza della sua richiesta, invece di contattarla sul telefono cellulare privato effettuava la chiamata sul numero di casa registrato nell’anagrafe aziendale. Un errore che la portava a interloquire con il marito della paziente.

L’Azienda, riconosciuti gli errori che hanno causato il rilascio di informazioni altamente sensibili a persone non autorizzate, si è impegnata a implementare un sistema informatizzato di gestione dei numeri di telefono dei pazienti ricoverati, predisponendo una modulistica unica grazie alla quale i pazienti potranno in futuro esprimere la loro volontà di comunicare o meno informazioni sul proprio stato di salute a terze persone, introducendo una specifica policy aziendale.

L’AUSL oltre ad una sanzione amministrativa di 50.000 euro in violazione del GDPR, ha subito anche una richiesta di risarcimento danni da parte della paziente.

Il Garante sta valutando casi simili a quelli descritti, ha voluto ricordare che tutte le informazioni sullo stato di salute di una persona possono essere comunicate a terzi solo sulla base di un presupposto giuridico, o solo su precisa indicazione della persona interessata previa delega scritta.

Il Garante ha sollecitato tutte le strutture sanitarie a intraprendere serie misure in grado di preservare il pieno rispetto dei principi di correttezza e trasparenza, l’adozione di misure tecniche e organizzative atte, non solo per proteggersi da attacchi informatici ma anche a evitare violazioni di dati sensibili specie quelli che riguardano la salute delle persone.

 

Fonte: Garante per la privacy