2021 08-03

(DPR) IL GARANTE SANZIONA TRE STRUTTURE SANITARIE PUBBLICHE PER AVER ERRONEAMENTE COMUNICATO A TERZI I DATI DEI PROPRI PAZIENTI (Provv. 29 del 27.01.2021; Provv. n. 30 del 27.01.2021; Provv. n. 36 del 27.01.2021)

by

Con tre ordinanze-ingiunzione adottate il 27.01.2021, il Garante della Privacy ha sanzionato due strutture ospedaliere e una ASL per violazioni dei dati personali determinate dall'azione di procedure per il loro trattamento inefficienti e comunque inadeguate. L'Autorità ha infatti ricordato che l’art. 83 del Codice della Privacy prevede che le strutture pubbliche che erogano prestazioni sanitarie debbano adottare “(...) idonee misure per garantire, nell'organizzazione delle prestazioni e dei servizi, il rispetto dei diritti, delle libertà fondamentali e della dignità degli interessati, nonché del segreto professionale, fermo restando quanto previsto dalle leggi e dai regolamenti in materia di modalità di trattamento dei dati sensibili e di misure minime di sicurezza”. Tali misure di sicurezza comprendono il rispetto della dignità dell'interessato in occasione della prestazione medica e in ogni operazione di trattamento dei dati e la messa in atto di procedure, anche di formazione del personale, dirette a prevenire nei confronti di estranei un'esplicita correlazione tra l'interessato e reparti o strutture, indicativa dell'esistenza di un particolare stato di salute. In tutti e tre i casi posti all'attenzione del Garante terzi soggetti avevano avuto accesso ai dati sensibili di pazienti a causa di un errore umano a sua volta determinato dall'adozione di procedure inadeguate a garantire la riservatezza dei dati. In particolare, la precitata ASL è stata sanzionata con il pagamento di 50.000 euro per aver comunicato telefonicamente ad un familiare della paziente - e nonostante la sua espressa volontà contraria - dati relativi al suo ricovero presso la struttura: l'Autorità ha infatti ritenuto che la condotta è stata causata "dall’inefficacia delle misure tecniche e organizzative implementate che si sono dimostrate inadeguate a tutelare la dignità degli interessati e ad assicurare il rispetto della volontà dei pazienti di non far conoscere, a soggetti terzi, notizie circa il proprio stato di salute in quanto non sussiste prova delle presenza di strumenti idonei ad assicurare il rispetto della volontà dell’interessata di essere contattata solo a un determinato numero di telefono (in violazione degli artt. 5, par. 1 lett. f) e 32 del Regolamento" (FA)