In questi giorni il Garante per la protezione dei dati personali ha sanzionato gli ospedali di Siena e Parma e la ASL dell’Emilia-Romagna. Le tre ordinanze del 27 gennaio 2021 riguardano la violazione di dati personali causata da procedure inadeguate.
Piccoli errori possono creare grandi problemi, la tipologia di dati è importante quanto il volume dei dati trattati.
Questi problemi potevano riguardare anche piccoli centri medici e proprio per questo motivo è fondamentale creare procedure che possano diventare “abitudini”.
Nei casi di seguito in esame il Garante ha ricordato che le strutture sanitarie hanno il dovere di adottare tutte le misure tecniche e organizzative necessarie per evitare che i dati dei loro pazienti siano comunicati per errore ad altre persone.
La prima ordinanza riguarda l’Azienda Ospedaliero Universitaria Senese che ha ricevuto la sanzione di 10.000 euro per aver spedito via posta, al paziente sbagliato, una relazione medica contenente le informazioni sulla salute e la vita sessuale di un’altra coppia.
La stessa sanzione di 10.000 euro è stata irrogata dal Garante all’Azienda Ospedaliero Universitaria di Parma colpevole di aver consegnato a dei pazienti cartelle cliniche contenenti dati e referti riferibili ad altre persone, incluso un minore.
In entrambi i casi le sanzioni sono state calcolate tenendo conto che le strutture sanitarie si sono dimostrate collaborative con il personale del Garante ed è stato accertato che si è trattato di errore umano e che si tratta di casi isolati.
Il terzo provvedimento riguarda invece, una ASL dell’Emilia-Romagna, dove una paziente che era stata sottoposta ad un intervento di interruzione volontaria di gravidanza aveva esplicitamente richiesto, sottoscrivendo un apposito modulo, che nessun soggetto esterno, neppure i familiari, fosse informato sul suo stato di salute ed a tal fine aveva lasciato il suo numero di telefono personale, da utilizzare per successivi contatti da parte della Azienda. Il modulo, però, era stato inserito all’interno della cartella clinica. Un’infermiera del reparto dove la donna stava seguendo delle terapie, non essendo a conoscenza della richiesta, invece che contattarla sul telefono cellulare privato, aveva chiamato il numero di casa registrato nell’anagrafe aziendale, parlando così con un familiare.
l’Azienda ha riconosciuto gli errori che hanno causato il data breach e ha collaborato con il personale del Garante.
La ASL ha ricevuto una richiesta di risarcimento danni da parte della paziente e dovrà pagare una sanzione di 50.000 euro.