• Enterprise Solutions

Privacy: sanzionate strutture sanitarie dal Garante per Data Breach

Avevano comunicato informazioni sulla salute alle persone sbagliate, le strutture sanitarie sanzionate nei giorni scorsi dal Garante per la Protezione dei Dati Personali.


Un ospedale toscano, una ASL ed un ospedale in Emilia Romagna stavolta hanno dovuto fare i conti con violazioni derivanti non da attacchi informatici esterni, bensì da procedure inadeguate e semplici errori materiali commessi da parte del personale interno.


Il primo ha spedito via posta, al paziente sbagliato, una relazione medica contenente le informazioni sulla salute e sulla vita sessuale di una coppia di coniugi, ignari dell'accaduto.


L'ospedale emiliano, invece, ha consegnato ad alcuni pazienti in cura le cartelle cliniche contenenti dati e referti di altre persone, incluso un minore.


In entrambi i casi le sanzioni sono state calcolate tenendo conto che le strutture sanitarie hanno dimostrato sia un elevato grado di cooperazione con il Garante Privacy sia che gli episodi sono risultati isolati e non volontari.



Tuttavia gli ospedali non avevano adottato tutte le misure tecniche ed organizzative necessarie ad evitare che i dati dei loro pazienti potessero essere comunicati per errore ad altre persone perciò, oltre al pagamento delle sanzioni, hanno dovuto prontamente adeguare le loro procedure per ridurre al minimo i rischi derivanti dall'errore umano, in conformità con quanto dettato dal Regolamento Europeo in materia di Protezione dei Dati Personali c.d. GDPR (General Data Protection Regulation).

Il terzo caso riguarda invece una Asl dell’Emilia-Romagna, dove una paziente aveva sottoscritto un apposito modulo per richiedere esplicitamente che nessun soggetto esterno, neppure un familiare, venisse informato sul suo stato di salute.


Il modulo però era stato inserito all’interno della sua cartella clinica e un’infermiera del reparto dove la donna stava seguendo delle terapie, non essendo a conoscenza della richiesta, invece di contattarla sul telefono cellulare privato, aveva chiamato il numero di casa registrato nell’anagrafe aziendale, parlando così con un familiare.


Anche in questo caso l’Azienda ha dovuto subìre, oltre ad un'ingente richiesta danni da parte della paziente, anche una pesante sanzione da parte del Garante Privacy (circa 50.000 euro), dopo aver riconosciuto sia la mancata adozione del principio di Accountability (responsabilizzazione) sia gli errori che hanno causato il Data Breach.


Si è quindi dovuta impegnare ad implementare un sistema informatizzato di gestione dei numeri di telefono dei pazienti ricoverati, oltre a predisporre una modulistica unica con la quale i pazienti potranno esprimere la loro eventuale volontà di comunicare informazioni sul proprio stato di salute a terzi, introducendo una specifica Policy aziendale.

Alla luce di questi episodi e di altri ancora in corso di valutazione, il Garante ha ricordato che le informazioni sullo stato di salute possono essere comunicate a terzi solo sulla base di un presupposto giuridico o su indicazione del soggetto interessato, previa delega scritta, invitando tutte le strutture sanitarie al pieno rispetto dei principi di correttezza e trasparenza, tramite l'adozione di misure tecniche ed organizzative utili non solo a proteggersi da attacchi informatici, ma anche ad evitare violazioni di dati personali, in particolare quelli più delicati - come quelli sulla salute - troppo spesso causate da inadeguate procedure gestionali.


Se desideri una consulenza personalizzata in materia di Privacy/GDPR e sicurezza da parte dei nostri esperti contattaci ora! Chiariremo tutti i tuoi dubbi e potremo fornirti la soluzione più adatta alle tue esigenze!


Chiamaci -> Cel. +39 371 46 371 45 - 371 46 30 129

Scrivici -> E-mail: info@enterprise-solutions.net

Chatta -> Cliccando sul box "Serve aiuto" o sul bottone blu con i 3 puntini ". . ." dal tuo smartphone.


Seguici anche su Facebook