Le strutture sanitarie devono adottare tutte le misure tecniche e organizzative adeguate per garantire che il trattamento dei dati personali dei pazienti (dati sanitari) rispetti la normativa sulla privacy.
Lo ha ribadito il Garante per la protezione dei dati personali nel comminare una sanzione di 10mila euro a un Centro medico che aveva scambiato nel proprio database i dati e le informazioni sanitarie di due pazienti omonimi.
La segnalazione
L’Autorità si era attivata a seguito del reclamo di uno dei due pazienti interessati, che lamentava di aver ricevuto periodicamente, sul numero privato, SMS di promemoria per visite mediche mai richieste e di aver trovato nella dichiarazione dei redditi fatture di circa 4mila euro, emesse con il proprio codice fiscale, su prestazioni mai effettuate. Nella segnalazione il paziente evidenziava poi di aver chiesto ripetutamente alla clinica la risoluzione del problema, senza alcun esito.
L’istruttoria
Dall’istruttoria del Garante è emerso che l’evento si era realizzato a causa della presenza nel database della struttura sanitaria dei due soggetti omonimi. Tale omonimia aveva così contribuito ad un’errata attribuzione del codice fiscale ed indirizzo di residenza al momento della consegna di alcune fatture. L’errore di attribuzione aveva inoltre causato l’invio di SMS automatici al reclamante anziché al paziente a cui erano realmente indirizzati.
La violazione
Numerose quindi le violazioni riscontrate. Il Centro medico aveva effettuato infatti un trattamento in violazione del principio di esattezza, integrità e riservatezza non avendo registrato correttamente nel database i dati dei due pazienti. Aveva inoltre effettuato una comunicazione di dati sanitari in assenza di un idoneo presupposto giuridico, in violazione dei principi di base del Regolamento europeo e degli obblighi in materia di sicurezza.
Principi fondamentali
Le informazioni personali devono essere trattate nel rispetto dei principi applicabili al trattamento dei dati personali, elencati nell’art. 5 del Regolamento. In particolare, i dati devono essere “esatti e, se necessario, aggiornati” e “devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono stati trattati” (principio di «esattezza»); i dati devono essere, altresì, “trattati in maniera da garantire un’adeguata sicurezza (…) compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti o dalla perdita, dalla distruzione o dal danno accidentali” (principio di «integrità e riservatezza») (art. 5, par. 1, lett. d) e f) del Regolamento). L’adeguatezza di tali misure deve essere valutata da parte del titolare del trattamento rispetto alla natura dei dati, all’oggetto, alle finalità del trattamento e al rischio per i diritti e le libertà fondamentali degli interessati, tenendo conto dei rischi che derivano dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso a dati personali trasmessi, conservati o comunque trattati (art. 32, par. 1 e 2 del Regolamento).
La sanzione
Tenuto conto della limitata portata dei trattamenti e del fatto che si è trattato di un singolo caso, il Garante ha applicato alla struttura sanitaria una sanzione di 10mila euro.
(Garante Privacy)
Leggi anche: