The Italian Data Protection Authority has sanctioned three healthcare institutions for illegally disclosing health-related data to third parties. Such data communications, in violation of the rules on personal data protection, caused personal data breaches notified by the healthcare institutions to the Authority pursuant to Article 33 of EU Regulation 679/2016.
As a result of the investigations, the Italian Data Protection Authority decided to sanction the healthcare institutions (with penalties ranging from €10,000 to €50,000) for violating the principles of integrity and confidentiality as well as Article 9 of EU Regulation 679/2016, which prescribes specific procedures for lawfully processing so-called “special” categories of data, including health-related data.
IL FATTO
Il Garante ha sanzionato un ospedale toscano e un ospedale e una USL dell’Emilia-Romagna al termine di indagini avviate in seguito alla ricezione di alcune notifiche di violazioni dei dati personali (c.d. data breach) da parte delle strutture sanitarie. Come noto infatti, il titolare del trattamento ha l’obbligo di notificare al Garante le violazioni dei dati personali entro 72 ore dal momento in cui ne è venuto a conoscenza ai sensi dell’art. 33 del Regolamento UE 679/2016. Una violazione dei dati personali può consistere in un evento che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Una violazione dei dati personali può dunque compromettere la riservatezza, l’integrità o la disponibilità di dati personali. Ai sensi della normativa vigente, devono essere notificate unicamente le violazioni di dati personali che possono presentare un rischio per i diritti e le libertà delle persone fisiche.
I due ospedali coinvolti nella vicenda hanno subito una violazione causata da eventi simili: in entrambe le strutture, per errore materiale, soggetti diversi dagli Interessati hanno ricevuto referti o documentazione medica. In particolare, l’ospedale toscano (Azienda Ospedaliero Universitaria Senese) ha notificato un data breach dovuto all’erronea trasmissione a soggetti diversi dagli interessati di una relazione relativa ad una consulenza genetica effettuata dalla struttura sanitaria, a causa di un errore materiale in fase di imbustamento. In seguito all’evento, l’ospedale toscano ha provveduto a collocare l’addetto alla spedizione delle relazioni in altro spazio più idoneo al fine di limitare il rischio di errore, e a dotarsi di un indirizzo di posta elettronica certificata per l’invio delle relazioni in formato elettronico (con minore possibilità di errore). L’ospedale si è inoltre immediatamente attivato per il recupero della documentazione erroneamente trasmessa a terzi.
L’ospedale dell’Emilia-Romagna (Azienda Ospedaliero Universitaria di Parma) ha trasmesso al Garante due comunicazioni relative a due distinti data breach. In entrambi i casi le violazioni sono state causate dal posizionamento di un referto nella cartella clinica sbagliata. La struttura sanitaria si è prontamente attivata per il recupero della documentazione medica relativa ai pazienti, e, in entrambi i casi, è risultato che le informazioni erano state successivamente trasferite a terzi: i dati contenuti nelle cartelle cliniche erano stati, in un caso, inviate ad una compagnia assicurativa, e in un altro depositati in allegato ad un esposto presentato alla Procura della Repubblica.
Infine, l’Azienda USL della Romagna, ha notificato un data breach dovuto alla comunicazione telefonica di informazioni relative alla salute ad un soggetto diverso dall’interessato. In particolare, una paziente ricoverata presso la struttura sanitaria aveva espressamente richiesto che le informazioni relative al proprio stato di salute non fossero comunicate a terzi, fornendo e a tal fine il proprio numero di telefono personale. Il modulo in cui la paziente richiedeva che le informazioni fossero fornite solo al proprio recapito personale era conservato all’interno della cartella clinica che, sul frontespizio, riportava invece un numero diverso (numero indicato nell’anagrafica aziendale unica). In seguito alla dimissione della paziente, l’infermiera di reparto, nel tentare di contattare la paziente per fornirle informazioni circa la terapia, si trovava a parlare con il marito di quest’ultima. Anche se in tale occasione l’infermiera comunicava al marito esclusivamente la tipologia di reparto presso cui la paziente era stata ricoverata, la comunicazione riguardava “dati relativi alla salute”. Come noto infatti, devono considerarsi dati sulla salute tutti “i dati riguardanti lo stato di salute dell’interessato che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso”. In seguito all’evento, la struttura sanitaria ha messo a punto una modalità di gestione elettronica dei numeri di telefono dei pazienti ricoverati per prevenire il verificarsi di errori simili a quello che ha causato il data breach.
Nei Provvedimenti esaminati, il Garante ha ribadito che la disciplina in materia di protezione dei dati personali prevede in ambito sanitario che le informazioni sullo stato di salute possano essere comunicate solo all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso, previa delega scritta di quest’ultimo. Inoltre, ai sensi dell’art. 83 del Decreto legislativo 30 giugno 2003, n. 196 e ss.mm.ii., c.d. Codice Privacy, le strutture pubbliche che erogano prestazioni sanitarie hanno l’obbligo di adottare “(…) idonee misure per garantire, nell’organizzazione delle prestazioni e dei servizi, il rispetto dei diritti, delle libertà fondamentali e della dignità degli interessati, nonché del segreto professionale, fermo restando quanto previsto dalle leggi e dai regolamenti in materia di modalità di trattamento dei dati sensibili e di misure minime di sicurezza”.
PERCHÉ È IMPORTANTE:
I Provvedimenti del Garante ribadiscono ai titolari che trattano dati personali relativi alla salute, l’importanza di porre in essere le misure prescritte dal Regolamento UE 679/2016 e dal Decreto legislativo 30 giugno 2003, n. 196 e ss.mm.ii. L’elevatissimo grado di tutela riconosciuto ai dati relativi alla salute si riflette chiaramente su un altrettanto elevato livello di cautela richiesto ai titolari che ne effettuano il trattamento. I Provvedimenti del Garante ribadiscono inoltre l’importanza di riconoscere le violazioni dei dati personali che devono essere notificate al Garante con le tempistiche previste dalla normativa vigente. Infine, dai Provvedimenti del Garante emerge che, al fine di limitare le sanzioni previste dalla normativa vigente, è essenziale che i titolari del trattamento intervengano prontamente per limitare le conseguenze della violazione adottando misure organizzative e tecniche per prevenire il verificarsi di ulteriori data breach.