I data breach in ambito sanitario

I data breach sono eventi di violazione della sicurezza di una banca dati che possono derivare, oltre che da attacchi informatici, anche da procedure inadeguate e da semplici errori materiali del personale, commessi, ad esempio, tramite la comunicazione dei dati dei pazienti per errore ad altre persone. Tali violazioni in ambito sanitario presentano un impatto potenzialmente grave e pregiudizievole per gli interessati, in considerazione della particolare natura dei dati trattati, consistenti in informazioni sullo stato di salute di una persona.

 Tale tematica è stata oggetto di tre interventi recenti da parte del Garante per la protezione dei dati personali (di seguito, “Garante”).

I primi due interventi

il Garante con il provvedimento n. 29 del 27.1.2021 ha irrogato una sanzione di 10.000 euro ad un ospedale per aver spedito via posta, al paziente sbagliato, una relazione medica contenente le informazioni sulla salute e la vita sessuale di due persone nonché informazioni sulla salute dei loro familiari.

Per il medesimo importo il Garante con il provvedimento n. 30 del 27.1.2021 ha sanzionato un ospedale per aver consegnato a dei pazienti cartelle cliniche e referti riferibili ad altre persone.

In entrambi i casi il Garante ha tenuto in considerazione:

  • l’avvenuta conoscenza della violazione a seguito delle notifiche di data breach effettuate dallo stesso titolare;
  • Il carattere isolato e non doloso della violazione;
  • il numero esiguo di interessati oggetto del trattamento;
  • l’elevato grado di cooperazione con il Garante dimostrato dalle strutture.

 Il terzo intervento

Il terzo caso ha avuto ad oggetto una Asl presso il quale una paziente aveva esplicitamente richiesto alla struttura che nessun soggetto esterno, ivi inclusi i familiari, fosse informato sul suo stato di salute. Tale richiesta era stata espressa tramite un modulo inserito all’interno della cartella clinica.

Un’infermiera della struttura, non essendo a conoscenza della richiesta, provvedeva a chiamarla presso il numero di casa registrato nell’anagrafe aziendale, parlando così con un familiare, andando contro le volontà della paziente espresse nel modulo.

A causa di tale violazione la Asl, oltre a subire una richiesta di risarcimento danni da parte della paziente, ha ricevuto una sanzione di 50.000 euro irrogata dal Garante con il provvedimento n. 36 del 27.1.2021.

Suggerimenti

Alla luce di tali episodi, al fine di gestire celermente episodi di data breach in ambito sanitario ed in conformità alla normativa in materia di dati personali, risulta fondamentale per i titolari del trattamento dotarsi di un’adeguata data breach policy, in modo da poter agire tempestivamente e con efficienza al verificarsi di un episodio di violazione dei dati personali, conformemente alle prescrizioni previste dall’art. 33 del GDPR, predisponendo un registro dei data breach dove registrare in un’ottica di accountability tali eventi ed organizzare corsi di formazione in favore del personale al fine di sensibilizzarlo sulle procedure da adottare in caso di data breach oltre che predisporre policy ad hoc al fine di ridurre al minimo il rischio di errori umani che possano portare ad un data breach.

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9544567