È stata pubblicata l’ultima relazione annuale del Garante per la Protezione dei Dati Personali, che illustra l’attività svolta dall’Autorità nel corso del 2019. Di seguito una selezione delle numerose istruttorie che hanno riguardato violazioni di dati personali dei pazienti da parte di professionisti, aziende e strutture sanitarie.

ISPLAD - Trattamento dei dati in ambito sanitario: tutti gli errori da evitare

Oggi vi segnalo una recente sentenza del Tribunale di Ravenna (la n. 261 del 2 aprile 2020) concernente il tema dell’informazione al paziente per gli interventi dermatologici aventi finalità prettamente terapeutica.

Le istruttorie sui trattamenti dei dati per fini di cura

Nel corso del 2019, sono state aperte dall’Autorità numerose istruttorie concernenti violazioni di dati personali dei pazienti da parte di aziende e strutture sanitarie:

– nel 70% dei casi la violazione nasce da un’erronea comunicazione della documentazione clinica (es. referti, schede di dimissione ospedaliera, cartelle cliniche) a un soggetto diverso dall’interessato;

– nella metà dei casi, l’erronea comunicazione dei dati sulla salute è avvenuta attraverso il fascicolo sanitario elettronico o il dossier sanitario.

In alcuni casi, la violazione notificata al Garante ha avuto ad oggetto il sistema di refertazione online e/o la mancata adozione di misure di sicurezza, soprattutto di tipo organizzativo, da parte delle aziende sanitarie, con conseguente accesso non autorizzato da parte di terzi ai dati sulla salute dei pazienti o perdita di informazioni e di documenti diagnostici.

In altri casi, la violazione è stata causata dall’erroneo utilizzo dei dati di contatto dell’interessato, che ha determinato la comunicazione non autorizzata di informazioni cliniche a terzi (inclusi familiari o professionisti sanitari).

Attenzione all’utilizzo dell’e-mail!

Un altro gruppo di violazioni di dati personali verificate dal Garante concernono l’utilizzo improprio dell’e-mail nell’invio di comunicazioni contenenti dati sulla salute, per erroneo indirizzamento o per l’invio di comunicazioni relative a più interessati utilizzando il campo “copia conoscenza” (cc), in luogo di quello riservato “copia conoscenza nascosta” (ccn), con comunicazione indiretta, a soggetti che non erano tenuti a conoscerli, dei dati sulla salute di numerosi interessati.

Vietato comunicare dati personali dei pazienti ad aziende fornitrici

Il Garante evidenzia, in particolare, una segnalazione concernente una procedura amministrativa attuata da un’azienda sanitaria per ottenere, da una società fornitrice di presidi ortopedici, la presentazione di offerte economiche per la fornitura di un certo numero di protesi.

Unitamente alla richiesta di preventivo, l’azienda aveva inviato al suo fornitore anche moduli contenenti dati personali e sulla salute dei pazienti destinatari dei dispositivi ordinati, in violazione dei principi di liceità, correttezza, trasparenza e minimizzazione (art. 5 del Regolamento UE n. 679/2016 – “RGDP”) e al di fuori dei casi previsti dall’art. 9, par. 2, del RGDP, per i quali il trattamento dei dati sulla salute è ammesso. All’esito del procedimento, il Garante ha comminato all’azienda sanitaria una sanzione amministrativa pari a 8.000 euro (provv. 14 novembre 2019, n. 210, doc. web n. 9269852).

In un altro caso, l’Autorità è intervenuta con riferimento a comunicazioni di dati relativi alla salute di pazienti sottoposti agli accertamenti diagnostici presso un’azienda sanitaria pubblica, effettuate nei confronti di una società che forniva le apparecchiature di alta diagnostica. Nel caso in questione è emerso che l’azienda sanitaria aveva messo a disposizione della società copie di immagini della TAC di alcuni pazienti per attestare la qualità delle proprie apparecchiature nell’ambito di una gara d’appalto. In questo caso è stato rilevato un trattamento illecito consistente nella comunicazione, da parte dell’azienda sanitaria alla società, di informazioni sulla salute di alcuni pazienti identificati. Sul punto, si veda anche il mio precedente post “Data privacy: no del Garante all’uso illecito dei dati degli accertamenti medici”.

Il paziente richiede la cancellazione dei suoi dati personali dalla cartella clinica? Non è possibile

Una questione sollevata in maniera ricorrente all’Autorità riguarda la richiesta di cancellazione, da parte dei pazienti interessati, di dati personali contenuti nelle cartelle cliniche.

Il Garante ha più volte ribadito che tali informazioni non possono essere cancellate, essendo ammessa unicamente una loro rettifica o integrazione, e questo perchè la cartella clinica deve essere considerata come un atto pubblico, volto ad attestare fedelmente, fino a querela di falso e nell’interesse di tutte le parti coinvolte, le specifiche scelte cliniche e terapeutiche effettuate durante un episodio di ricovero e, in quanto tale, è idoneo a produrre effetti su plurime situazioni giuridiche soggettive.

La cartella clinica documenta infatti l’andamento della malattia, i medicamenti somministrati, le terapie e gli interventi praticati, l’esito della cura e la durata della degenza del paziente; l’annotazione postuma (nella cartella clinica) di un fatto clinico rilevante può integrare il reato di falso materiale in atto pubblico, di cui all’art. 476 del codice penale.

Il diritto alla cancellazione dei dati personali, riconosciuto dall’art. 17 del RGDP, non può essere esercitato nei casi in cui il trattamento sia necessario per l’adempimento di un obbligo legale, o per motivi di interesse pubblico, nel settore della sanità pubblica e per fini di archiviazione nel pubblico interesse (art. 17, par 3, lett. b) e c) del RGPD): gli obblighi legali connessi alla tenuta della cartella clinica configurano quindi un caso di esclusione del diritto alla cancellazione.

All’interessato è consentito ottenere l’aggiornamento, la rettifica, oppure, per motivi legittimi ed oggettivi, l’integrazione dei dati contenuti nella cartella clinica. Secondo il Garante, un’eventuale rivalutazione della correttezza delle informazioni presenti nella cartella clinica da parte del personale sanitario a ciò preposto, effettuata sulla base di presupposti tecnico-scientifici, non comporta la cancellazione dell’informazione, ma il diritto alla sua rettifica, al fine di garantire la correttezza dei dati, senza pregiudicare l’inalterabilità del contenuto della cartella clinica (a tutela del paziente e del medico che ha provveduto a redigerla). 

Anche riportare dati identificativi di pazienti in convegni e pubblicazioni è una pratica da bandire

Diverse istruttorie sono state avviate lo scorso anno dall’Autorità Garante anche al fine di accertare le responsabilità in ordine all’utilizzo dei dati e alla mancata applicazione delle buone pratiche di anonimizzazione dei documenti clinici nell’ambito delle relazioni tenute da professionisti sanitari a convegni scientifici o in pubblicazioni.

Secondi il Garante, la prassi di riportare, nella presentazione dei case studyelementi quali le iniziali del nome e del cognome, il nome di battesimo, i dettagli relativi alla storia personale dei pazienti ai quali ci si riferisce, non consente di ritenere non identificabili gli interessati, con la conseguenza che i dati mantengono la natura personale e non possono quindi essere liberamente diffusi.

D’altra parte, la disciplina vigente vieta la diffusione dei dati idonei a rivelare lo stato di salute degli interessati e, con specifico riferimento alla pubblicazione di casi clinici, anche il codice di deontologia medica prevede espressamente che “il medico assicura la non identificabilità dei soggetti coinvolti nelle pubblicazioni o divulgazioni scientifiche di dati e studi clinici” (art. 11 – riservatezza dei dati personali).

Per concludere

Dall’esame di alcune delle istruttorie avviate dall’Autorità Garante nel corso del 2019 è emerso che il trattamento dei dati in sanità è terreno di frequente violazione delle norme in materia di data privacy.

Ma attenzione: l’utilizzo o la comunicazione impropria di dati idonei a rivelare lo stato di salute dei pazienti può esporre sia il singolo professionista, sia la struttura sanitaria (pubblica o privata) a sanzioni anche molto importanti. Non dimentichiamo poi l’obbligo di utilizzare idonee misure di sicurezza informatiche: il settore sanità è infatti statisticamente tra i più attaccati dagli hacker.

È dunque essenziale che il trattamento dei dati dei pazienti sia svolto in maniera sempre corretta, sicura ed in linea con le norme di legge e di regolamento in materia.

Per approfondire, si veda anche il mio post “GDPR e trattamento dei dati in ambito sanitario: i chiarimenti del Garante”.

LEGGI IL DOCUMENTO

Garante per la Protezione dei Dati Personali, Relazione Annuale anno 2019

Avv. Elena Bassan

Ci aggiorniamo presto con un nuovo, interessante argomento!

 Nel frattempo resta collegato e iscriviti alla newsletter per non perdere i prossimi aggiornamenti.

A presto!

 

Shares
Share This