Sanità, il Garante non sanziona ma ammonisce: serve maggiore sicurezza


Il Garante, con i Provvedimenti del 2 luglio e del 9 luglio 2020, ha ammonito rispettivamente un’azienda sanitaria locale (ASL “Città di Torino”) e un policlinico (“Fondazione IRCCS Policlinico San Matteo”) per due violazioni di dati personali dei propri pazienti. In entrambi i casi l’attività istruttoria è partita dalla notifica di data breach effettuata dalle due società, ai sensi dell’articolo 33 del GDPR, il quale prevede che, “In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente”.

Nel primo caso (ASL “Città di Torino”), l’Azienda sanitaria aveva erroneamente trasmesso, su richiesta di un paziente di copia della propria cartella clinica, la cartella clinica relativa ad un altro paziente. Il richiedente, accortosi dell’accaduto, riportava indietro la documentazione, due giorni dopo averla ricevuta, segnalando l’errore.

Nei propri scritti difensivi l’ASL riportava che l’errore era derivato dall’inserimento, ad opera di un operatore, della cartella clinica nella busta etichettata con il nominativo dell’altro paziente.

Anche nel secondo caso, un operatore addetto all’identificazione del paziente, durante il triage di accettazione al pronto soccorso della Fondazione IRCCS Policlinico San Matteo, aveva erroneamente scambiato un paziente per un altro, andando a caricare un evento clinico (seppure in forma anonima) sul Fascicolo Sanitario Elettronico della persona sbagliata. Il paziente erroneamente identificato, sporgeva denuncia e segnalava al policlinico l’accaduto.

La decisione del Garante

In entrambi i casi l’Autorità Garante ha qualificato l’accaduto come “violazione minore”, ai sensi dell’articolo 83 paragrafo 2 e del considerando 148 del GDPR, il quale prevede che, laddove la sanzione pecuniaria costituisca un onere sproporzionato o la violazione sia minore, considerando, fra le altre cose, natura, gravità e durata della stessa, il carattere doloso e le misure di mitigazione del danno subito, l’Autorità possa ricorrere alla misura dell’ammonimento.

Per tale ragione il Garante ha rilevato la non presenza dei presupposti per ricorrere ad un’azione sanzionatoria, limitandosi a constatare i profili di illiceità della condotta e ad ammonire le due società.

Il potere correttivo dell’ammonimento

All’Autorità Garante per la protezione dei dati personali sono conferiti poteri di indagine, correttivi e sanzionatori (infliggere sanzioni amministrative pecuniarie), autorizzativi e consultivi.

Ogni misura scelta dall’Autorità deve essere appropriata, necessaria e proporzionata ad assicurare la conformità al GDPR tenendo in considerazione le circostanze di ciascun singolo caso concreto.

I due episodi in questione, di portata oggettivamente limitata, hanno indotto l’Autorità ad optare per il potere correttivo dell’ammonimento, che consiste nel rilevare la presenza di una violazione ed annotarla nel registro tenuto dall’Autorità stessa, in modo da tenerne conto, in caso di recidiva, nella commisurazione della sanzione.

Gli elementi determinanti

A determinare la scelta del potere correttivo dell’ammonimento, rispetto al potere correttivo della sanzione, hanno contribuito i seguenti elementi comuni:

  • In entrambi i casi il titolare del trattamento si è attivato prontamente nel comunicare la violazione. Nel caso del policlinico San Matteo, gli scritti difensivi riportano addirittura l’orario: conoscenza della violazione ore 16:00, avvenuta notificazione ore 17:15, abbondantemente entro le 72h concesse al titolare dall’articolo 33 GDPR.
  • In entrambi i casi si è trattato di un errore umano non intenzionale / non doloso.
  • L’errore rappresentava un caso unico ed isolato rispetto alla mole di informazioni sensibili raccolte e trattate ogni giorno da entrambe le società.
  • Le informazioni oggetto della violazione non rientravano nella categoria dei dati particolarmente sensibili, quali quelli relativi a malattie infettive o sessualmente trasmesse, dati relativi a malattie psichiatriche, dati genetici o relativi a dipendenze. Nel caso del policlinico, peraltro, l’evento clinico caricato sul FSE sbagliato non riportava riferimenti al soggetto cui si riferiva.
  • La violazione è rimasta circoscritta nel numero di soggetti coinvolti (un paziente).
  • Entrambe le società, oltre ad attivarsi prontamente per gestire la violazione, hanno adottato misure di mitigazione del danno e revisionato le procedure in essere per incrementare il livello di sicurezza. L’ASL di Torino ha operato una mappatura dei rischi relativi alla tracciabilità e alla gestione dei dati con il personale coinvolto nel processo di gestione della documentazione, dal momento della chiusura della cartella clinica alla sua archiviazione, integrando anche le istruzioni operative agli incaricati ed inserendo un doppio controllo all’atto della consegna della documentazione richiesta. Il policlinico San Matteo ha attivato la procedura correttiva prevista dal protocollo SISS della Regione Lombardia, sottoposto ad Audit la procedura relativa alla corretta identificazione del paziente in fase di accettazione, sensibilizzato gli operatori coinvolti ed attivato un programma di formazione periodico del personale.

L’errore umano: adoperarsi per prevenirlo

I due episodi mettono in luce l’importanza della formazione e della sensibilizzazione del personale. Ancora una volta il fattore umano emerge come l’anello debole della catena e, ancora una volta, si staglia la necessità di prevenire. Le soluzioni migliori, volte a favorire la cultura del comportamento sicuro, sono:

  • La formazione periodica mirata, sia tradizionale / in aula, sia nelle forme di più recente applicazione, quali webinar o sistemi di e-learning, in abbinamento ad esercitazioni o test di verifica delle conoscenze acquisite;
  • Istruzioni aggiornate ai soggetti incaricati al trattamento / operatori sulle corrette modalità di trattamento dei dati, sui principi del GDPR e sui rischi derivanti da violazioni (data breach);
  • Messaggi e-mail di sensibilizzazione, relativi a nuovi rischi, nuovi malware o attacchi di phishing, contenenti indicazioni su come agire per gestire il rischio, e conseguente attività di verifica dell’apprendimento, ad esempio tramite campagne di Ethical Phishing (l’invio, da parte dell’azienda, di messaggi apparentemente malevoli al personale, per valutare il comportamento degli utenti e conseguentemente l’efficacia dell’azione formativa in generale);
  • Altre tecniche moderne di formazione, quali la “Gamification” ovvero la diffusione di messaggi formativi tramite attività ludiche fra colleghi. Una di queste attività può essere, ad esempio, l’escape room (che, fra l’altro, intrinsecamente già contiene una forma di verifica delle nozioni acquisite), abbinata ad un follow up volto a riassumere l’esperienza e fissare i concetti appresi.

 

Articolo a cura di Federico Corti | Data Protection Consultant, Labor Project

Se ti è piaciuto l'articolo condividi: