Data breach in Sanità, formazione al digitale per evitare errori | Agenda Digitale

Le sanzioni

Data breach in Sanità, formazione al digitale per evitare errori

Il caso di un’azienda sanitaria dell’Emilia Romagna multata dal Garante privacy perché un’infermiera ha rivelato al marito di una paziente le sue condizioni di salute nonostante la donna non volesse, permette di riflettere sull’importanza di introdurre tecnologie e sviluppare competenze per evitare violazioni

23 Feb 2021
Serena Nanni

Privacy Officer del Network Sanitario Neuromed

Le informazioni sullo stato di salute possono essere comunicate a terzi solo sulla base di un presupposto giuridico o su indicazione della persona interessata, previa delega scritta.

Per evitare errori, digitalizzazione dei processi e formazione del personale possono essere decisivi. In questo contesto è intervenuto il Garante privacy, che ha comminato a un’azienda sanitaria dell’Emilia Romagna una sanzione perché le condizioni di una paziente sono state comunicate al marito contro la sua volontà, per l’errore di un’infermiera.

Come precisato dal Garante, occorre il pieno rispetto dei principi di correttezza e trasparenza, nonché è necessario adottare misure tecniche e organizzative utili non solo a proteggersi da attacchi informatici, ma anche a evitare violazioni di dati personali, in particolare quelli più delicati, come quelli sulla salute – troppo spesso causate da inadeguate procedure gestionali aziendali. Altro elemento chiave è la formazione del personale, chiave del successo del sistema di gestione privacy oltre che onere in capo al Titolare del trattamento. La dematerializzazione del documento sanitario e l’implementazione di adeguate soluzioni IT capaci di garantire una corretta gestione dei processi aziendali sono la vera sfida delle aziende sanitarie pubbliche e private.

Il caso in Emilia Romagna

Con il provvedimento n. 36 del 27 Gennaio scorso, il Garante per la protezione dei dati personali infligge all’Azienda USL della Romagna (di seguito, “Azienda”), di pagare la somma di euro 50.000,00 (cinquantamila) a titolo di sanzione amministrativa pecuniaria per le violazioni degli artt. 5, par.1, lett. a), d), f) 9 e 32, par.1, lett. b) del Regolamento UE 679/2016. In data 19 dicembre 2019, l’Azienda USL della Romagna ha notificato una violazione di dati personali, ai sensi dell’art. 33 del Regolamento. Nell’atto di notifica è stato dichiarato che la violazione è avvenuta in data primo marzo 2019 e che l’Azienda ne è venuta ufficialmente a conoscenza il 17 dicembre 2019, a seguito di una richiesta di risarcimento del danno da parte dell’interessata.

In relazione all’evento occorso, l’Azienda ha rappresentato che il soggetto interessato veniva ricoverata, presso il reparto di ginecologia e chiedeva che non fossero date informazioni sul suo stato di salute a soggetti terzi e forniva a tal fine il suo numero di telefono personale, da utilizzare per successivi contatti da parte della Azienda. Successivamente alle dimissioni della paziente l’infermiera di reparto, nel tentare di contattare quest’ultima al fine di fornirle indicazioni circa le specifiche terapie da seguire, si trovava a parlare col marito delle stessa. L’operatrice sanitaria aveva, infatti, utilizzato il numero di telefono indicato sul frontespizio della cartella clinica dell’interessata, registrato nell’anagrafica informatizzata della Azienda, fornito dalla stessa in occasione di un precedente contatto con la struttura sanitaria e non corrispondente con quello successivamente indicato dalla paziente, riportato all’interno della cartella clinica.

L’Azienda ha dichiarato di non avere comunicato la violazione all’interessata, ai sensi dell’art. 34 del Regolamento, in quanto vi erano ancora in corso “le dovute valutazioni” e, con riferimento alle misure adottate per prevenire possibili violazioni future, ha manifestato l’intenzione di svolgere uno “studio di fattibilità sulla gestione centralizzata dei numeri telefonici di riferimento nell’anagrafica aziendale”.

L’intervento del Garante privacy

Nell’ambito dell’attività istruttoria preliminare avviata dall’Ufficio del Garante, l’Azienda ha rappresentato quanto segue. In base alla normativa vigente, l’Azienda ha attribuito dei ruoli relativi al trattamento dei dati personali, conferendo loro specifici compiti, profili di accesso e istruzioni in ragione della professione svolta. In particolare, è stato dichiarato che l’infermiera coinvolta nella violazione di cui trattasi è stata individuata come autorizzata al trattamento dei dati

Con specifico riguardo alle “misure organizzative implementate” in relazione al caso in esame, è stato evidenziato che “la procedura della cartella clinica dell’U.O. Ginecologia dell’Ospedale di Faenza non era informatizzata” e il modulo sottoscritto dall’interessata, con il diniego a fornire informazioni circa il suo stato di salute a soggetti terzi, è stato inserito nella cartella clinica (già esistente al momento del ricovero) che riportava però sul frontespizio un recapito telefonico, uguale a quello indicato nell’anagrafica aziendale unica, utilizzato dall’infermiera per reperire la paziente, ma differente rispetto a quello da ultimo fornito dalla paziente stessa.

Con riferimento alla formazione del personale è stato evidenziato che l’Azienda svolge regolarmente attività di formazione sulla disciplina in materia di protezione dei dati personali, sia a distanza che in presenza.

Il proposito: digitalizzare i processi

360digitalskill
Accresci le tue competenze digitali: crea il percorso per te e il tuo team
Risorse Umane/Organizzazione
Smart working

L’Azienda ha, altresì, evidenziato che “a seguito del data breach in parola, l’UO Gestione servizi informativi ha eseguito uno studio di fattibilità per una rimodulazione della gestione dei numeri di telefono dei pazienti ricoverati. Con il fornitore informatico della Gestione Ricoveri (sistema ADT) si modificherà il workflow come segue:

  • verrà configurato il Tab-Privacy della gestione ADT per il consenso alla comunicazione dello stato di salute del paziente con campo di descrizione per numero di telefono e nominativo indicati dal paziente al momento del ricovero;
  • il sistema obbligherà l’operatore a compilare l’opzione di scelta e il campo descrittivo sopracitato anche con possibilità di stampa del modulo da conservare nella cartella cartacea;
  • il Tab Privacy sarà l’unico punto di gestione e consultazione dei dati telefonici per il singolo evento di ricovero, eliminando o oscurando le informazioni dei riferimenti telefonici da tutti gli altri archivi informatici relativi al ricovero e dal frontespizio della cartella clinica;
  • nell’eventualità di un successivo ricovero il Tab privacy dovrà essere rivalorizzato”.

Sulla base degli elementi acquisiti, il Garante ha notificato, ai sensi dell’art. 166, comma 5, del Codice, all’Azienda USL della Romagna, in qualità di titolare del trattamento, l’avvio del procedimento per l’adozione delle misure correttive, di cui all’art. 58, par. 2, del Regolamento, invitando l’Azienda a produrre scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. n. 689 del 24 novembre 1981).

In considerazione degli eventi, l’Azienda ha ritenuto che la violazione occorsa non possa essere attribuita né alla colpa né al dolo dell’Azienda stessa avendo, in primo luogo, l’interessata stessa contribuito al verificarsi degli eventi, allontanandosi dal reparto senza attendere il ritorno dell’infermiera e tenendo, quindi, un comportamento non corretto, ed essendosi l’Azienda preoccupata di far sottoscrivere alla paziente il modulo per “autorizzare o meno la comunicazione dei dati a terzi”. Con riferimento all’entità della violazione e conseguentemente al suo impatto sui diritti e le libertà fondamentali dell’interessata, l’Azienda ha ritenuto di non aver prodotto conseguenze negative in capo all’interessata.

Con riferimento alle misure tecniche adottate per prevenire ulteriori simili eventi, l’Azienda ha ribadito di avere concluso con esito positivo lo studio di fattibilità per la rimodulazione informatica della gestione dei numeri di telefono dei pazienti, come sopra riportato. È stato, tuttavia, precisato che, a causa della situazione emergenziale legata alla pandemia da Covid-19, che ha interessato in modo particolare l’Azienda, il nuovo sistema non è ancora operativo. Da un punto di vista organizzativo, è stato infine rappresentato che l’Azienda ha predisposto una modulistica unica aziendale “con la quale i pazienti che accedono alle strutture ospedaliere possono esprimere la loro volontà di comunicare o non comunicare i propri dati di salute ai terzi” e introdotto una specifica policy aziendale per le “le corrette modalità di comunicazioni a terzi delle informazioni di salute dei pazienti ricoverati”.

La normativa

La disciplina in materia di protezione dei dati personali prevede –in ambito sanitario- che le informazioni sullo stato di salute possano essere riferite solo all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso, previa delega scritta di quest’ultimo. In particolare, l’art. 83 del Codice, prevede che, tra gli altri, le strutture pubbliche che erogano prestazioni sanitarie debbano adottare “(…) idonee misure per garantire, nell’organizzazione delle prestazioni e dei servizi, il rispetto dei diritti, delle libertà fondamentali e della dignità degli interessati, nonché del segreto professionale, fermo restando quanto previsto dalle leggi e dai regolamenti in materia di modalità di trattamento dei dati sensibili e di misure minime di sicurezza”. Tali misure comprendono, in particolare:

  • il rispetto della dignità dell’interessato in occasione della prestazione medica e in ogni operazione di trattamento dei dati;
  • la messa in atto di procedure, anche di formazione del personale, dirette a prevenire nei confronti di estranei un’esplicita correlazione tra l’interessato e reparti o strutture, indicativa dell’esistenza di un particolare stato di salute.

A tale riguardo, si rinvia, altresì, agli articoli da 10 a 12 del Codice di deontologia medica relativi, rispettivamente a “segreto professionale”, “riservatezza dei dati personali” e “trattamento dei dati sensibili”. Alla luce degli elementi acquisiti e delle dichiarazioni rese nel corso dell’istruttoria, è emerso che:

  • la condotta dell’infermiera ha comportato l’utilizzo di un numero di telefono diverso rispetto a quello indicato dalla paziente per eventuali contatti afferenti all’ultimo ricovero (in violazione dell’art. 5, par. 1 lett. d) del Regolamento);
  • la condotta dell’infermiera ha comportato l’esplicita correlazione, da parte di un soggetto terzo non legittimato, tra l’interessata e un determinato reparto di degenza indicativo, di uno specifico stato di salute (in violazione degli artt. 5, par. 1 lett. a) e 9 del Regolamento);
  • da tale condotta è, quindi, discesa una comunicazione di dati idonei a rivelare lo stato di salute dell’interessata effettuata non solo in assenza di idonea base giuridica ma anche in violazione dell’esplicito diniego della stessa a consentirne la conoscenza da parte di soggetti terzi (in violazione degli artt. 5, par. 1 lett. a) e 9 del Regolamento);
  • tale condotta, nel ledere la fiducia e l’affidamento dell’interessata nella struttura sanitaria alla quale si è rivolta, ha comportato altresì un trattamento di dati personali in violazione del principio di correttezza (in violazione degli artt. 5, par. 1 lett. a) del Regolamento);
  • la condotta è stata causata dall’inefficacia delle misure tecniche e organizzative implementate che si sono dimostrate inadeguate a tutelare la dignità degli interessati e ad assicurare il rispetto della volontà dei pazienti di non far conoscere, a soggetti terzi, notizie circa il proprio stato di salute in quanto non sussiste prova delle presenza di strumenti idonei ad assicurare il rispetto della volontà dell’interessata di essere contattata solo a un determinato numero di telefono (in violazione degli artt. 5, par. 1 lett. f) e 32 del Regolamento);
  • la mera specificazione, nel documento di attribuzione del ruolo di autorizzato del trattamento conferito all’infermiera, si è rivelata insufficiente a garantire l’effettività dei principi inerenti al trattamento dei dati personali, in particolare di correttezza e trasparenza, in quanto non corroborata da ulteriori adeguate misure tecniche e/o organizzative che tenessero nella dovuta considerazione il particolare contesto ospedaliero in cui siffatti trattamenti di dati personali, anche estremamente delicati, hanno luogo (la circostanza che un’infermiera di un reparto di ginecologia si trovi a doversi destreggiare contemporaneamente tra due o più pazienti non rappresenta infatti un evento imprevedibile) (in violazione dell’art. 5, par. 1, lett. f) e 32 del Regolamento);
  • con riferimento alla rilevata inadeguatezza delle misure tecniche e organizzative implementate occorre altresì considerare che l’interessata si era sottoposta a un trattamento terapeutico di interruzione volontaria di gravidanza per il quale il legislatore nazionale richiede esplicitamente che venga assicurato al più alto livello il rispetto della dignità e della riservatezza della donna, al punto che spetta solo a quest’ultima decidere se coinvolgere, o meno, il padre del nascituro nella decisione di interrompere la gravidanza (art. 5 legge 22 maggio 1978, n. 194);
  • la condotta dell’interessata non rileva ai fini della valutazione dell’illiceità del trattamento in relazione alla violazione occorsa. Ciò, in quanto, come, detto essa è imputabile all’inadeguatezza delle misure tecniche e organizzative implementate che è possibile giudicare in quanto tale, a prescindere sia dalla supposta incidenza causale della condotta dell’interessata sugli eventi, che dal fatto che il marito della stessa abbia appreso in altro modo della causa del ricovero (in violazione dell’art. 5, par. 1, lett. f) e 32 del Regolamento).

Conclusioni

Alla luce del caso in esame, il Garante ha rilevato l’illiceità del trattamento di dati personali effettuato dall’Azienda dell’Emilia Romagna, per la violazione degli artt. 5, par. 1, lett. a), d) e f), 9 e 32, par. 1, lett. b) del Regolamento. La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 4 e 5 del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), pari alla somma di euro 50.000,00 (cinquantamila).

@RIPRODUZIONE RISERVATA

Articolo 1 di 4