Smarrimento della cartella clinica e sanzioni privacy: una recente pronuncia del garante

Lapsus, dimenticanze e smarrimenti di ogni ordine e grado rappresentano il contraltare della coscienza vigile; naturale che l’uomo non essendo dotato di pura razionalità, talvolta decada nelle piccole/grandi disavventure legate al loro fluire.

Sennonché, quando la condotta umana presuppone una dimensione (più o meno) organizzativa, risulta senz’altro più logico che le vicende conseguenti alla relativa esperienza seguano un ordine regolatorio direttamente proporzionale al relativo grado d’importanza.

Ecco perché l’insorgere di una giustizia in chiave distributiva secerne profili di particolare severità allorquando le suddette esperienze interagiscono con profili legati ai dati sensibili. Fenomenologia principe in siffatta dimensione, fra le tante offerte dall’annosa casistica, è data dallo smarrimento della cartella clinica, evento di rara portata pregiudicante, tale da coinvolgere non soltanto conseguenze di ordine puramente risarcitorio in ambito processuale, ma altresì soprattutto sotto quello sanzionatorio; permettendo la violazione dei dati personali, essa cioè pone le premesse per rilevanti questioni di diritto amministrativo, essendo tratto comune a tutte le sfere la conseguenza dello smarrimento che la sopravvenuta indisponibilità dei dati riferiti ad un paziente si traduca nella relativa impossibilità di prestare le dovute cure all’indigente.

Nel concreto della fattispecie viene lamentato lo smarrimento della diaria medica cartacea di una paziente contemplativa della descrizione delle condizioni cliniche quotidiane ed il foglio di consenso all’esecuzione della procedura diagnostica, nonché la documentazione clinica di un altro paziente alla chiusura della cartella.

Facendo leva sulla suitas, strenua la difesa della struttura sanitaria che ha dichiarato come in entrambi i casi la perdita dei dati avrebbe avuto origine da un errore umano occorso all’interno del contesto di una procedura interna indicata nel protocollo di gestione della cartella clinica. In siffatta logica, l’evento è stato inoltre qualificato come imprevedibile “nell’ambito di un percorso estremamente organizzativo, aggiungendo come all’interno della struttura sono gestiti mediamente oltre 1800 pazienti all’anno e nel recente periodo pandemico che ha visto oltre 3000 pazienti curati dai reparti di medicina, dissinergie sulla conservazione dei documenti sanitari non si siano mai verificate”. Di talché, come misure di prevenzione a simili future violazioni, l’Azienda Sanitaria ha poi dichiarato la programmazione di specifici corsi di formazione.

Esito dell’attività istruttoria

Dinanzi a questa rappresentazione dei fatti, l’attività istruttoria del Garante ha anzitutto preso atto di come il trattamento dei dati personali debba avvenire nel rispetto della normativa applicabile in materia di protezione dei dati personali ed, in particolare, delle disposizioni del Regolamento Generale sulla Protezione dei Dati (ufficialmente regolamento n. 2016/679), nonché del Codice della Privacy (d.lgs. 30 giugno 2003, n. 196).

Con riferimento ai casi di violazione oggetto del provvedimento viene poi rappresentato che per “dati relativi alla salute” si intendono “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute (art. 4, par. 1, n. 15 del Regolamento); tali dati, meritano una maggiore protezione dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali.

Pertanto ed alla luce delle valutazioni effettuate, tenuto conto delle dichiarazioni rese dal titolare del trattamento, l’esito dell’attività istruttoria ha stabilito che, chiunque, in un procedimento dinanzi al Garante dichiari od attesti falsamente notizie o circostanze o produce atti o documenti falsi, ne risponde ai sensi dell’art. 168 del Codice della Privacy, il quale ricomprende “Falsità nelle dichiarazioni al Garante ed interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

Confermando pertanto le valutazioni preliminari effettuate durante l’accertamento dell’illiceità del trattamento di dati presso l’Azienda Socio Sanitaria Territoriale Rhodense con sede in Garbagnate Milanese, il Garante emanando l’ordinanza ingiunzione n. 9809520 (iscritta nel registro dei provvedimenti n. 263 del 21 luglio 2022), ha concluso che gli elementi forniti dal titolare del trattamento nelle memorie difensive, seppure meritevoli di considerazione, non consentono tuttavia di superare i rilievi dell’Autorità. Nello specifico, infliggendo con il provvedimento di ordinanza ingiunzione una sanzione all’Azienda di 3000 euro, l’Autorità ha ritenuto che i dati contenuti nella cartella clinica non siano stati trattati in maniera da garantirne un’adeguata sicurezza, compresa la protezione, mediante misure tecniche ed organizzative adeguate, da trattamenti non autorizzati od illeciti e dalla perdita, dalla distruzione o dal danno accidentali, secondo il principio di integrità e riservatezza di cui all’art. 5, par. 1, lett. f) del Regolamento cit.

Resta in ogni caso fermo che, sotto il profilo organizzativo, la soluzione in assoluto più efficace sia quella che prevede incontri di formazione in maniera interattiva tra docenti e discenti con la relativa compilazione dei partecipanti di questionari di verifica dell’apprendimento da mantenere archiviati in ottica di piena responsabilità.

Gestisci cartelle cliniche e documentazione sanitaria? Prevenire lo smarrimento della cartella clinica e le conseguenti sanzioni privacy è prioritario: l’inosservanza dei principi di integrità e riservatezza (art. 5(1)(f) GDPR) e delle misure tecniche e organizzative (art. 32 GDPR) espone a rilievi del Garante Privacy, come mostrano recenti casi su perdita di documentazione sanitaria.

Il nostro studio ti supporta nel mettere in sicurezza processi e archivi (cartacei e digitali): policy per la cartella clinica, registro data breach e procedure artt. 33–34 GDPR, controllo amministratori di sistema, formazione e audit periodici.

Contattaci per una consulenza operativa su privacy in sanità, gestione di violazioni dei dati e prevenzione di smarrimenti con protocolli realmente applicabili in reparto.

(5 votes, average: 5,00 out of 5)
Loading...