0
Violazione dati sanitari e procreazione medicalmente assistita

Violazione Dati Sanitari: Nuove Regole e Sanzioni del Garante

Life ScienceFebbraio 1, 2025

Il 17 luglio 2024 con provvedimento n. 442, il Garante per la protezione dei dati personali si è pronunciato su una particolare fattispecie di violazione di dati personali ai sensi dell’art. 33 del Regolamento generale sulla protezione dei dati (Regolamento UE 2016/679 del Parlamento europeo e del consiglio del 27 aprile 2016).

La Società denunziante, in particolare, ha asserito che la violazione è avvenuta a causa di un mero errore materiale; a supporto di questo dato rileverebbe la circostanza secondo cui in data 06.06.2022 alle ore 12.41 l’Ostetrica operante presso la Clinica coinvolta, inviava ad una paziente mail con allegato il modulo denominato “Consenso informato PMA fecondazione in vitro”, affinché la signora ed il compagno provvedessero alla compilazione dello stesso, al fine di fornire il consenso informato a specifico trattamento sanitario, così come previsto dalla normativa.

Sennonché, nella stessa data alle ore 13.51 la paziente, una volta realizzato di avere ricevuto in allegato un documento comprensivo dei dati di un’altra coppia di pazienti, inviava mail in risposta, richiedendo un modulo vuoto. Non appena venuta a conoscenza di aver allegato, per mero errore, un modulo precompilato, la Dottoressa inviava prontamente ulteriore mail alla paziente, fornendo un modulo vuoto e pregandola di provvedere immediatamente alla cancellazione del documento ricevuto per errore, provvedendo altresì a segnalare l’accaduto al Titolare del trattamento.

Ancora ed appena poco tempo dopo, con mail delle 14.34, la paziente assicurava alla Dottoressa di avere eliminato il modulo ricevuto in precedenza, in quanto non di sua competenza; si trattava di un modulo contenente nome, cognome, data e luogo di nascita, numero di documento di identità ed indicazione della tipologia di trattamento scelta da una coppia di pazienti, senza specifici riferimenti allo stato di salute degli stessi. Gli strumenti elettronici e la casella di posta utilizzati dalla Dottoressa, previa analisi del rischio di cui all’art. 32 del cit Regolamento, sono provvisti delle misure tecniche atte a garantire un adeguato livello di sicurezza rispetto al rischio individuato; tuttavia nessuna misura di sicurezza tecnica risulta coinvolta nella violazione, trattandosi di mero errore materiale.

A sua volta, l’Ufficio, con atto motu proprio notificato all’Associazione in qualità di responsabile del trattamento ai sensi dell’art. 166, comma 5 del Codice, l’ha resa edotta del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2 del Regolamento (recante la griglia di poteri di ogni autorità di controllo). L’ufficio, in particolare, nell’atto di avvio del procedimento, ha ritenuto che l’Associazione abbia violato gli obblighi in materia di sicurezza del trattamento di cui all’art. 32 del Regolamento, in quanto al momento dell’evento occorso non aveva adottato, con riferimento alla gestione dei moduli da inviare ai pazienti, misure tecniche ed organizzative idonee a garantire un livello di sicurezza adeguato ai rischi presentati dal trattamento.

Esito dell’attività istruttoria e relative conclusioni

Sulla base dell’attività istruttoria, una volta effettuato il vaglio della documentazione fornita e delle dichiarazioni effettuate, si è iniziato ad osservare che per “dati relativi alla salute” si intendono “i dati attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute (art. 4, par. 1, n. 15 del regolamento). Considerando che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali, si ritiene anzitutto che i dati relativi alla salute meritino una maggiore protezione.

Le disposizioni del Regolamento prevedono, inoltre, che il titolare del trattamento e l’eventuale soggetto designato responsabile mettano in atto “misure tecniche ed organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”, tenendo conto, fra l’altro, “della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”, aggiungendo che “nel valutare l’adeguato livello di sicurezza, si tiene conto soprattutto dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale od illegale, a dati personali trasmessi, conservati o comunque trattati (art. 32, par. 1. e 2).

Durante il corso dell’istruttoria, sulla base degli atti e delle dichiarazioni fornite è poi emerso che l’Associazione è stata designata responsabile del trattamento della Società a norma soprattutto del sopracitato art. 28 del Regolamento (rubricato c.d. “Responsabile del trattamento”).

L’atto regolatorio del rapporto tra il titolare ed il responsabile prevede, tra l’altro, che “il responsabile dovrà adottare le misure tecniche ed organizzative adeguate previste dalla normativa italiana ed europea in materia di protezione dei Dati Personali. Più in particolare, il responsabile si obbliga ad adottare tutte le misure di cui all’art. 32 del Regolamento UE 2016/679 in modo da garantire la riservatezza, l’integrità e la disponibilità dei dati personali trattati (punto 4.1. dell’atto di designazione a responsabile del trattamento del 18/12/2021).

In conformità agli elementi acquisiti è stato poi accertato che l’Associazione, in qualità di responsabile del trattamento, al momento dell’evento occorso, non aveva adottato misure tecniche ed organizzative idonee a garantire un livello di sicurezza adeguato ai rischi presentati dal trattamento, quali, in particolare il rischio relativo all’invio del modulo denominato “Consenso informato PMA fecondazione in vitro”, già compilato e sottoscritto da altri pazienti, anziché in bianco.

Pertanto ed in definitiva, con riferimento alla predisposizione di misure tecniche ed organizzative che soddisfino i requisiti del Regolamento sotto il profilo della sicurezza, risulta che il trattamento di dati personali in questione da parte del responsabile del trattamento è stato effettuato in violazione degli obblighi previsti dall’art. 32 del Regolamento, non essendo state adottate al momento dell’accadimento dell’evento, con riferimento alla gestione dei moduli da inviare ai pazienti, misure tecniche ed organizzative idonee a garantire un livello di sicurezza adeguato ai rischi presentati dal trattamento.

Pertanto ed alla luce delle suddette premesse, le circostanze del caso concreto inducono a qualificare la reazione de qua come “violazione minore” ai sensi delle linee guida riguardanti l’applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679, adottate dal “Gruppo di lavoro Art. 29” il 3 ottobre 2017, WP 253 e fatte proprie dal Comitato europeo per la protezione dei dati con l’Endorsement 1/2018 del 25 maggio 2018.

Sotto il profilo sanzionatorio, pertanto, il provvedimento conclusivo del procedimento è stato ritenuto il più blando ammonimento del responsabile del trattamento ai sensi deli artt. 58, par. 2, lett. b) e 83, par. 2 del Regolamento.

Hai bisogno di consulenza legale sulla privacy in ambito sanitario?

Il nostro team di esperti in protezione dati medici ti supporta per:

  • Conformità GDPR nelle cliniche mediche
  • Gestione dati sensibili PMA
  • Prevenzione data breach sanitari
  • Implementazione protocolli di sicurezza

Contattaci per una consulenza specialistica sulla protezione dei dati sanitari.

1 Star2 Stars3 Stars4 Stars5 Stars (6 votes, average: 5,00 out of 5)
Loading...

Lascia un commento

Your email address will not be published.