Federalismo sanitario

Privacy e dati sanitari dei pazienti

Le informazioni sulla salute devono rimanere private. I dati sanitari dei pazienti non devono in alcun modo arrivare a terzi, neanche per sbaglio. Per questo il Garante per la privacy ha sanzionato due ospedali e una Asl per la violazione dei dati personali sanitari dei pazienti che sono state causate non da attacchi informatici esterni, ma da procedure inadeguate o da errori materiali del personale sanitario.

In due casi le informazioni sulla salute erano state comunicate alle persone sbagliate – una relazione medica, delle cartelle cliniche. In un terzo caso, la paziente aveva espressamente chiesto che il suo stato di salute non fosse comunicato a nessuno, neanche ai familiari. Ma invece di telefonarle in privato, la Asl per errore aveva chiamato il numero di casa e aveva parlato appunto con un familiare.

 

Sanità in Campania

 

La tutela dei dati sanitari dei pazienti

«Le strutture sanitarie devono adottare tutte le misure tecniche e organizzative necessarie per evitare che i dati dei loro pazienti siano comunicati per errore ad altre persone», sottolinea il Garante Privacy.

L’Autorità ha sanzionato tre strutture per data breach sanitari causati da errori del personale e da procedure inadeguate.

Un ospedale toscano, si legge nella newsletter dell’Autorità, ha ricevuto la sanzione di 10 mila euro per aver spedito via posta, al paziente sbagliato, una relazione medica con le informazioni sulla salute e la vita sessuale di un’altra coppia. L’Autorità ha multato anche un ospedale dell’Emilia Romagna, sempre per 10 mila euro. Questo aveva consegnato a dei pazienti cartelle cliniche contenenti dati e referti riferibili ad altre persone, incluso un minore.

In tutte e due i casi le sanzioni sono state calcolate tenendo conto che le strutture sanitarie hanno immediatamente dimostrato un elevato grado di cooperazione con il Garante. Gli episodi inoltre erano isolati e non volontari. Le due strutture hanno anche pianificato ulteriori misure tecniche e organizzative per ridurre al minimo l’errore umano.

I dati sanitari dovevano rimanere privati

La terza sanzione per violazione dei dati sanitari dei pazienti è invece più grave, anche se frutto di errore, e ha portato a una multa di 50 mila euro.

Riguarda una Asl dell’Emilia-Romagna dove una paziente aveva esplicitamente richiesto – sottoscrivendo un apposito modulo – che nessun soggetto esterno, neppure i familiari, fosse informato sul suo stato di salute.

Come spiega il Garante, il modulo però era stato inserito all’interno della cartella clinica.

«Un’infermiera del reparto dove la donna stava seguendo delle terapie, non essendo a conoscenza della richiesta, invece che contattarla sul telefono cellulare privato, aveva chiamato il numero di casa registrato nell’anagrafe aziendale, parlando così con un familiare. Anche in questo caso, l’Azienda ha riconosciuto gli errori che hanno causato il data breach. Si è impegnata quindi ad implementare un sistema informatizzato di gestione dei numeri di telefono dei pazienti ricoverati, e a predisporre una modulistica unica con la quale i pazienti potranno esprimere la loro eventuale volontà di comunicare informazioni sul proprio stato di salute ai terzi, introducendo una specifica policy aziendale».

La Asl, che ha subito una richiesta di risarcimento danni da parte della paziente, dovrà pagare una sanzione di 50 mila euro.

La gestione dei dati sanitari

«Le informazioni sullo stato di salute possono essere comunicate a terzi solo sulla base di un presupposto giuridico o su indicazione della persona interessata, previa delega scritta», ricorda il Garante Privacy di fronte a queste vicende.

L’Autorità  ha invitato tutte le strutture sanitarie a rispettare correttezza e trasparenza. E ad adottare misure tecniche e organizzative utili non solo a proteggersi da attacchi informatici, ma anche a evitare violazioni di dati personali delicati come quelli sulla salute.

Parliamone ;-)