Scambio di persona nella consegna di referti medici. L’intervento del Garante

La vicenda

L’ospedale San Raffaele (società H San Raffaele Resnati s.r.l.) inviava comunicazione al Garante per l’intervenuta violazione del trattamento dei dati personali poiché venivano consegnati ad una paziente i referti rivolti ad un’altra.

L’ospedale precisava da un lato che erano state rispettate le procedure per garantire la conformità del trattamento alle disposizioni del Regolamento Europeo in relazione ai dati trattati nell’ambiente sanitario e, dall’altro, di aver rimediato all’”errore” in poche ore provvedendo al recupero della documentazione consegnata.

Il Garante, ricevuta la comunicazione, dava avvio al procedimento per l’adozione di provvedimento ex art.166 del Codice della Privacy e informava la società dell’invito a produrre i propri atti difensivi.

L’ospedale dichiarava che i dati contenuti nei documenti consegnati all’altra paziente, non fornivano precise indicazioni in merito al quadro clinico della paziente e che, in ogni caso, si trattava di una violazione di lieve entità (posta in essere da un singolo soggetto), peraltro a cui veniva subito posto rimedio.

Valutato l’accaduto e le posizioni difensive della società, il Garante riteneva che – nel caso specifico – la condotta attuata dalla Società non si mostrava conforme alla normativa vigente in materia di protezione dei dati personali per violazione degli artt. 5 e 9 del GDPR.

L’art.5 sancisce che “I dati personali sono:

1. trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»);
2. raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»);
3. adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);
4. esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);
5. conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»);
6. trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).
7. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»)”

L’art. 9, invece, impone il generale divieto di trattamento di dati (ex dati sensibili) che siano idonei a divulgare, tra le altre, le informazioni relative alle condizioni di salute psicofisica di un soggetto.

La decisione del Garante

La pronuncia del Garante concludeva che:

1. L’errore commesso dal soggetto addetto all’imbustamento dei referti, dovuto a negligenza del medesimo, non poteva definirsi lieve o scusabile;
2. La violazione riguarda una categoria di dati personali particolare perché attiene ai dati in tema di salute;
3. La Società si adoperava immediatamente per rimediare all’errore e, in effetti, le conseguenze negative erano limitate ad un periodo temporale di poche ore;
4.  La condotta posta in essere dalla Società determinava comunque una violazione che, pertanto, veniva sanzionata con sanzione amministrativa pecuniaria di €.6.000,00 (ordinanza di ingiunzione 25/11/2021), oltre alla sanzione accessoria consistente nella pubblicazione del provvedimento del Garante sul sito web dello stesso.