Un recente caso di violazione della privacy nel settore sanitario ha richiamato l’attenzione del Garante per la protezione dei dati personali che ha sanzionato per 10mila euro un Centro medico reo di aver scambiato i dati personali di due pazienti, violando così il principio di esattezza e integrità dei dati sancito dal GDPR.
Un provvedimento che ricorda a tutti che la tutela della privacy e la corretta gestione dei dati personali sono diventate questioni di estrema importanza nell’era digitale.
Indice degli argomenti
Scambio dati di due pazienti: il caso
L’incidente è stato scatenato dal reclamo presentato da un paziente presso il centro medico Camedi S.r.l. Secondo quanto riportato, il paziente ha continuato a ricevere periodicamente messaggi di promemoria per visite mediche che non aveva mai richiesto sul suo numero privato.
Inoltre, durante la compilazione della dichiarazione dei redditi precompilata, ha scoperto l’esistenza di fatture emesse con il suo codice fiscale per prestazioni mediche mai effettuate, per un totale di circa 4.000 euro.
Nonostante i ripetuti tentativi di risolvere il problema con il Centro medico, il paziente non ha ottenuto alcuna soluzione soddisfacente.
Il reclamo presentato ha attirato l’attenzione del Garante per la protezione dei dati personali, che ha avviato un’indagine sull’incidente.
Nel corso dell’istruttoria, sono emerse informazioni importanti riguardanti la gestione dei dati all’interno del Centro medico.
Secondo quanto dichiarato dal Centro, nel loro database erano presenti due pazienti omonimi, ovvero il paziente reclamante e un altro individuo. A causa di questa omonimia, il codice fiscale e l’indirizzo di residenza sono stati erroneamente attribuiti al paziente reclamante, causando l’emissione di fatture errate e l’invio di messaggi di promemoria non richiesti.
Di fatto, secondo le informazioni fornite dal Garante, il reclamante ha evidenziato che “da uno scambio PEC è emerso che presso il Centro medico Camedi s.r.l. segue un paziente mio omonimo e che tutto quello che riguarda le sue prestazioni viene segnalato a me (ecco il perché dei continui SMS di appuntamento) e anche le sue fatture vengono attribuite al mio codice fiscale”.
Violato il principio di esattezza, integrità e riservatezza dei dati
Questo caso di omonimia evidenzia la complessità legata alla gestione dei dati personali, in particolare quando sono coinvolti pazienti con lo stesso nome e cognome.
L’indagine condotta dal Garante ha rivelato numerose violazioni da parte del Centro medico.
Innanzitutto, è emerso che il trattamento dei dati personali dei pazienti è stato effettuato senza rispettare il principio di esattezza, integrità e riservatezza dei dati, come stabilito nell’articolo 5, paragrafo 1, lettere d) e f) del Regolamento.
I dati dei due pazienti omonimi non sono stati registrati correttamente nel database, portando a un’errata attribuzione delle informazioni personali e alla comunicazione di dati relativi alla salute senza un idoneo presupposto giuridico.
Queste azioni hanno violato i principi fondamentali del Regolamento europeo e degli obblighi di sicurezza in materia di protezione dei dati.
A seguito delle violazioni riscontrate, il Garante ha deciso di sanzionare il centro medico con una multa di 10.000 euro.
Tuttavia, è importante sottolineare che la sanzione finanziaria non è l’unico aspetto rilevante in questo contesto.
La reputazione del Centro medico potrebbe essere compromessa a causa di questa violazione della privacy.
Inoltre, il paziente reclamante ha subito disagi significativi a causa delle fatture errate e dei messaggi di promemoria indesiderati, sulla base dei quali non risulta mai semplice stabilire un risarcimento economico adeguato.
Dopo l’incidente, il Centro medico ha affermato di aver preso misure correttive per affrontare il problema dell’omonimia nel loro sistema di gestione dei dati. Hanno introdotto una nota di attenzione nel loro database per prevenire errori simili in futuro.
Hanno anche comunicato con il paziente omonimo per chiarire la situazione e correggere la compilazione della dichiarazione dei redditi precompilata. Inoltre, hanno collaborato attivamente con il loro commercialista e l’Agenzia delle Entrate per risolvere il problema delle fatture errate presenti nel cassetto fiscale del reclamante.
Cosa impariamo in tema di rispetto della normativa privacy
Il principio di esattezza e integrità dei dati personali rappresenta un elemento fondamentale nella tutela della privacy e dei diritti degli individui.
Esso sottolinea l’importanza di garantire che i dati personali siano accurati, completi e aggiornati, al fine di evitare informazioni errate o obsolete che potrebbero avere conseguenze negative per gli interessati.
La violazione del principio di esattezza e integrità dei dati personali può comportare conseguenze negative a livello individuale e organizzativo:
- a livello individuale, gli interessati possono subire danni finanziari, reputazionali e emotivi a causa di informazioni errate o non corrette che possono essere utilizzate per scopi illeciti;
- a livello organizzativo, le violazioni dei dati possono portare a sanzioni amministrative, perdita di fiducia da parte dei clienti e danni alla reputazione dell’organizzazione coinvolta.
Inoltre, l’accuratezza dei dati personali è cruciale nel contesto delle decisioni automatizzate e del machine learning. Se i dati di partenza sono inaccurati o incompleti, le decisioni basate su di essi possono portare a risultati distorti e discriminatori, con conseguenze negative per gli individui interessati.
Pertanto, è fondamentale che le organizzazioni e le strutture sanitarie adottino misure adeguate per garantire l’esattezza e l’integrità dei dati personali.
Ciò implica l’implementazione di procedure di verifica e aggiornamento dei dati, la formazione del personale sulla corretta gestione dei dati e l’adozione di misure tecniche e organizzative per garantire la sicurezza e l’integrità dei sistemi di gestione dei dati.
Conclusioni
Il caso del centro medico Camedi S.r.l., che ha portato alla violazione dei principi di esattezza e integrità dei dati personali, si inserisce in un contesto più ampio di preoccupazione per la protezione dei dati nell’ambito sanitario.
Secondo dati e statistiche disponibili, l’ambito sanitario rappresenta un settore particolarmente sensibile dal punto di vista della gestione dei dati personali.
Le informazioni mediche e sanitarie sono considerate dati sensibili, e la loro divulgazione impropria o il trattamento non autorizzato possono avere conseguenze significative per la privacy degli individui.
Tra le violazioni più comuni rilevate dal Garante in ambito sanitario vi sono l’accesso non autorizzato ai dati personali dei pazienti, la mancata adozione di adeguate misure di sicurezza informatica, la comunicazione errata o non autorizzata di informazioni sanitarie, e l’attribuzione erronea di dati personali a individui omonimi.
