La strada per la violazione della privacy è lastricata di disorganizzazione ed errori umani: non sempre la colpa di un data breach è del cyber crime. È il caso di una Asl dell’Emilia-Romagna, multata per cinquantamila euro dal Garante della privacy perché le informazioni riguardanti la salute di una paziente sono state riferite a un familiare, nonostante l’esplicito divieto di divulgazioni ad altre persone da parte dell’interessata.
La situazione permette di riflettere su come la digitalizzazione dei processi e l’adozione di adeguate tecnologie possa limitare i rischi: “Le strutture sanitarie devono adottare tutte le misure tecniche e organizzative necessarie per evitare che i dati dei loro pazienti siano comunicati per errore ad altre persone”, ha comunicato il Garante in una nota ufficiale.
Insomma, qui il problema lesivo della privacy non è un digitale male usato (con falle cyber o non compliance normativa di trattamenti automatizzati), ma un digitale assente nel processo. Un problema che la dice lunga sulla necessità di accompagnare le aziende sanitarie su un percorso di corretta digitalizzazione dei processi.
Indice degli argomenti
Il caso in Emilia: perché la sanzione del Garante privacy
In particolare, il Garante della privacy ha comminato la sanzione da cinquantamila euro alla struttura dell’Emilia Romagna per la violazione dei dati di una paziente. La donna aveva esplicitamente chiesto, siglando un modulo, che né i suoi familiari né altri soggetti esterni fossero informati del suo stato di salute.
Il modulo sottoscritto dalla paziente era poi stato inserito nella cartella clinica: un’infermiera, non sapendo della richiesta esplicita della donna, non l’aveva chiamata sul suo cellulare ma aveva telefonato a casa utilizzando il numero trovato nell’anagrafe aziendale. Aveva quindi parlato con un parente della donna.
Non si tratta dell’unico caso. Un ospedale toscano è stato multato per diecimila euro per aver spedito a mezzo posta a un paziente sbagliato la relazione medica relativa a salute e vita sessuale di un’altra coppia. La stessa sanzione è stata comminata a un ospedale in Emilia Romagna per aver consegnato ad alcuni pazienti cartelle cliniche relative ad altre persone, incluso un minorenne.
Cyber security in Sanità: best practice contro i data breach
GDPR e Sanità, la soluzione: digitalizzare i processi
Le due strutture multate per diecimila euro hanno collaborato con l’autorità, spiegando che si è trattato di gesti involontari e pianificando l’adozione di misure per ridurre l’errore umano. Anche l’Asl dell’Emilia-Romagna ha ammesso gli errori che hanno portato alla violazione dei dati della paziente e ha dichiarato il proprio impegno per introdurre un sistema informatico per gestire i numeri di telefono dei ricoverati e predisporre un modulo unico per esprimere l’eventuale volontà di informare terzi del proprio stato di salute. L’obiettivo è l’introduzione di una specifica policy da parte dell’azienda.
Il Garante nella sua nota ufficiale ha sottolineato che le informazioni sulla salute possono essere diffuse a soggetti terzi “solo sulla base di un presupposto giuridico o su indicazione della persona interessata, previa delega scritta”, invitando le strutture sanitarie “al pieno rispetto dei principi di correttezza e trasparenza, adottando misure tecniche e organizzative utili non solo a proteggersi da attacchi informatici, ma anche a evitare violazioni di dati personali, in particolare quelli più delicati, come quelli sulla salute – troppo spesso causate da inadeguate procedure gestionali”.
“Oggi si può e si deve parlare di Sistema Privacy poiché alle aziende viene richiesto di creare un vero e proprio sistema interno di gestione dei dati, sistema che necessita di manutenzione adeguata perché il mantenimento dell’aderenza al GDPR è, a tutti gli effetti, un processo dinamico”, commenta il dpo esperta di privacy in Sanità Sarah Yacoubi.
Secondo Yacoubi, il processo deve tenere conto di due ordini di fattori:
- fattori interni perché durante lo svolgersi della vita aziendale continuamente nascono nuovi processi aziendali, sono adottate nuove tecnologie, sono erogati nuovi servizi, sono implementate nuove procedure di gestione.
- fattori esterni dovuti agli interventi normativi, ai provvedimenti del Garante Nazionale ed Europeo, alle pronunce della giurisprudenza nazionale o comunitaria ma anche interazioni con i partner o i fornitori aziendali, che potrebbero incidere sul sistema adottato.
