Come oramai noto, riteniamo che analizzare i casi e provvedimenti del Garante italiano e dei Garanti UE sia un’attività fondamentale per individuare gli errori da non ripetere e le best practice da seguire. Recentemente abbiamo esaminato la Relazione del Garante 2023 e individuato gli errori nel trattamento dati relativi alla gestione del rapporto di lavoro nonché i principi nel trattamento dati nel marketing. Oggi esaminiamo la Relazione e vediamo i principali errori commessi nel settore sanitario.
Da un’analisi della Relazione possiamo affermare che la violazione della riservatezza dei pazienti è il minimo comune denominatore dei provvedimenti sulla sanità del 2023.
Infatti, la corretta gestione della documentazione sanitaria resta ancora il tallone di Achille delle strutture sanitarie. Molti, troppi, ancora i casi di comunicazione di dati a terzi non legittimati e l’adozione di misure di sicurezza o errori umani, anche comuni, che comportano una diffusione o comunicazione di dati illecita.
Vediamo i principali casi, così da individuare i principali errori e suggerire qualche consiglio e best practice.
Indice
Invio e-mail a più destinatari
Sembra ovvio, ma quando deve essere inviato un documento a molti indirizzi email è sempre bene utilizzare il così detto “ccn” o conoscenza nascosta.
Un’azienda sanitaria ha inviato un’e-mail, in copia conoscenza non nascosta, ai pazienti in attesa di trapianto cardiaco, nell’ambito dell’acquisizione dei consensi informati per l’adesione a uno studio clinico, allegando i modelli da compilare e sottoscrivere.
In un altro caso, un’azienda socio-sanitaria ha inserito nel campo denominato copia conoscenza l’indirizzo di 198 destinatari. La comunicazione riguardava il re-inoltro di una e-mail proveniente dal Centro sclerosi multipla dell’azienda e avente ad oggetto le “raccomandazioni aggiornate su Covid in pazienti affetti da sclerosi multipla“.
In entrambi i casi il Garante ha ricordato che
gli indirizzi e-mail sono riconducibili alla nozione di dato personale, anche se privi di riferimenti al nome e al cognome o comunque ad altre informazioni direttamente identificative degli interessati.
Il contesto della comunicazione consentiva di identificare l’informazione sensibile dei destinatari coinvolti: pazienti in attesa di trapianto cardiaco, nel primo caso, pazienti in cura presso il Centro di Sclerosi Multipla, nel secondo caso.
In entrambi i casi l’invio ha, senza giustificato motivo e in assenza di presupposto giuridico, realizzato una comunicazione di dati personali e relativi alla salute degli interessati (cui afferiscono gli indirizzi e-mail) a terzi non autorizzati.
Infine, sempre in entrambi i casi una sola, semplice, misura avrebbe evitato spiacevoli sanzioni: bastava inserire in copia conoscenza nascosta (“ccn”) gli altri indirizzi.
Cartelle sanitarie e referti
Nonostante la digitalizzazione dei processi e della documentazione, il trattamento cartaceo di cartelle cliniche e referti ancora costituisce elemento di vulnerabilità.
Inserimento, nella copia di una cartella clinica di un paziente, della documentazione sanitaria di un altro paziente.
Errata consegna di referti radiologici per errore dell’operatore in fase di imbustamento.
In entrambi i casi si è trattato di un errore umano, ma in entrambi i casi l’errore ha comportato una comunicazione illecita di dati relativi alla salute a terzi e conseguenti sanzioni.
Prevenire errori di questo tipo è però molto difficile.
L’utilizzo di check list di controllo sicuramente aiuta, ma anche nei casi esaminati dal Garante non è stato sufficiente.
La presenza di più controlli e la formazione del personale può certamente abbassare il rischio di errori simili, ma difficilmente questo si potrà azzerare in toto.
Abbandono di cartelle cliniche e di documentazione sanitaria
Sempre in tema di documentazione analogica, la custodia di cartelle cliniche e referti cartacei è un altro elemento critico nelle strutture sanitarie.
Un’azienda sanitaria ha lasciato nei locali di un ex sanatorio della documentazione sanitaria (es. ricette, cartelle cliniche e radiografie) in stato di abbandono e accessibile a chiunque.
Rispetto alla custodia della documentazione sanitaria un primo aspetto da considerare è l’individuazione dei tempi di conservazione. Nel provvedimento l’Autorità ha ricordato che la disciplina di settore individua termini di conservazione specifici che le strutture sanitarie devono rispettare in relazione alla tipologia documentazione sanitaria in loro possesso (circolare del Ministero della sanità 19 dicembre 1986, n. 900; art. 5 del d.m. 18 febbraio 1982; art. 4 del d.m. 14 febbraio 1997; d.m. 3 agosto 2001; d.lgs. n. 200/2007; d.P.R. n. 445/2000; d.lgs. n. 42/2004; d.lgs. n. 82/2005; d.lgs. n. 502/1992).
In assenza di una specifica disposizione normativa, spetta al Titolare del trattamento individuare un termine di conservazione congruo per il raggiungimento delle finalità legittimamente perseguite, che deve essere tra l’altro indicato nelle informazioni da rendere all’interessato ai sensi dell’art. 13 del GDPR.
Nel caso di specie, la documentazione ritrovata rientrava tra quella che doveva essere conservata.
Un secondo aspetto da considerare sono le modalità con cui la conservazione deve avvenire.
Le misure o modalità di conservazione dovranno garantire effettivamente l’integrità e la riservatezza dei dati, nonché rispettare nel concreto i principi di liceità, correttezza e trasparenza e di limitazione della conservazione di cui all’art. 5 del RGPD.
I casi di omonimia
Come prevenire gli eventuali errori che possono derivare da casi di omonimia?
Un ente ha erroneamente emesso una fattura relativa a prestazioni psichiatriche, sia in fase dell’intestazione che in quella dell’invio, nei confronti di soggetto diverso dall’interessato, omonimo.
Una struttura sanitaria privata ha consegnato una cartella clinica di pronto soccorso a un omonimo.
Un cittadino ha ricevuto periodicamente da una struttura sanitaria messaggi al suo numero privato che gli ricordavano appuntamenti per visite mediche mai richieste, nonché documentazione e fatture relative ad un altro paziente omonimo.
Come prevenire gli errori che possono derivare da pazienti omonimi?
L’uso corretto e costante del codice fiscale oltre alla mera anagrafica può essere una misura semplice ma molto utile per ridurre questi errori. Misura però da accompagnare a istruzioni specifiche e formazione efficace per il personale.
Uso della posta ordinaria
L’uso della posta ordinaria non comporta solo il rischio di indirizzi sbagliati o di ricezione da terzi non autorizzati.
Una struttura sanitaria ha notificato un data breach avente a oggetto la comunicazione effettuata via posta ordinaria a un numero molto elevato di assistiti (39.852) di documentazione loro indirizzata, ma contenente il certificato, relativo ad una terza persona, di esenzione dalla partecipazione alla spesa sanitaria per motivi di reddito, rilasciato dalla regione.
Il Garante ha sanzionato il fatto anche alla luce dell’elevato numero di interessati coinvolti e della violazione dei principi di liceità e delle misure di sicurezza. Ma ha altresì considerato che di fatto si trattava della comunicazione dei dati di un solo soggetto e dell’attività poi posta in essere dal Titolare del trattamento, consistita nell’inviare ai pazienti coinvolti il certificato di esenzione corretto a mezzo posta ordinaria, e nella richiesta di distruzione di quello precedentemente ricevuto. Anche in questo caso l’errore umano è stato il fattore di rischio determinante e correttivi diversi dalla formazione sono difficili da trovare.
Pubblicazione degli elogi dei pazienti on line
Un’azienda sanitaria decide di pubblicare sul proprio sito web dei documenti contenenti gli elogi ricevuti dai pazienti in relazione alle prestazioni ricevute per la cura di specifiche patologie dai quali − nella quasi totalità dei casi − era possibile identificare i pazienti stessi. I dati anagrafici, infatti, erano stati cancellati in modo approssimativo con il tratto di un pennarello nero che tuttavia non impediva di leggere le parti oscurate.
L’Autorità ha precisato che la procedura di cancellazione manuale con pennarello o con bianchetto, per sua natura imprecisa e non definitiva, non può essere ritenuta idonea a rendere anonime le informazioni personali degli interessati, né può definirsi una procedura di pseudonimizzazione, anche laddove eseguita in modo efficace, essendo piuttosto una semplice procedura manuale di oscuramento delle generalità degli interessati.
Il Garante ha inoltre rilevato che i dati pubblicati sul sito non rispettavano il principio di minimizzazione, in quanto la pubblicazione degli elogi presentati dagli interessati aveva comportato la diffusione di dati sulla salute (es. dettagli clinici) non pertinenti rispetto allo scopo perseguito, che, nello specifico, era l’attività “di comunicazione e di informazione per il miglioramento dei rapporti con gli utenti”.
Si veda anche Pubblicità sanitaria: panorama normativo
Referto on line
Una struttura sanitaria ha inviato a mezzo posta elettronica ordinaria un referto. L’indirizzo del destinatario era sbagliato e il referto non era protetto.
La struttura sanitaria ha violato la riservatezza del paziente, inviando le informazioni sullo stato di salute ad un soggetto terzo senza un idoneo presupposto giuridico o istruzione o autorizzazione in tal senso dell’interessato stesso. Se, tuttavia, la Struttura Sanitaria avesse protetto con password il documento, questo errore non avrebbe comportato le conseguenze sanzionatorie applicate dal Garante. Il ricevente non avrebbe potuto leggere il contenuto del documento e la riservatezza del paziente non sarebbe stata violata.
Si consiglia, quindi, di rispettare sempre le misure indicate nell’All. A del D.P.C.M. 8 agosto 2013, ma la protezione con password può essere applicata per analogia anche a documentazione diversa dai referti inviati per email. E’ una misura semplice che consente di evitare la comunicazione di dati a terzi non autorizzati.
Smarrimento di vetrini
Un’azienda ha smarrito vetrini e tasselli istologici di una donna contenuti all’interno della cartella clinica, con la conseguente impossibilità per il CTU, chiamato a esprimersi nell’ambito di un giudizio esperito dall’interessata, di esaminare il predetto materiale biologico e sostenere, o meno, la validità della richiesta risarcitoria avanzata dalla donna.
Un primo elemento esaminato dal Garante riguarda la qualificazione dei vetrini e tasselli quali “dati genetici”.
Per il Garante essi sono da qualificarsi in ogni caso come dati sulla salute poichè sono materiali biologici della donna, associati ad elementi numerici riferiti alla sua identità, idonei a rivelare informazioni della stessa nei confronti di servizi di assistenza sanitaria.
La Struttura Sanitaria era sprovvista di protocolli scritti per la gestione e la custodia dei reperti istologici.
Si ricorda che linee guida del Ministero della salute del 2015 stabiliscono che il materiale campionato (blocchetti in paraffina e vetrini) deve essere conservato per il termine previsto di dieci anni, che è un termine minimo, alla scadenza del quale si estingue l’obbligo di conservazione per la struttura che lo detiene.
In ogni caso, qualora siano in corso giudizi civili o penali, la struttura sanitaria è tenuta a valutare l’opportunità di conservazione del materiale anche oltre il termine decennale, in considerazione del contenzioso in corso (cfr. punto 5.3.2. del predetto documento).
Pertanto, secondo il Garante, la Struttura sanitaria aveva l’obbligo di documentare quale operazione di trattamento (ivi compresa, l’eventuale cancellazione e distruzione) fosse stata effettuata sui dati personali contenuti nei vetrini associati a persone identificate in modo univoco a fini sanitari.
Pertanto, anche alla luce del principio di accountability, l’azienda avrebbe dovuto, comunque, adottare modalità volte a garantire la tracciabilità degli stessi e individuare procedure documentate di gestione delle operazioni poste in essere, in tutte le fasi del trattamento, tenendo conto, in particolare, dei rischi derivanti dalla perdita dei dati personali conservati.
Affissione di dati fuori dal pronto soccorso
Una Struttura sanitaria espone al di fuori dei locali del pronto soccorso un cartellone relativo alle attività sanitarie prestate dall’azienda in cui erano visibili i dati personali dei pazienti.
Il Garante ha ricordato che è vietata la pubblicazione di qualsiasi informazione da cui si possa desumere lo stato di malattia o l’esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici. A tale scopo, fin dalla fase di redazione degli atti e dei documenti oggetto di pubblicazione, pur nel rispetto del principio di adeguata motivazione, non devono essere inseriti dati personali “eccedenti”, “non pertinenti”, “non indispensabili”.
(cfr. anche le linee guida in materia di trattamento di dati personali, contenuti in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web, da soggetti pubblici e da altri enti obbligati, parte II, par. 1, del 15 maggio 2014, doc. web n. 3134436).
Conclusioni
La sezione della Relazione del Garante 2023 relativa al trattamento dati nella sanità è molto ricca di casi e di provvedimenti. In questo articolo abbiamo riportato solo quelli che, anche per l’esperienza dello Studio legale, sono ancora troppo ricorrenti e che riguardano la quotidianità di una Struttura Sanitaria. Il settore sanitario resta certamente uno dei settori più coinvolti nella corretta applicazione della normativa sulla protezione dei dati personali. Per tale ragione nel mese di settembre dedicheremo un corso interamente a questo settore affrontando in maniera pro-attiva i rischi per il trattamento dati delle strutture sanitarie e le sfide che aspettano questo delicato settore.