Dalla Newsletter del Garante del 17/7/2023
Le strutture sanitarie devono adottare tutte le misure tecniche e organizzative adeguate per garantire che il trattamento dei dati personali dei pazienti rispetti la normativa sulla privacy.
Lo ha ribadito il Garante per la protezione dei dati personali nel comminare una sanzione di 10mila euro a un Centro medico che aveva scambiato nel proprio database i dati e le informazioni sanitarie di due pazienti omonimi.
L’Autorità si era attivata a seguito del reclamo di uno dei due pazienti interessati, che lamentava di aver ricevuto periodicamente, sul numero privato, SMS di promemoria per visite mediche mai richieste e di aver trovato nella dichiarazione dei redditi fatture di circa 4mila euro, emesse con il proprio codice fiscale, su prestazioni mai effettuate. Nella segnalazione il paziente evidenziava poi di aver chiesto ripetutamente alla clinica la risoluzione del problema, senza alcun esito.
Dall’istruttoria del Garante è emerso che l’evento si era realizzato a causa della presenza nel database della struttura dei due soggetti omonimi. Tale omonimia aveva così contribuito ad un’errata attribuzione del codice fiscale ed indirizzo di residenza al momento della consegna di alcune fatture. L’errore di attribuzione aveva inoltre causato l’invio di SMS automatici al reclamante anziché al paziente a cui erano realmente indirizzati.
Numerose quindi le violazioni riscontrate. Il Centro aveva effettuato infatti un trattamento in violazione del principio di esattezza, integrità e riservatezza non avendo registrato correttamente nel database i dati dei due pazienti. Aveva inoltre effettuato una comunicazione di dati relativi alla salute in assenza di un idoneo presupposto giuridico, in violazione dei principi di base del Regolamento europeo e degli obblighi in materia di sicurezza.
Tenuto conto della limitata portata dei trattamenti e del fatto che si è trattato di un singolo caso, il Garante ha applicato al Centro medico una sanzione di 10mila euro.