Sanità

Se il centro medico scambia i dati di due pazienti: la sanzione del Garante privacy



Indirizzo copiato

Per il Garante privacy, un centro medico che ha inserito nel suo database i dati due pazienti omonimi confondendoli poi nell’invio di notifiche di appuntamenti e addebiti delle prestazioni, ha violato il principio di esattezza e integrità dei dati. È stata comminata una sanzione di dieci mila euro

Pubblicato il 26 lug 2023

Serena Nanni

Security Consulting Analyst presso Accenture



La realtà virtuale (VR) in sanità

Due pazienti di un Centro medico hanno avanzato un reclamo verso il Garante per la protezione dei dati personali (di seguito, “Garante”) nel quale hanno lamentato una violazione. In particolare, i due pazienti hanno dichiarato di aver ricevuto periodicamente dal Centro medico sul numero privato SMS come promemoria di appuntamenti per visite mediche mai richieste, e di aver rinvenuto, nella dichiarazione dei redditi 730 precompilata, talune fatture (che ammontavano complessivamente a 4.000,00 euro) emesse sul proprio codice fiscale concernenti prestazioni relative all’anno 2021 erogate dal Centro medico, dagli stessi mai effettuate.

Le verifiche del Garante sul trattamento dati

A seguito della richiesta di informazioni del Garante, il Centro medico ha fornito riscontro, rappresentando che per motivi diversi ha inserito nel proprio database utilizzato per attività medico-sanitarie il nominativo di 2 omonimi.

In relazione ai fatti descritti nel reclamo e all’esito del riscontro fornito dal titolare, il Garante ha ritenuto che il Centro abbia effettuato un trattamento di dati in violazione del principio di esattezza e di integrità e riservatezza dei dati (art. 5 par. 1, lett. d) e f) del GDPR Regolamento UE 679/2016, di seguito “Regolamento”) e, mediante la compilazione della fattura relativa alle prestazioni usufruite dall’omonimo contenente le informazioni (indirizzo e codice fiscale) del reclamante, ha effettuato una comunicazione di dati relativi alla salute (desumibili dalla prestazioni effettuate presso il Centro, con riferimento alle quali sono state emesse le relative fatture) in assenza di un idoneo presupposto giuridico, in violazione dei principi di base del trattamento di cui all’art. 9 del Regolamento e degli obblighi in materia di sicurezza di cui all’art. 32 del Regolamento.

Le osservazioni

A seguito dell’attività istruttoria del Garante, si osserva che:

1. per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)”; e, per “dati relativi alla salute”, ricompresi tra le categorie “particolari” di informazioni personali, i “dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, n. 1 e 15 del Regolamento; considerando n. 35);

2. le informazioni personali devono essere trattate nel rispetto dei principi applicabili al trattamento dei dati personali, elencati nell’art. 5 del Regolamento. In particolare, i dati devono essere “esatti e, se necessario, aggiornati” e “devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono stati trattati” (principio di «esattezza»); i dati devono essere, altresì, “trattati in maniera da garantire un’adeguata sicurezza (…) compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti o dalla perdita, dalla distruzione o dal danno accidentali” (principio di «integrità e riservatezza») (art. 5, par. 1, lett. d) e f) del Regolamento). L’adeguatezza di tali misure deve essere valutata da parte del titolare del trattamento rispetto alla natura dei dati, all’oggetto, alle finalità del trattamento e al rischio per i diritti e le libertà fondamentali degli interessati, tenendo conto dei rischi che derivano dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso a dati personali trasmessi, conservati o comunque trattati (art. 32, par. 1 e 2 del Regolamento);

3. in ambito sanitario le informazioni sullo stato di salute possono essere comunicate solo all’interessato e possono essere comunicate a terzi sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso, previa delega scritta di quest’ultimo (art. 9 del Regolamento e art. 84 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101).

Conclusioni

In conclusione, tenuto conto dell’istruttoria, gli elementi forniti dal Centro, in qualità di titolare del trattamento, nelle memorie difensive non sono idonei ad accogliere le richieste di archiviazione. Infatti, considerato che l’avvenuta prestazione di un servizio di assistenza sanitaria riferita ad una persona specificatamente indicata costituisce un’informazione riconducibile alla nozione di dato sulla salute ai sensi dell’art. 4, par. 1, n. 15 del Regolamento e del Cons. n. 35, si rileva che il Centro ha effettuato un trattamento di dati in violazione del principio di esattezza e di integrità e riservatezza dei dati del reclamante e del suo omonimo (art. 5 par. 1, lett. d) e f) del Regolamento) e, mediante l’erronea compilazione della fattura, ha effettuato una comunicazione di dati relativi alla salute (desumibili dalle prestazioni effettuate presso il Centro, con riferimento alle quali sono state emesse le relative fatture) in assenza di un idoneo presupposto giuridico, in violazione dei principi di base del trattamento di cui all’art. 9 del Regolamento e degli obblighi in materia di sicurezza di cui all’art. 32 del Regolamento.

Per tali ragioni si rileva l’illiceità del trattamento di dati personali effettuato dal Centro, nei termini di cui in motivazione, per la violazione degli artt. 5, par. 1, lett. d) e f), 9 e 32 del Regolamento.

In tale quadro, preso atto della violazione degli artt. 5, par. 1, lett. d) e f), 9 e 32 del Regolamento causata dalla condotta del Centro, si applica una sanzione amministrativa pecuniaria, ai sensi dell’art. 83, par. 4, lett. a) e par. 5, lett. a) del Regolamento, di euro 10.000,00 (diecimila).

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati