Se la Sanità italiana non rispetta la privacy: i problemi da risolvere

Negli ultimi anni, in seguito a piena applicazione del GDPR (Regolamento (UE) 2016/679) e dal momento in cui l’attività ispettiva si è potuta concentrare sull’enforcement delle nuove norme, il Garante Privacy si è focalizzato sulle violazioni della normativa applicabile ai trattamenti di dati sanitari effettuati nell’ambito del Fascicolo Sanitario Elettronico (“FSE”), dossier sanitario elettronico (“DSE”) e referti online.

Ciò anche in considerazione degli sviluppi tecnologici accelerati dall’emergenza dovuta alla pandemia da Covid-19, sia in ambito pubblico che in ambito privato.
Più recentemente, l’impiego sempre più ampio di tecnologie avanzate ha inoltre portato il Garante per la protezione dei dati personali a esaminare il corretto trattamento dei dati relativi alla salute effettuato, per esempio, attraverso algoritmi.

In tutti i casi esaminati, emerge che bisogna implementare misure tecniche volte a evitare questo tipo di incidenti. Inoltre occorre fare opera di sensibilizzazione del personale, prevedendo misure organizzative al fine di garantire la sicurezza del trattamento sanitario.

Violazioni della sicurezza

In molti casi, sono state rilevate violazioni della sicurezza dei dati che hanno portato alla condivisione di dati sanitari con terzi non autorizzati. Tra i casi più indicativi, ricordiamo quelli di una ASL e un Policlinico nel luglio 2020, che si sono conclusi con un ammonimento per i soggetti coinvolti.
In particolare, gli episodi erano stati portati all’attenzione dell’Autorità dalle stesse strutture che, come prescritto dal GDPR, avevano regolarmente notificato al Garante la violazione di dati personali che si era verificata a danno di alcuni loro pazienti.
Nel caso segnalato dalla ASL (provvedimento del 2 luglio 2020, n. 123, doc. web n. 9440096), a un paziente che aveva richiesto la copia cartacea della propria cartella clinica era stata consegnata, a causa di un errore umano, quella di un altro paziente.

Il Garante ha accertato che l’incidente era stato determinato dall’inserimento accidentale della cartella clinica nella busta etichettata con il nominativo di altro paziente.
Tuttavia, considerato che la documentazione, come dichiarato dalla stessa ASL, era stata riconsegnata subito all’ospedale, il Garante ha qualificato il caso come “violazione minore”, ai sensi del GDPR e non ha comminato una sanzione ma solo una ammonizione, tenendo anche conto del fatto che l’episodio è stato unico e isolato, determinato da un errore umano di imbustamento, e che la ASL, appena venuta a
conoscenza dell’accaduto, aveva adottato correttivi nella procedura di preparazione e consegna delle cartelle cliniche (inserendo un doppio controllo all’atto della consegna della documentazione) volti a prevenire, in futuro, il ripetersi di simili episodi.

Il caso del Policlinico

Nel secondo caso che ha coinvolto il Policlinico (provvedimento del 9 luglio 2020, n. 141, doc. web n. 9440117) si era verificato l’inserimento, all’interno di un FSE intestato a un paziente, di un referto relativo ad un altro paziente.

Anche in questo caso erano state violate le disposizioni in materia di riservatezza
relative alla comunicazione a terzi di dati sulla salute della persona. Tuttavia, esaminate le circostanze del fatto concreto, il Garante ha qualificato la violazione come “minore”, ritenendo sufficiente ammonire il Policlinico. L’episodio infatti, unico e isolato, era stato causato anche stavolta da un errore umano non intenzionale e la struttura sanitaria, oltre ad aver informato l’interessato dell’accaduto, aveva adottato accorgimenti organizzativi e iniziative formative volte a sensibilizzare il personale al rispetto delle disposizioni sulla protezione dei dati e delle procedure per la corretta identificazione dei pazienti.

L’accesso illecito all’ASL

Sempre nel 2020, un altro caso aveva riguardato una ASL in cui si era verificato un accesso illecito ai dati contenuti nei DSE relativo ad alcuni dipendenti dell’Azienda ospedaliera in cura presso la stessa (provvedimento 23 gennaio 2020, n. 18, doc. web n. 9269629).

A porre in essere la condotta – in tre occasioni distinte – erano stati altri dipendenti, indipendentemente dall’erogazione della prestazione sanitaria. In questo caso, il Garante ha irrogato una sanzione di 30.000 euro all’azienda ospedaliera per non
aver impedito che i dipendenti potessero “sbirciare” il DSE dei colleghi. La stessa ASL aveva comunicato al Garante le tre violazioni di dati personali consistenti in accessi indebiti che avevano riguardato dati sanitari di dipendenti in cura presso la stessa struttura. In un caso l’accesso era stato effettuato con le credenziali di un medico che aveva lasciato incustodita la propria postazione. Negli altri due casi uno specializzando e un tecnico radiologo erano entrati nel DSE dei loro colleghi.

L’adeguata tutela dei dati personali

In tutti e tre gli episodi è stato accertato, per stessa ammissione dell’azienda ospedaliera, che gli accessi erano stati effettuati non per erogare prestazioni mediche, ma per esclusive ragioni personali, descritte dall’azienda come “mera curiosità”. Gli accertamenti svolti dal Garante avevano evidenziato che le misure tecniche e organizzative adottate dall’ospedale, a tutela del DSE aziendale, non si erano dimostrate idonee ad assicurare un’adeguata tutela dei dati personali dei pazienti e a proteggerli da trattamenti non autorizzati, determinando così un trattamento illecito di dati.

DSE: le altre segnalazioni

Sempre in tema di DSE, diverse sono state le segnalazioni ricevute dal Garante in relazione a violazioni dei dati dovute all’inserimento nel DSE di dati sulla salute di persone diverse dal paziente. Simili interferenze tra i dati contenuti nei DSE sono dovute in alcuni casi a malfunzionamenti tecnici dei sistemi utilizzati per la gestione dei DSE che hanno portato, ad esempio, all’inserimento in cartelle cliniche di documenti sanitari relativi ad altri pazienti a causa di un bug nel sistema dedicato alla stampa di tali cartelle passato inosservato all’istituto fino alla segnalazione dell’interessato (provvedimento 24 giugno 2021, n. 250, doc. web n. 9689566).

In altri casi, è stato l’errore umano a determinare l’inserimento di dati inconferenti nei
DSE dei pazienti (provvedimento 2 dicembre 2021, n. 421, doc. web n. 9732497), ad esempio a causa della confusione ingenerata dall’omonimia dei pazienti. Inoltre, in quest’ultimo caso la violazione è avvenuta nonostante l’Azienda Ospedaliera titolare del trattamento avesse già implementato apposite misure correttive a seguito di un precedente provvedimento sanzionatorio del Garante per una violazione analoga
(provvedimento 23 gennaio 2020, n. 18 doc. web n. 9269629).

Il caso 2021

In un caso risalente al 2021, un medico di base aveva infine appeso le ricette mediche con mollette da bucato alla finestra dello studio situato al piano terra su una pubblica via, rendendo così visibili a chiunque il nome degli assistiti e il contenuto delle prescrizioni (provvedimento 28 ottobre 2021, n. 392, doc. web n. 9716887). Il medico è stato sanzionato per questo comportamento contrario alla normativa sulla protezione dei dati personali.

Infatti, come noto, la normativa non prevede solo che il titolare garantisca, anche nell’organizzazione delle prestazioni e dei servizi, il rispetto dei diritti, delle libertà fondamentali e della dignità delle persone, ma anche che le informazioni sulla salute non siano diffuse, potendo essere solo comunicate a terzi sulla base di un idoneo presupposto giuridico o su indicazione del paziente stesso mediante una delega scritta.
Per uno spaccato più approfondito sugli ultimi sviluppi nell’attività di verifica del Garante in tema di violazione dei dati in ambito sanitario è possibile consultare la relazione annuale 2021 che, a differenza della relazione del precedente anno, include un paragrafo interamente dedicato ai data breach in sanità (evidenziando così la rilevanza e la diffusione del fenomeno).

L’uso di algoritmi in ambito sanitario

Più recentemente, il Garante privacy ha sanzionato tre ASL friulane (provvedimenti 15 dicembre 2022, n. 415, doc. web n. 9844989; n. 416, doc. web n. 9845156; n. 417, doc. web. 9845312) che, attraverso l’uso di algoritmi, avevano classificato gli assistiti in relazione al rischio di avere o meno complicanze in caso di infezione da Covid-19. Le ASL avevano elaborato i dati presenti nelle banche dati aziendali allo scopo di
attivare nei confronti degli assistiti opportuni interventi di medicina di iniziativa e individuare per tempo i percorsi diagnostici e terapeutici più idonei.

Nel corso dell’istruttoria, avviata dal Garante su segnalazione di un medico, è infatti emerso che i dati degli assistiti erano stati trattati in assenza di una idonea base normativa, senza fornire agli interessati tutte le informazioni necessarie (in particolare sulle modalità e finalità del trattamento) e senza aver effettuato preliminarmente la valutazione d’impatto prevista dal GDPR .

Il Garante ha ribadito che la profilazione dell’utente del servizio sanitario, sia regionale o nazionale, determinando un trattamento automatizzato di dati personali volto ad analizzare e prevedere l’evoluzione della situazione sanitaria del singolo assistito e
l’eventuale correlazione con altri elementi di rischio clinico, può essere effettuata solo in presenza di un idoneo presupposto normativo, nel rispetto di requisiti specifici e garanzie adeguate per i diritti e le libertà degli interessati, mancanti nel caso di specie. Accertate dunque le violazioni e valutato che nel caso specifico le operazioni, attraverso l’uso di algoritmi, avevano riguardato dati sulla salute di un ingente
numero di assistiti, il Garante ha ordinato a ognuna delle tre Aziende di pagare la sanzione di 55.000 euro e di procedere alla cancellazione dei dati elaborati.

Esattezza e correttezza del trattamento dei dati sanitari

Sempre nel 2022, il Garante ha sanzionato la Regione Lazio imponendo una multa di 100mila euro per il mancato aggiornamento dei dati personali della piattaforma utilizzata dalla ASL per l’invito agli screening oncologici (provvedimento 1 dicembre 2022, n. 409, doc. web n. 9833530). In questo caso, l’invito era giunto alla figlia deceduta della reclamante.

L’Autorità ha contestato alla Regione il mancato rispetto dei principi di esattezza e correttezza dei dati trattati attraverso la piattaforma e ribadito che la Regione, in
quanto titolare dei dati, deve garantire che i questi siano esatti e, se necessario, aggiornati, adottando tutte le misure ragionevoli per cancellare o rettificare tempestivamente le informazioni che utilizza.

Enforcement del Garante privacy in sanità: spunti di riflessione

La panoramica di casi avvenuti in ambito sanitario, denota una attenzione crescente del Garante sui trattamenti dei dati personali relativi alla salute e una gradazione di interventi, a seconda della gravità e delle circostanze del caso.

I primi episodi sopra individuati in materia di sicurezza, hanno una portata oggettivamente limitata, ma mentre i primi due sono stati risolti solo con una ammonizione (si trattava di errori umani che hanno determinato la condivisione di dati relativi ad un soggetto con terzi non autorizzati), nel terzo caso è stata irrogata una sanzione pecuniaria dal momento che l’accesso non autorizzato è stato determinato dalla “curiosità”.

In tutti i casi, appare evidente come si debbano adottare misure tecniche idonee a evitare questo tipo di incident. Non solo, anche sensibilizzare il personale e prevedere adeguate misure organizzative al fine di garantire la sicurezza del trattamento.

Inoltre, la violazione dei dati contenuti nel DSE sanzionata con il provvedimento di dicembre 2021, offre uno spunto di riflessione sulla necessità per il titolare di sottoporre a effettivo stress test le misure implementate. L’obiettivo è verificarne anche l’effettiva comprensione e implementazione da parte del personale addetto.

Tale violazione si è verificata infatti per un errore umano. Nonostante la precedente implementazione di misure volte proprio a evitare il ripetersi di simili fatti. E nonostante precedenti sanzioni da parte del Garante nei confronti dello stesso titolare.
Altro elemento fondamentale che emerge dai casi esaminati è la necessità di assicurare che l’accesso alla documentazione sanitaria del paziente avvenga solo da parte del personale sanitario che interviene nel processo di cura del paziente. Bisogna porre particolare attenzione all’individuazione dei profili di autorizzazione e nella formazione del personale abilitato.

I principi essenziali nell’enforcement Garante Privacy

L’obbligo di non diffondere i dati sanitari e di trattarli solo se corretti o esatti sono altri due principi fondamentali che sono stati applicati dal Garante in alcuni dei casi sopra menzionati. Anche in questo contesto, è necessaria una sensibilizzazione dei medici che trattano dati sanitari e delle strutture che utilizzano piattaforme che trattano i dati sanitari dei pazienti. I medici di base devono essere consapevoli dei propri obblighi in qualità di titolari del trattamento e le strutture sanitarie devono essere in grado di assicurare che il trattamento avvenga sempre su dati aggiornati.

Anche nel momento in cui una struttura sanitaria decida di utilizzare tecnologie particolarmente avanzate che consentono di anticipare le diagnosi o lavorare sull’analisi predittiva in ambito sanitario, questo deve tener conto delle azioni necessarie per garantire il rispetto della normativa in materia di dati personali. Il
perseguimento di scopi importanti per la collettività non può prescindere dal rispetto della normativa privacy.

Conclusioni

Sotto questo profilo, il Garante per la privacy sta sicuramente svolgendo una importante opera di sensibilizzazione dei professionisti della sanità. Lo fa attraverso molte iniziative. Spaziano dall’organizzazione di eventi e incontri alla diffusione delle notizie sulle sanzioni e sulle attività ispettive rese pubbliche sul proprio sito.

Anche i DPO delle strutture sono sicuramente in prima linea nella pianificazione ed
implementazione delle azioni necessarie al raggiungimento di questi obiettivi.

Si potrebbe, tuttavia, considerare di coinvolgere in questa opera di educazione e sensibilizzazione anche gli operatori privati. Ma – negli ultimi anni – stanno offrendo i propri servizi ai professionisti sanitari e alle aziende sanitarie pubbliche e private.

Si tratta di soggetti che offrono servizi tecnologici per la prenotazione di prestazioni. Oppure per la raccolta di recensioni e opinioni dei pazienti.

Coinvolgere i soggetti privati in quest’opera di sensibilizzazione e assicurare una cooperazione tra pubblico e privato su questi temi potrebbero essere un’ulteriore soluzione. L’obiettivo è comunque contenere le violazioni in ambito sanitario.