Data breach sanitari: il rischio di errore umano è più frequente dell’attacco informatico

di Francesca Zanovello -

I data breach sanitari sono un fenomeno, purtroppo, frequente nonostante le particolari cautele che il trattamento dei dati relativi alla salute richiederebbe, considerato il loro carattere sensibile.

Spesso, invece, le strutture sanitarie non adottano tutte le misure tecniche e organizzative necessarie per evitare che le informazioni sanitarie dei loro pazienti siano comunicate per errore ad altre persone. Come ricorda, infatti, il Garante privacy in tre recenti provvedimenti (Provvedimento n. 29 del 27 gennaio 2021 – doc. web 9544457; Provvedimento n. 30 del 27 gennaio 2021 – doc. web 9544092; Provvedimento n. 36 del 27 gennaio 2021 – doc. web 9544504, tutti consultabili nel sito del Garante per la privacy www.garanteprivacy.it), le violazioni di dati personali relativi allo stato di salute sono causate non tanto da attacchi informatici esterni, ma da procedure inadeguate e da semplici errori materiali del personale.

Con il primo provvedimento (Provvedimento n. 29 del 27 gennaio 2021 – doc. web 9544457) il Garante sanzionava un’azienda ospedaliera toscana al pagamento della somma di Euro 10.000 per violazione degli articoli 5, par. 1 lett. f) e 9 del Reg. UE 2016/679.

La vicenda riguardava la spedizione via posta, al paziente sbagliato, di una relazione medica contenente le informazioni sulla salute e la vita sessuale di un’altra coppia.

Il secondo caso (Provvedimento n. 30 del 27 gennaio 2021 – doc. web 9544092) coinvolgeva invece un ospedale dell’Emilia-Romagna sanzionato al pagamento di Euro 10.000 per aver consegnato, erroneamente, a soggetti diversi dagli interessati, cartelle cliniche contenenti dati e referti riferibili ad altre persone, incluso un minore.

In entrambe le ipotesi le sanzioni amministrative pecuniarie comminate ai sensi dell’art. 83, par. 5 del Regolamento, sono state calcolate in conformità al principio di effettività, proporzionalità e dissuasività tenendo conto del fatto che: le aziende ospedaliere stesse avevano notificato la violazione all’Autorità, ai sensi dell’art. 33 del Reg. UE n. 679 del 2016, e mostrato fin da subito un atteggiamento cooperativo con il Garante; gli episodi avevano riguardato un numero esiguo di interessati ed erano risultati isolati e non volontari; le due strutture avevano anche pianificato ulteriori misure tecniche e organizzative per ridurre al minimo l’errore umano, oltreché aver provveduto al recupero della documentazione erroneamente consegnata a terzi.

La terza vicenda (Provvedimento n. 36 del 27 gennaio 2021 – doc. web 9544504) vede invece coinvolta una Asl dell’Emilia-Romagna. Nella specie, una paziente veniva ricoverata presso il reparto di ginecologia per un’interruzione di gravidanza e chiedeva espressamente che non fossero date informazioni sul suo stato di salute a soggetti terzi. La donna forniva a tal fine il suo numero di telefono personale da utilizzare per successivi contatti da parte della Azienda.

Successivamente alle dimissioni della paziente però, un’infermiera di reparto, nel tentare di contattarla al fine di fornirle indicazioni circa le specifiche terapie da seguire, si trovava a parlare col marito delle stessa.

L’operatrice sanitaria aveva, infatti, utilizzato il numero di telefono indicato sul frontespizio della cartella clinica dell’interessata, registrato nell’anagrafica informatizzata della Azienda, fornito dalla stessa in occasione di un precedente contatto con la struttura sanitaria e non corrispondente con quello personale indicato dalla paziente e riportato all’interno della cartella clinica.

Le informazioni disvelate al marito, pur riguardando solo la tipologia di reparto presso cui la donna era stata ricoverata, sono state qualificate come dati sanitari in quanto hanno comportato l’esplicita correlazione tra la stessa e un determinato reparto di degenza indicativo di uno specifico stato di salute.

Anche in questo caso l’Asl si vedeva comminare dal Garante privacy la sanzione amministrativa pecuniaria di Euro 50.000.

Con riguardo ai tre riportati episodi, l’Autorità garante ripercorre la normativa di riferimento ricordando che il Regolamento, nel sancire all’art. 9 un generale divieto al trattamento delle particolari categorie di dati tra cui quelli relativi alla salute, ammette che essi possano essere trattati solo in presenza di una delle condizioni di cui al par. 2 della stessa disposizione (in particolare quelle riportate alle lettere a), g), h) e i)).

L’art. 5, par. 1, lett. f) del Reg. UE 2016/679 stabilisce anche che i dati personali debbano essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)”.

Il titolare del trattamento è pertanto tenuto a mettere in atto “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”, tenendo conto, tra l’altro, “della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” (art. 32 del Reg. UE 2016/679).

Con riguardo all’ambito sanitario poi la disciplina in materia di protezione dei dati personali prevede che le informazioni sullo stato di salute possano essere riferite solo all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso, previa delega scritta di quest’ultimo (cons. 35, art. 9 Reg. UE 2016/679 e art. 83 del Codice privacy, in combinato disposto con l’art. 22, co. 11, d.lgs. 10 agosto 2018, n. 101; cfr. anche provv. generale del 9 novembre 2005, consultabile in www.gpdt.it , doc. web n. 1191411, art. 22, co. 4, del citato d.lgs. n. 101/2018).

Nei tre casi si è pertanto verificato un’illecita comunicazione a terzi di dati sanitari, in assenza di un idoneo presupposto giuridico, dovuta a un errore materiale del personale. Conseguentemente le strutture sanitarie devono adottare misure tecniche e organizzative utili non solo a proteggersi da attacchi informatici, ma anche a evitare “fughe” di dati sensibili come quelli sulla salute troppo spesso causate da inadeguate procedure gestionali (sulla problematica diffusa dei data breach sanitari si rinvia a Corso, La cartella clinica di un paziente consegnata a un altro paziente ovvero quando il paradosso delle due buste non vale, reperibile nel sito di questa Rivista)