L’Azienda USL della Romagna è stata oggetto di una sanzione da parte dell’Autorità Garante per la protezione dei dati personali dell’ammontare di cinquantamila euro. All’origine di questa sanzione, un data breach integrato dalla stessa, dal quale possiamo trarre degli interessanti spunti di riflessione.
Data breach Azienda USL Romagna, la vicenda
Nel marzo del 2019 una paziente, ricoverata presso il reparto di ginecologia (UO ginecologia-ostetricia-PO Faenza), aveva espressamente richiesto che non fossero date informazioni sul suo stato di salute a soggetti terzi.
Per raccogliere la richiesta della paziente le era stato fornito un modulo cartaceo, sul quale era stato riportato il numero di cellulare al quale la stessa richiedeva di ricevere informazioni e che avrebbe dovuto rappresentare l’unico canale utilizzato a tal fine dall’Azienda USL della Romagna.
In seguito alle dimissioni della paziente, l’infermiera di reparto, trovandosi nella necessità di contattarla per comunicarle le terapie da seguire, ha integrato attraverso la sua condotta una violazione di dati personali, che, è bene precisarlo, l’Azienda USL della Romagna non ha ritenuto di dover comunicare al Garante, per le motivazioni esplicitate nel corso dell’attività istruttoria e sulle quali torneremo in seguito.
L’infermiera, non essendo a conoscenza del modulo compilato dalla paziente, sul quale era riportato il suo numero di cellulare personale, ha utilizzato un numero diverso, indicato invece in un precedente accesso presso la struttura e registrato nell’anagrafica aziendale della paziente.
In altri termini, rispetto all’interessata, risultavano presenti due diversi contatti telefonici e, solo all’interno della cartella clinica era presente il modulo con il quale la stessa chiedeva espressamente che il suo stato di salute, in relazione all’ultimo ricovero in corso, non fosse comunicato a terzi.
Il data breach si è concretizzato nel momento in cui a quel numero ha risposto il marito della paziente, a cui l’infermiera ha riferito informazioni personali riguardanti la stessa.
Come l’Azienda USL Romagna si è difesa dall’accusa di data breach
L’USL della Romagna, nel corso dell’attività istruttoria aperta dal Garante a seguito della violazione, ha presentato alcuni elementi che consentono di comprendere meglio la gestione della vicenda, comprese le misure di sicurezza implementate o in fase di implementazione.
L’USL ha fatto presente che gli unici dati comunicati al marito della paziente hanno riguardato il reparto in cui la stessa era stata ricoverata e non anche i motivi del ricovero e che il marito della paziente aveva appreso, da soggetti non riconducibili alla Azienda USL della Romagna, l’avvenuto ricovero e il motivo specifico dello stesso.
Per tale ragione l’USL non ha ritenuto necessario procedere con la comunicazione della violazione al Garante, ritenendo la condotta dell’infermiera non particolarmente lesiva della privacy della paziente.
Ha chiarito inoltre che l’infermiera si è trovata in una situazione nella quale non aveva margine di manovra, dal momento che aveva necessità di informare la paziente sul contenuto della lettera di dimissione e in particolare sull’assunzione di un farmaco e le aveva chiesto a tal fine di attenderla perché chiamata da un’altra degente. La paziente però era andata via senza avvertire, facendo nascere l’esigenza per la struttura di ricontattarla con urgenza, affinché ricevesse le informazioni necessarie sul farmaco da assumere.
La USL ha garantito di aver adottato misure tecniche e organizzative, sia in una fase antecedente la violazione, sia successive, e quindi volte ad attenuarne gli effetti. Le misure organizzative, già in atto presso la struttura, riguardano l’individuazione dell’infermiera prima come incaricata e, a seguito dell’applicazione del GDPR, come soggetto autorizzato al trattamento, e la messa a disposizione delle istruzioni operative su come trattare i dati personali in conformità al GDPR. Inoltre, l’Azienda ha assicurato al Garante di procedere regolarmente alla formazione del personale.
Dal punto di vista tecnico la USL ha attuato uno studio di fattibilità per una rimodulazione della gestione dei numeri di telefono dei pazienti ricoverati e ha concordato col fornitore del software gestionale di apportare modifiche allo stesso che porteranno, tra l’altro, il nuovo Tab Privacy ad essere l’unico punto di gestione e consultazione dei dati telefonici per il singolo evento di ricovero, eliminando o oscurando le informazioni dei riferimenti telefonici da tutti gli altri archivi informatici relativi al ricovero e dal frontespizio della cartella clinica.
I motivi della sanzione da parte del Garante
Il Garante, a conclusione dell’attività istruttoria, ha ritenuto di dover procedere alla sanzione nei confronti dell’Azienda USL della Romagna. Vediamo nel dettaglio i motivi alla base di questa determinazione.
Innanzitutto, le informazioni sullo stato di salute possono essere riferite solo all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso, previa delega scritta di quest’ultimo; in questo caso la comunicazione è avvenuta in assenza di questa condizione, anzi alla presenza di uno specifico diniego da parte della paziente.
Inoltre, la violazione deve considerarsi integrata perché la condotta dell’infermiera ha comportato l’esplicita correlazione, da parte di un soggetto terzo non legittimato (suo marito), tra l’interessata e un determinato reparto di degenza, da cui si può desumere uno specifico stato di salute (in violazione degli artt. 5, par. 1 lett. a) e 9 del Regolamento)
Ancor di maggiore interesse è la considerazione che l’interessata si era sottoposta a un trattamento terapeutico di interruzione volontaria di gravidanza, per il quale la legge richiede che venga assicurato a un livello più alto il rispetto della dignità e della riservatezza della paziente, al punto che spetta solo a quest’ultima decidere se coinvolgere, o meno, il padre del nascituro nella decisione di interrompere la gravidanza.
Conclusioni
La vicenda che ha visto protagonista la USL della Romagna fa capire che, anche per una struttura che ha implementato misure tecniche e organizzative volte a tutelare il paziente, mostrando quindi di tendere verso la compliance al GDPR, il rischio di incappare in un data breach è sempre elevato.
In questo caso la totale informatizzazione dei processi, in luogo di un sistema misto (cartaceo/informatico) di gestione del dato, avrebbe potuto fare la differenza ed evitare la comminazione della sanzione.
A una misura di sicurezza tecnica deve sempre seguire la formazione del personale, in modo che lo stesso sia informato sui flussi di trattamento dei dati personali e sulle modalità di gestione degli stessi, riducendo il rischio che dati personali possano essere comunicati a terzi, violando la volontà e la privacy dell’interessato.