Un’infermiera ha rivelato al marito di una paziente le sue condizioni di salute nonostante la donna non volesse. Il caso di un’azienda sanitaria multata dal Garante privacy riaccende il dibattito sull’importanza di introdurre tecnologie e sviluppare competenze per evitare violazioni.
Sì certo, è possibile comunicare a terze persone le informazioni sullo stato di salute di qualcuno, ma solo sulla base di un presupposto giuridico o su indicazione della persona interessata, previa una delega scritta che ne confermi la volontà.
Per evitare errori, digitalizzazione dei processi e formazione del personale possono essere decisivi. Ma vediamo cosa è successo in Emilia Romagna.
Il caso: una comunicazione non voluta
Il Garante privacy è intervenuto sanzionando un’Azienda sanitaria dell’Emilia Romagna colpevole di aver comunicato, per l’errore di un’infermiera, le condizioni di una paziente al marito contro la sua volontà. Ma veniamo al fatto.
Una donna viene ricoverata presso il reparto di ginecologia di un ospedale e chiede alla struttura che non vengano date informazioni sul suo stato di salute a soggetti terzi e forniva a tal fine il suo numero di telefono personale, da utilizzare per successivi contatti da parte dell’Azienda.
Successivamente alle dimissioni della paziente, l’infermiera di reparto, nel tentativo di contattare quest’ultima per fornirle indicazioni sulla terapia da seguire, si trova a parlare col marito. L’operatrice sanitaria aveva, infatti, erroneamente utilizzato il numero di telefono indicato sulla cartella clinica dell’interessata, registrato nell’anagrafica della Azienda, fornito dalla donna in occasione di un precedente contatto con la struttura sanitaria e non corrispondente con quello successivamente indicato da lei, riportato all’interno della cartella clinica.
La normativa
Come abbiamo visto, la disciplina prevede che le informazioni sullo stato di salute possano essere riferite solo al diretto interessato e possano essere comunicate a terzi solo sulla base di un presupposto giuridico o su indicazione dell’interessato stesso, previa delega scritta.
In particolare, la legge prevede che le strutture sanitarie debbano adottare idonee misure per garantire il rispetto dei diritti, delle libertà fondamentali e della dignità degli interessati, nonché del segreto professionale. Tali misure comprendono, in particolare:
- il rispetto della dignità dell’interessato;
- la messa in atto di procedure, anche di formazione del personale, dirette a prevenire nei confronti di estranei un’esplicita correlazione tra l’interessato e reparti o strutture, indicativa dell’esistenza di un particolare stato di salute.
La difesa dell’Azienda
L’Azienda ha ritenuto che la violazione non poteva essere attribuita né alla colpa né al dolo dell’Azienda stessa avendo, in primo luogo, l’interessata stessa contribuito al verificarsi degli eventi, allontanandosi dal reparto senza attendere il ritorno dell’infermiera.
Con riferimento alla violazione e al suo impatto sui diritti e le libertà fondamentali della donna, l’Azienda ha ritenuto di non aver prodotto conseguenze negative per l’interessata.
Inoltre, ha dichiarato che l’infermiera era autorizzata al trattamento dei dati personali.
L’Azienda ha inoltre concluso un progetto per la riorganizzazione informatica dei numeri di telefono dei pazienti. Tuttavia, a causa dell’emergenza Covid-19, il nuovo sistema non è ancora operativo. In più, ha predisposto una modulistica unica aziendale “con la quale i pazienti possono esprimere la loro volontà di comunicare o meno i propri dati di salute ai terzi” e introdotto una policy aziendale per “le corrette modalità di comunicazioni a terzi delle informazioni di salute dei pazienti ricoverati”.
L’intervento del Garante
L’infermiera ha utilizzato un numero di telefono diverso rispetto a quello indicato dalla paziente, che ha quindi comportato l’esplicita correlazione del marito, tra la moglie e un determinato reparto di degenza (ginecologia), rivelando così lo stato di salute della donna.
Per il Garante, la condotta è stata causata dall’inefficacia delle misure tecniche e organizzative che si sono dimostrate inadeguate a tutelare la dignità degli interessati e ad assicurare il rispetto della volontà dei pazienti di non far conoscere, a soggetti terzi, notizie circa il proprio stato di salute. Anche se l’infermiera era autorizzata al trattamento dei dati personali, le misure tecniche erano inadeguate, soprattutto in un contesto ospedaliero estremamente “delicato” come quello ginecologico.
Conclusioni
Il Garante ha sanzionato l’Azienda con una multa di 50.000,00€ (cinquantamila euro).
Ha poi ribadito la necessità di adottare misure tecniche e organizzative utili non solo a proteggersi da attacchi informatici, ma anche a evitare la violazione dei dati personali sulla salute.
Altro elemento fondamentale è la formazione del personale, chiave del successo del sistema di gestione privacy. Quindi, conoscenza e dematerializzazione dei documenti unita ad adeguate soluzioni informatiche, sono la vera sfida che le aziende sanitarie pubbliche e private devono raccogliere e vincere nell’immediato.
