di Antonio Ciccia Messina
Uomo anello debole della catena di sicurezza privacy. L’errore umano sta alla base di tre sanzioni irrogate dal Garante della privacy a tre aziende sanitarie. In tutti e tre i casi è capitato che alcuni dipendenti hanno comunicato dati sanitari a persone sbagliate, per posta o per telefono. Vediamo i tre episodi, che impongono di fare attenzione non solo alle reti informatiche, ma anche alle procedure interne. Nel primo caso un dipendente ha spedito all’indirizzo sbagliato una relazione medica contenente le informazioni sulla salute e la vita sessuale di una coppia: risultato 10 mila euro di sanzione. In una seconda vicenda si è trattato di consegna a persone sbagliate di cartelle cliniche contenenti dati e referti riferibili ad altre persone, incluso un minore. Il terzo caso ha riguardato una paziente, che aveva esplicitamente richiesto, sottoscrivendo un apposito modulo, che nessun soggetto esterno, neppure i familiari, fosse informato sul suo stato di salute. Il modulo, però, era stato inserito all’interno della cartella clinica. Un’infermiera del reparto dove la donna stava seguendo delle terapie, non essendo a conoscenza della richiesta, invece che contattarla sul telefono cellulare privato, aveva chiamato il numero di casa registrato nell’anagrafe aziendale, parlando così con un familiare. La Asl ha subito anche una richiesta di risarcimento danni da parte della paziente e, intanto, ha ricevuto una sanzione di 50 mila euro. Il Garante ha in tutti e tre i casi ricordato che le informazioni sullo stato di salute possono essere comunicate a terzi solo sulla base di un presupposto giuridico o su indicazione della persona interessata, previa delega scritta. Senza il benestare o norma di legge la comunicazione viola la privacy. In tutti e tre i casi (provvedimenti 29, 30 e 36 del 27/1/2021) il Garante ha contestato l’art. 5 del regolamento Ue sulla privacy 2016/679 (Gdpr), da solo nei primi due casi e unitamente ad altre disposizioni nel terzo episodio. Questo rilievo è particolarmente preoccupante, perché l’art. 5 Gdpr che è una norma del tutto vaga quanto a dettaglio di condotte doverose o vietate. L’art. 5 si limita a indicazioni generali sul rispetto dei principi di sicurezza e di correttezza del trattamento. Sulla base di questo articolo si possono contestare e sanzionare tutte le condotte possibili, anche quelle non predeterminate in una norma specifica, che siano ritenute in violazione dei principi generali. Con un’ulteriore conseguenza: tutte le condotte rispetto a qualunque aspetto della privacy possono essere sanzionate con la sanzione più grave fino a 20 mln o, per le imprese, fino al 4% del fatturato mondiale annuo: in sostanza c’è trasposizione delle sanzioni sulla fascia più alta. La contestazione dell’art. 5 permette, infatti, di sganciarsi dalla prima fascia di sanzioni (fino a 10 mln o, per le imprese, fino al 2% del fatturato).
© Riproduzione riservata
Fonte: