La vicenda
La signora A. fa sottoporre la figlia maggiorenne C. e la figlia minorenne B. a una serie di esami diagnostici presso il centro medico D.; una volta terminati gli accertamenti medici, la signora A. fornisce all’operatore incaricato i dati necessari per ricevere a mezzo e-mail il referto relativo a entrambe le figlie.
Dopo un paio di giorni la signora riceve un’e-mail dal centro medico D., con cui le vengono trasmessi i referti relativi agli esami della figlia maggiorenne C., ma non quelli della piccola B. La signora A. chiama immediatamente il centro medico D. e viene a conoscenza del fatto che il referto relativo alla piccola B. è stato inviato con un’altra e-mail, trasmessa per errore a una terza persona.
L’operatrice del centro medico D. contatta immediatamente l’erroneo destinatario del referto della piccola B., informandolo dell’errore e chiedendo l’immediata cancellazione del messaggio; il destinatario, dal canto suo, riferisce all’operatrice del centro medico D. di non avere aperto il messaggio, avendo compreso l’errore di invio, e di averlo immediatamente cancellato.
L’operazione relativa alla chiamata del destinatario errato e all’accertamento dell’avvenuta cancellazione dell’e-mail contenente i referti della piccola B. è durata in tutto una decina di minuti.
Il centro medico D., subito dopo l’episodio, ha immediatamente preso dei provvedimenti per scongiurare il verificarsi di future situazioni simili, predisponendo:
- Una settimana di formazione e istruzione specifica per tutti i dipendenti, con richiamo a una maggiore attenzione da parte degli utenti autorizzati nell’invio dei referti e della documentazione,
- L’implementazione del servizio di refertazione online con inserimento di codice criptato da fornire ai clienti per l’accesso alla documentazione.
La signora A., ciononostante, decide di sporgere formale reclamo al Garante Privacy per la vicenda, in quanto i referti degli esami diagnostici relativi alla figlia minore B. contenevano i dati sanitari di quest’ultima nonché tutti i dati anagrafici, ed erano inoltre stati allegati nell’email in maniera non criptata, senza che per la loro visione fosse predisposta un’apposita password di accesso.
La normativa violata
Il centro medico D. ha violato gli obblighi di cui all’art. 32 del GPDR, poiché non ha adottato misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi presentati dal trattamento dei dati personali e di quelli sanitari.
L’attività di refertazione online, in particolare, è soggetta a una speciale disciplina contenuta Linee Guida in tema di referti on-line del 19 novembre 2009, applicabili sia alle strutture pubbliche che alle private (come il centro medico D., nel caso di specie).
Secondo le Linee Guida il referto può essere inviato sulla casella di posta elettronica del paziente (o di chi ne fa le veci, nel caso di minore, interdetto, inabilitato) solo dietro richiesta di quest’ultimo, purché vengano adottate le seguenti misure di sicurezza:
- il referto deve essere spedito esclusivamente in forma di allegato a un messaggio e-mail, mai come testo compreso nella body part del messaggio;
- il file contenente il referto deve essere protetto con modalità idonee a impedire l’illecita o fortuita acquisizione delle informazioni trasmesse da parte di soggetti diversi da quello cui sono destinati, come ad esempio una password per l’apertura del file o in una chiave crittografica, da comunicare agli interessati tramite dei canali di comunicazione differenti da quelli utilizzati per la spedizione dei referti (ad esempio consegna con un’altra email oppure consegna in busta chiusa al momento dell’esecuzione della visita o dell’esame). Tale cautela può non essere osservata solo se il paziente ne faccia espressa e consapevole richiesta; ciò in quanto l’invio del referto alla casella di posta elettronica indicata dall’interessato non configura un trasferimento di dati sanitari tra diversi titolari del trattamento, bensì una mera comunicazione di dati tra la struttura sanitaria e l’interessato effettuata su specifica richiesta di quest’ultimo;
- gli indirizzi e-mail devono essere convalidati tramite un’apposita procedura di verifica on-line, in modo da evitare la spedizione di documenti elettronici, pur protetti con tecniche di cifratura, verso soggetti diversi dall’utente richiedente il servizio.
Il centro medico D., fino al momento in cui ha eseguito l’erroneo invio del referto della piccola B. a un’e-mail diversa da quella della madre, non ha adottato alcuna cautela per evitare fenomeni del genere, violando così sia l’art. 32 del GDPR che le Linee guida in materia di referti on-line; i comportamenti virtuosi e conformi alla normativa sono stati adottati solo successivamente all’errore commesso, anche se in maniera molto tempestiva (una settimana dopo l’evento).
Come è andata a finire
Il Garante Privacy, nonostante la violazione dei dati personali sia durata solo una decina di minuti e il centro medico D. abbia adottato un comportamento virtuoso sia nella gestione dell’evento critico che nell’adozione di cautele per scongiurare tali fenomeni in futuro, ha comunque emesso nei confronti del centro medico una sanzione amministrativa pecuniaria di 7.000 euro, calcolata in base al fatturato del centro nell’anno precedente alla violazione commessa.
Questa vicenda costituisce un esempio di come l’adeguamento privacy, soprattutto in materia sanitaria, non rappresenti un costo ma un’opportunità per medici e aziende pubbliche/private, al fine di evitare che errori evitabili possano avere dei costi economici così elevati.