Referti consegnati per errore ad una paziente omonima, agisce il Garante Privacy. Le misure da adottare per le strutture sanitarie 

Referti consegnati per errore ad una paziente omonima, agisce il Garante Privacy. Le misure da adottare per le strutture sanitarie 


Documentazione sanitaria personale consegnata per sbaglio ad un’altra paziente, succede a Torino e l'avvenimento porta al provvedimento n.41 (gennaio 2025) del Garante Privacy. Un caso che ci aiuta a comprendere gli obblighi dei titolari del trattamento dati e ad analizzare tutte le misure fondamentali per prevenire questo tipo di incidenti.  

Referti consegnati per errore ad un’altra paziente: i fatti 

Una paziente dell'Ospedale Mauriziano Umberto I ha presentato un reclamo al Garante lamentando che, a seguito di una visita di controllo, i suoi referti medici erano stati erroneamente consegnati a un'altra paziente. La reclamante è venuta a conoscenza dell'accaduto tramite una telefonata della paziente che aveva ricevuto per errore la sua documentazione sanitaria. 

L'Ospedale, in sede di istruttoria, ha attribuito l'incidente a un "accidentale e fortuito errore umano", aggravato da un contemporaneo malfunzionamento informatico. A causa di un problema al sistema, il medico non ha potuto utilizzare la consueta funzione "Firma e stampa", ma ha dovuto seguire una procedura straordinaria: firmare digitalmente il documento, aprire la schermata con l'elenco delle visite del giorno e selezionare il nominativo per la stampa. In questa fase, ha erroneamente selezionato il nominativo di un'altra paziente. 

A sostegno della natura eccezionale dell'errore, l'Ospedale ha evidenziato una sfortunata coincidenza: nell'arco di due ore, si erano presentate nello stesso ambulatorio due pazienti con il medesimo cognome, sesso e anno di nascita. Tali elementi, uniti all'elevato carico di lavoro, avrebbero indotto in errore il medico. L'Ospedale ha inoltre sottolineato che si trattava della prima e unica violazione di questo tipo dalla data di applicabilità del GDPR e di aver prontamente inviato una comunicazione interna per rafforzare l'attenzione sulle procedure di identificazione dei pazienti. 

La Valutazione Giuridica del Garante 

Nonostante le giustificazioni fornite, il Garante ha ritenuto che l'Ospedale avesse commesso un trattamento illecito di dati personali, confermando le valutazioni preliminari dell'Ufficio. 

Le violazioni contestate sono le seguenti: 

L'Ospedale ha effettuato una comunicazione di "dati relativi alla salute" a un terzo in assenza di un idoneo presupposto giuridico. I dati relativi alla salute, definiti come "dati personali attinenti alla salute fisica o mentale di una persona fisica", godono di una protezione rafforzata. La loro comunicazione a terzi è consentita solo con il consenso esplicito dell'interessato, una sua delega scritta o un'altra base giuridica prevista dalla legge, elementi assenti nel caso di specie.

L’Ospedale è incorso in una violazione del principio di integrità e riservatezza. Tale principio impone che i dati personali siano "trattati in maniera da garantire un’adeguata sicurezza (...), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali".

L’Ospedale è incorso in una violazione del GDPR. Il titolare del trattamento è obbligato a mettere in atto "misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio".

La Decisione del Garante 

Sulla base di queste violazioni, il Garante ha dichiarato l'illiceità del trattamento effettuato dall'Ospedale Mauriziano. Tuttavia, ai fini sanzionatori, l'Autorità ha qualificato l'episodio come una "violazione minore" ai sensi del Considerando 148 del GDPR. Questa valutazione si è basata su diverse circostanze attenuanti: 

  • La natura isolata dell'episodio.
  • L'assenza di dolo e la riconducibilità a una colpa lieve, considerata la concomitanza di fattori (omonimia, malfunzionamento tecnico).
  • L'elevata collaborazione dimostrata dal titolare durante l'istruttoria.
  • L'assenza di precedenti violazioni pertinenti a carico dell'Ospedale. 

In considerazione di ciò, il Garante ha ritenuto sufficiente applicare un ammonimento ai sensi dell'art. 58, par. 2, lett. b) del GDPR, un potere correttivo che non comporta una sanzione pecuniaria ma funge da avvertimento formale.  

Misure Preventive per Evitare Errori Analoghi 

L'analisi del provvedimento evidenzia che l'errore umano, sebbene sia la causa scatenante, è spesso sintomo di carenze sistemiche. Per evitare incidenti simili, le strutture sanitarie (e qualsiasi titolare che tratti dati particolari) dovrebbero implementare un insieme robusto di misure tecniche e organizzative, in linea con i principi di privacy by design e privacy by default (art. 25 GDPR). 

Rafforzare le Procedure di Identificazione del Paziente: 

Verifica Multi-Fattore: La consegna di qualsiasi documento sanitario non deve basarsi su un solo dato (es. il cognome). È imperativo implementare una procedura di verifica che richieda almeno due identificatori univoci. Oltre al nome e cognome, si dovrebbero sempre verificare la data di nascita completa e, se disponibile, il codice fiscale o un numero identificativo del paziente.

Documento di Identità: Per la consegna di referti cartacei, specialmente se contenenti dati sensibili, la procedura dovrebbe prevedere la richiesta di esibizione di un documento di identità valido.

Procedure per Omonimia: Le organizzazioni devono predisporre procedure specifiche per la gestione dei casi di omonimia. Quando il sistema rileva pazienti con dati anagrafici simili, dovrebbe attivare un alert per l'operatore, imponendo un controllo supplementare e più rigoroso prima di procedere.

Progettare Sistemi e Procedure a Prova di Errore (Privacy by Design):

Interfacce Utente Chiare: I software gestionali devono essere progettati per minimizzare il rischio di errore. Ad esempio, nella schermata di selezione del paziente, i dati identificativi completi (nome, cognome, data di nascita, codice fiscale) devono essere sempre ben visibili. L'uso di colori o icone per segnalare omonimie può essere un'efficace misura aggiuntiva.

Procedure di Emergenza Sicure: La "procedura organizzativa straordinaria" adottata dall'Ospedale si è rivelata un punto debole. Le procedure di contingenza, da attivare in caso di malfunzionamenti, devono essere progettate, testate e formalizzate con la stessa attenzione alla sicurezza dei dati delle procedure standard. Non possono rappresentare una scorciatoia che abbassa il livello di protezione.

Formazione e Sensibilizzazione del Personale: 

Formazione Continua: Non è sufficiente una comunicazione una tantum. Il personale autorizzato al trattamento dei dati sanitari deve ricevere una formazione periodica, specifica e pratica. Tale formazione deve includere simulazioni di casi critici, come la gestione di pazienti omonimi, e ribadire l'importanza di seguire scrupolosamente le procedure di verifica, anche in situazioni di stress o sovraccarico di lavoro.

Responsabilizzazione: Il personale deve essere consapevole che, sebbene l'errore umano sia possibile, la responsabilità ultima della protezione dei dati ricade sul titolare del trattamento, il quale ha il dovere di fornire strumenti e procedure idonee a prevenire tali errori.

Adozione di Misure Tecniche e Organizzative ex art. 32 GDPR: 

Audit e Test Regolari: Le procedure e i sistemi informatici devono essere sottoposti a verifiche e test regolari per valutarne l'efficacia e identificare eventuali vulnerabilità.

Tracciabilità degli Accessi (Logging): I sistemi devono registrare tutti gli accessi ai dati e le operazioni effettuate, in modo da poter ricostruire gli eventi in caso di incidente e individuare eventuali anomalie.

Gestione dei Fornitori: Se i software sono forniti da terzi, il titolare deve assicurarsi che il fornitore (responsabile del trattamento) presenti garanzie sufficienti e che il contratto stipulato definisca chiaramente gli obblighi in materia di sicurezza.

In conclusione, il caso dell'Ospedale Mauriziano dimostra che la protezione dei dati personali non può essere affidata al caso o alla sola diligenza del singolo operatore. È necessaria una cultura della sicurezza radicata nell'organizzazione, supportata da procedure chiare, sistemi ben progettati e una formazione costante, per trasformare il rischio di un "errore umano" in un evento altamente improbabile. 

Verifica subito

Vuoi verificare se la tua struttura sanitaria è conforme alle nuove regole sulla privacy digitale?

Scopri come il team di OKPrivacy può aiutarti a proteggere i tuoi dati e quelli dei tuoi pazienti.

 

Torna al blog