Quando una PEC sbagliata costa una sanzione: gli errori (troppo) comuni nella sanità digitale

Quando una PEC sbagliata costa una sanzione: gli errori (troppo) comuni nella sanità digitale

Nel mondo sanitario, basta poco per commettere una violazione del GDPR. Un indirizzo email sbagliato, un referto pubblicato senza anonimizzazione, un documento caricato su un portale senza le dovute cautele. E quando si parla di dati sensibili, come quelli relativi alla salute, le conseguenze possono essere pesanti — sul piano giuridico, reputazionale e organizzativo.

A ricordarcelo è la Relazione 2024 del Garante per la protezione dei dati personali (Doc. web n. 10148845), presentata il 15 luglio scorso. Nel documento, il Garante evidenzia una lunga serie di violazioni legate alla comunicazione impropria o disattenta dei dati da parte di soggetti sanitari: ospedali, ASL, laboratori, cliniche, ambulatori.

Un’analisi chiara e ben documentata è quella dell’Avv. Nadia Martini, Head of Data Protection, Cybersecurity & Innovation presso Rödl & Partner, pubblicata su Quotidiano Sanità il 18 luglio 2024.

“Numerosi procedimenti sanzionatori hanno riguardato errori nella gestione della comunicazione con gli utenti: invio di e-mail contenenti dati personali ad indirizzi errati, pubblicazione online di documenti sanitari senza anonimizzazione, smarrimento di cartelle cliniche, referti accessibili senza autenticazione”, spiega l'avv. Martini.

Esempi concreti di errori sanzionati

  • Email PEC con allegati sensibili indirizzati al destinatario sbagliato
  • Referti o relazioni pubblicati online su siti istituzionali senza rimozione dei dati identificativi
  • Cartelle cliniche smarrite o accessibili senza password
  • Dati utilizzati per finalità promozionali o accademiche senza il consenso dell’interessato

Tutti questi comportamenti, anche se commessi in buona fede, integrano violazioni del GDPR e possono comportare sanzioni significative, come mostra l’attività ispettiva del Garante.

Le 3 regole base da non dimenticare

  1. Verifica l'identità del destinatario prima di inviare documenti via email
  2. Rimuovi ogni dato identificativo prima di pubblicare documenti sanitari online
  3. Richiedi sempre un consenso informato, specifico e documentato, soprattutto per attività non strettamente cliniche

Con OKPrivacy previeni errori (e sanzioni)

Con OKPrivacy, il servizio sviluppato dal network legale Consulcesi & Partners, supportiamo quotidianamente strutture sanitarie nella messa in sicurezza dei processi comunicativi:

  • invio sicuro di dati sanitari

  • controllo sugli accessi e le pubblicazioni

  • gestione corretta del consenso

  • formazione del personale per evitare errori banali (ma pericolosi)

👉 Contattaci per una consulenza personalizzata e rendi davvero sicuri i tuoi flussi di comunicazione sanitaria.

Torna al blog