Privacy, il Garante sanziona APSS: 75 mila euro di multa per diffusione di referti ai… medici
Il Garante per la protezione dei dati personali ha notificato all’Azienda provinciale per i servizi sanitari una sanzione amministrativa di 150 mila euro. La multa è stata poi ridotta del 50% perché, in base alla normativa, è stata pagata entro 30 giorni dalla notifica. L’intervento dell’Autorità fa riferimento ad un cosiddetto «data breach» causato da un incidente informatico imputabile ad una causa accidentale durante un’attività di revisione e ristrutturazione dei sistemi informativi.
Il fatto è avvenuto nel 2019. Non appena venuta a conoscenza dell’accaduto, Apss ha immediatamente risolto la causa dell’errore informatico, implementando e pianificando delle azioni di miglioramento per ridurre il rischio di errori futuri. Nello specifico, per guasto nella procedura informatica di pubblicazione dei referti, sono stati resi disponibili ad alcuni medici di medicina generale documenti sanitari dei quali non era stata autorizzata la visualizzazione da parte degli assistiti.
La trasmissione dei dati è avvenuta perché il sistema informatico ha applicato per la comunicazione dei dati con il medico di famiglia il consenso generale precedentemente espresso dagli interessati e non l’oscuramento successivamente richiesto dagli stessi al momento della singola prestazione e correttamente inserito nel Sio. I fatti hanno riguardato 293 documenti sanitari di 175 assistiti, numero di documenti relativamente esiguo se rapportato agli oltre 4 milioni di documenti inviati ai medici e pediatri di famiglia nell’anno 2019. La ridotta incidenza della casistica sul piano numerico e il verificarsi degli eventi in un arco temporale estremamente limitato (circa 8 ore) hanno fatto sì che la problematica non fosse facilmente rilevabile dai test informatici.
I medici a cui è stata erroneamente abilitata la visibilità dei documenti sono direttamente destinatari di un obbligo di riservatezza impostogli dal codice di deontologia medica che prevede, tra i doveri del medico, l’obbligo di mantenere il segreto su tutto ciò di cui è a conoscenza in ragione della propria attività professionale.
Apss aveva immediatamente notificato al Garante la violazione di dati personali ai sensi dell’art. 33 del Regolamento UE 2016/679.