Un ammonimento del Garante per la privacy per due limitate violazioni di sicurezza, il cosiddetto data breach, di dati sanitari, segnalate all'Autorità dagli Enti coinvolti, una Asl e un Policlinico, che come prescritto dal Regolamento Ue avevano notificato direttamente la violazione a danno di alcuni loro pazienti.
L'ammonimento è uno dei nuovi poteri attribuiti dal Regolamento europeo alle Autorità di protezione dei dati che consente alle stesse, in presenza di una violazione minore o qualora la sanzione pecuniaria da imporre dovesse costituire un onere sproporzionato per una persona fisica, di rilevare la violazione e annotarla nel registro tenuto dall’Autorità, anziché adottare una sanzione pecuniaria. Ciò consente, in caso di recidiva, di tenerne conto ai fini della quantificazione delle possibili ulteriori sanzioni.
Nel caso segnalato dalla Asl, a un paziente che aveva richiesto copia cartacea della propria cartella clinica era stata consegnata per errore quella di un'altra persona. Rilevata l'indebita comunicazione di dati sulla salute di un paziente a un soggetto terzo è stato considerato che la documentazione, come dichiarato dalla stessa Asl, era stata subito riconsegnata. Il Garante ha così qualificato il caso come "violazione minore" senza adottare ulteriori provvedimenti, tenuto anche conto del fatto che l'episodio è stato unico e isolato, determinato da un errore umano di imbustamento, procedura peraltro corretta per il futuro.
Nella segnalazione ricevuta dal Policlinico, un caso simile: un paziente aveva rinvenuto nel proprio Fascicolo Sanitario Elettronico-FSE un referto relativo a un'altra persona. Esaminate le circostanze concrete, il Garante ha qualificato il fatto come "violazione minore" ritenendo sufficiente ammonire il Policlinico. L'episodio infatti, unico e isolato, era stato causato anche stavolta da un errore umano non intenzionale. La struttura sanitaria ha adottato accorgimenti organizzativi e iniziative formative per sensibilizzare il personale al rispetto delle disposizioni e delle procedure necessarie per la protezione dei dati.
