Sbagliare l’invio postale di un referto medico rappresenta una grave violazione dei diritti fondamentali delle persone e per questo motivo l’Autorità deve necessariamente applicare una sanzione. Anche se l’errore materiale è stato diligentemente comunicato dal titolare del trattamento all’organo centrale di controllo ai sensi del GDPR.
Lo ha evidenziato il Garante per la protezione dei dati personali con l’ordinanza ingiunzione numero 46 dell’11 febbraio 2021. Una struttura sanitaria ha confuso per omonimia i dati di due pazienti inviando un referto medico all’attenzione del soggetto sbagliato. Appena si è avuto evidenza dell’errore il titolare del trattamento ha prontamente notiziato l’interessato ed ha adottato misure interne organizzative notificando anche all’Autorità l’incidente ai sensi dell’articolo 33 del GDPR. A seguito del ricevimento dell’auto denuncia il Garante ha avviato una istruttoria che si è conclusa con l’applicazione della sanzione di 5.000 euro e la pubblicazione dell’ordinanza ingiunzione. Per quanto attiene specificamente all’ambito sanitario, specifica l’Autorità, la disciplina in materia di protezione dei dati personali prevede «che le informazioni sullo stato di salute possano essere comunicate unicamente all’ interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso previa delega scritta di quest’ultimo. In particolare, l’articolo 83 del codice, prevede, fra altro, che le strutture pubbliche e private erogatrici di prestazioni sanitarie debbano adottare idonee misure per garantire, nell'organizzazione delle prestazioni e dei servizi, il rispetto dei diritti, delle libertà fondamentali e della dignità degli interessati, nonché del segreto professionale, fermo restando quanto previsto dalle leggi e dai regolamenti in materia di modalità di trattamento dei dati sensibili e di misure minime di sicurezza». Anche se si tratta di un errore relativo ad un solo paziente, senza dolo o particolare negligenza e la questione è stata portata all’attenzione del Garante direttamente dal titolare del trattamento, a parere dell’Autorità resta necessario applicare una sanzione amministrativa.
GarantePrivacy_2021_46