Referti sanitari online: le linee guida del Garante Privacy

Al momento stai visualizzando Referti sanitari online: le linee guida del Garante Privacy

Referti sanitari online: nel provvedimento sanzionatorio emesso contro un laboratorio di analisi, il Garante Privacy ha ricordato le linee guida sul tema approvate nel 2009.

Referti sanitari online: la sanzione a Bios SPA

Una cittadina ha presentato reclamo al Garante per la Protezione dei dati personali dopo che un laboratorio di analisi ha inviato un referto sanitario della figlia al destinatario sbagliato. In dettaglio la signora aveva telefonato al laboratorio di analisi lamentando, inizialmente, di aver ricevuto via email soltanto uno dei due referti che avrebbe dovuto ricevere. Mancava all’appello un secondo referto, riferibile all’altra figlia. L’operatore verificava effettivamente il mancato recapito del secondo referto a causa di un banale errore umano: la segreteria aveva dimenticato di allegarlo all’email.

L’operatore effettuava quindi un nuovo invio con l’allegato mancante ma sbagliando il destinatario. Da qui origina il reclamo della signora al Garante Privacy.

L’istruttoria del Garante accerta l’invio errato dei referti sanitari

Il Garante, a seguito del reclamo, ha avviato apposita istruttoria. Ha potuto verificare come, effettivamente, l’errore dell’operatore avesse esposto dati sensibili (personali e sanitari) della figlia a un soggetto terzo. Inviando, tra le altre cose, il referto in chiaro, senza alcuna password di accesso richiesta per la visione.

Il Garante ha ritenuto utile ricevere alcune informazioni dall’azienda, la quale ha confermato l’errore dell’operatore. Ha specificato anche come l’operatore, una volta presa coscienza dell’errore, abbia telefonato immediatamente al destinatario errore richiedendo esplicita e immediata cancellazione dell’email e dei suoi allegati. Il laboratorio specificava anche di aver ricevuto rassicurazioni dalla destinataria errata, la quale ha confermato di non aver aperto il messaggio nell’evidenza che non fosse a lei destinato.

Infine l’azienda ha dimostrato tutte le azioni di mitigazione implementate successivamente all’evento:

“l’azienda nel rispetto del principio di accountability ed in ossequio all’art. 32 ha implementato con riferimento alla refertazione online con password ed al fine di ridurre il rischio residuo, una nuova procedura che prevedrà nel più breve tempo possibile (…) l’adozione delle password per l’invio dei referti online”

si legge nel provvedimento.

Per saperne di più > Sui dati sanitari non si scherza: nuova sanzione del Garante

Il Garante Privacy “rispolvera” le linee guida del 2009 per i referti sanitari on-line

Il Garante ha optato per sanzionare l’azienda con un’ammenda pari a 7000 euro. Nel calcolare il giusto ammontare della sanzione ha tenuto di conto sia delle misure correttive già poste in atto dall’azienda sia dal fatto che i dati erroneamente inviati non sarebbero stati “violati” da terzi.

Il provvedimento riporta però anche un riferimento molto interessante, ovvero “Linee guida in tema di referti on-line” del 19 novembre 2009. Queste linee guida sono un riferimento essenziale, sia in ambito pubblico che privato, per valutare l’adeguatezza delle misure di sicurezza messe in campo per proteggere i dati e il loro trattamento.

Inutile ribadire, forse, come tali linee guida si articolino attorno al principio di privacy by design. Non a caso prescrivono l’obbligatorietà dell’ottenimento del consenso preventivo prima dell’invio in forma digitale di qualsiasi referto o informazione. Così come ribadiscono il dovere, secondo il principio di accountability, di dimostrare tutti i criteri di validità del consenso ottenuto.

Per approfondire > App e siti web di contatto tra medici e pazienti: l’intervento del Garante

Altre prescrizioni delle linee guida 2009 per i referti sanitari sono:

  • informare l’interessato delle vie di refertazione alternative all’invio del referto sanitario via email;
  • garantire la possibilità di esprimere un consenso “permanente” evitando di dover richiedere l’accettazione ad ogni invio;
  • prevedere e facilitare la possibilità di revoca del consenso prestato;
  • inviare il referto come allegato e mai nel corpo del messaggio;
  • implementare misure di protezione dell’allegato (password);
  • impostare meccanismi di convalida degli indirizzi email attraverso sistemi di verifica onde evitare invii a destinatari erronei.

Il provvedimento completo è disponibile qui.