Il Garante per la protezione dei dati personali ha sanzionato complessivamente per 70.000 euro la società che gestisce un ospedale a seguito della distruzione accidentale e non autorizzata di un campione di tessuto prelevato a una paziente durante un intervento chirurgico.
Il campione, fondamentale per l’esame istologico e indissolubilmente legato all’identità della donna, è stato erroneamente smaltito, configurando una grave violazione della normativa privacy (GDPR).
L’intervento del Garante nasce dal reclamo della paziente stessa, che lamentava non solo la perdita del reperto non replicabile ma anche la mancata adozione di adeguate misure di sicurezza da parte della struttura sanitaria.
Violazione del Principio di Integrità e Sicurezza dei Dati Sanitari
La distruzione del materiale biologico, che rientra nella categoria dei dati sanitari (dati particolari e sensibili), è stata considerata una palese violazione del principio di integrità e riservatezza dei dati personali e degli obblighi di sicurezza (Art. 32 GDPR).
- Causa Accertata: Il Garante ha appurato che l’incidente era dovuto a un errore materiale scaturito dalla mancanza di comunicazione e coordinamento tra il chirurgo e l’infermiera di sala operatoria.
- Misure Insufficienti: L’ospedale, in qualità di titolare del trattamento, non aveva implementato procedure e cautele specifiche volte a garantire la corretta gestione e tracciabilità di reperti biologici così delicati.
- Gravità: L’Autorità ha ritenuto l’accaduto particolarmente grave, considerando che il reperto era non replicabile e la sua distruzione ha esposto la donna a rischi concreti per la propria salute.
Per questa specifica violazione legata alla sicurezza dei dati e alla negligenza operativa, è stata comminata una prima sanzione di 50.000 euro.
Omessa Notifica del Data Breach all’Autorità
La seconda grave violazione contestata riguarda il mancato rispetto dell’obbligo di notifica all’Autorità.
- Obbligo GDPR: Il Regolamento europeo (GDPR) impone al titolare del trattamento di notificare al Garante qualsiasi data breach (violazione dei dati personali) che possa comportare un rischio per i diritti e le libertà degli interessati.
- Condotta dell’Ospedale: La società si è limitata ad avvertire la paziente interessata dell’accaduto e ad avviare un follow up radiologico, omettendo di notificare la violazione al Garante come stabilito dalla normativa.
Per l’inosservanza dell’obbligo di notifica del data breach, è stata inflitta una seconda sanzione pari a 20.000 euro.
Smarrimento del DVD: Responsabilità non Accertata
Nel reclamo della paziente era stata lamentata anche la perdita di un DVD contenente una risonanza magnetica, ma in questo caso il Garante non è riuscito a determinare con certezza se la responsabilità dello smarrimento fosse imputabile alla struttura ospedaliera o alla paziente stessa.
L’azione sanzionatoria si è quindi concentrata esclusivamente sulle violazioni accertate relative al campione biologico e all’omissione di notifica.
Il provvedimento serve da monito per tutte le strutture sanitarie, ribadendo l’assoluta necessità di adottare protocolli di sicurezza stringenti e procedure chiare per la gestione dei dati sanitari, soprattutto per i reperti biologici non replicabili.
