Han comunicado informaciones de salud a las personas malas

Las estructuras sanitarias tienen que adoptar todas las medidas técnicas y organizativas necesarias para evitar que los datos de sus pacientes sean comunicados erróneamente a otras personas. Lo ha recordado la Autoridad de Protección de Datos Italiana sancionando dos hospitales y una ASL para las violaciones de datos personales debidas no de ataques informáticos externos, sino de proceduras inadecuadas y desde simples errores materiales del personal. 

Un hospital toscano ha recibido la sanción de 10.000 euros por haber enviado mediante correo, al paciente equivocado, una relación médica incluyente las informaciones sobre la salud y la vida sexual de una otra pareja. 

También un hospital en Emilia-Romagna ha recibido la sanción de 10.000 euros por haber entregado a pacientes historiales médicos incluyentes datos y informes de otras personas, incluido un menor de edad. 

En ambos casos las sanciones han sido calculadas teniendo en cuenta que las estructuras han demostrado inmediatamente un grado de cooperación con la Autoridad de Protección de Datos Italiana que los episodios han resultado aislados y no voluntarios. Las dos estructuras han también planificado adicionales medidas técnicas y organizativas para reducir el error humano. 

Un tercer caso se refiere a una ASL de Emilia-Romagna, donde una paciente solicitó explícitamente – bajo un formulario – que ningún sujeto externo, tampoco los familiares, fueran informados sobre el estado de salud. El formulario, pero, ha sido inserido dentro del historial clínico. 

Una infermiera del reparto donde la mujer estaba siguiendo las terapias, no siendo consciente de la solicitud en vez de contactarla en el teléfono celular privado, ha llamado el número de casa registrado en la anagrafe empresarial, hablado con un familiar. 

También en este caso, la empresa ha reconocido los errores que han causado la violación de datos. Se ha comprometido a implementar un sistema informatizado de gestión de los números de teléfono de los pacientes ingresados, y a disponer de un formulario único con los cuales los pacientes podrán expresar sus eventual voluntad de comunicar informaciones sobre el propios estado de salud a terceros, introduciendo una específica política empresarial. 

La ASL que sufrió de una solicitud de reembolso de los daños por parte de la paciente, tendrá que pagar una sanción de 50.000 euros para la violación de GDPR. 

A la luz de estos episodios y otros en corso de evaluación, la Autoridad de Protección de Datos Italiana ha recordado que las informaciones sobre el estado de salud pueden ser comunicadas a terceros solo bajo la base de un presupuesto jurídico o bajo indicación de la persona interesada, previa delegación escrita. Y ha enviado todas las estructuras sanitarias al respeto de las medidas técnicas y organizativas útiles no sólo a protegerse desde ataques informáticos, sino también para evitar violaciones de datos personales, en particular lo más delicados, como aquellos en la salud – frecuentemente causadas desde inadecuadas proceduras gestionales.

FUENTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELL’ITALIA – GPDP