Las estructuras sanitarias deben adoptar todas las medidas técnicas y organizativas necesarias para evitar que los datos personales de sus pacientes sean comunicados accidentalmente a otras personas. Así lo ha recordado la Autoridad Italiana de Protección de Datos, que ha sancionado a dos hospitales y a una ASL debido a errores causados no por ataques de hackers, sino por procedimientos inadecuados y simples errores humanos.
Un hospital de la Toscana ha recibido una sanción de 10.000 euros por haber enviado, por correo electrónico, a un paciente equivocado, un informe médico que incluía información sobre su salud y sobre la vida sexual de otra pareja.
También un hospital de Emilia-Romaña ha recibido una sanción de 10.000 euros por haber enviado a pacientes historias clínicas que incluían datos e historiales médicos de otros pacientes, en un caso uno de ellos menor de edad. En ambos casos, las sanciones se han calculado teniendo en cuenta que las estructuras sanitarias han demostrado inmediatamente un alto nivel de cooperación con la Autoridad Italiana de Protección de Datos y que los episodios han sido aislados y no involuntarios.
Las dos estructuras también han previsto medidas técnicas y organizativas adicionales para reducir el error humano.
Un tercer caso se refiere a una ASL de Emilia-Romagna, donde una paciente ha pedido explícitamente – suscribiendo un formulario específico – que no se informe a cualquier persona, incluso a sus familiares, sobre su estado de salud. El formulario se insertó en la historia clínica. Una enfermera en su depósito, no conocía la petición de la mujer, y por ello se ha puesto en contacto con ella no en su teléfono privado, sino en el número de casa registrado en el registro corporativo, y así ha hablado con un familiar.
También en este caso, la empresa ha comprendido sus errores que han provocado la violación de los datos. Por ello, se comprometió a implantar un sistema informático de gestión de los números de teléfono de los pacientes hospitalizados, y a elaborar un formulario único con el que los pacientes podrán expresar su deseo de comunicar información sobre su estado de salud a terceros, introduciendo una política específica de la empresa. La ASL, que también sufrió una reclamación por daños y perjuicios por parte del paciente, tendrá que pagar una multa de 50.000 euros por infringir el GDPR.
A la luz de estos episodios y de otros que aún se están evaluando, la Autoridad Italiana de Protección de Datos recordó que la información sobre el estado de salud sólo puede comunicarse a terceros en virtud de un requisito legal o por indicación del interesado, previa autorización por escrito. Y ha pedido a todos los proveedores de servicios sanitarios que respeten plenamente los principios de equidad y transparencia, adoptando medidas técnicas y organizativas útiles no sólo para protegerse de los ciberataques, sino también para evitar las violaciones de datos personales -especialmente los más sensibles, como los datos sanitarios- que con demasiada frecuencia se producen por procedimientos de gestión inadecuados.
FUENTE: FEDERPRIVACY