Les structures de santé doivent adopter toutes les mesures techniques et organisationnelles nécessaires pour éviter que les données de leurs patients ne soient communiquées à tort à d’autres personnes. L’autorité italienne de protection des données l’a rappelé en sanctionnant deux hôpitaux et une ASL pour des violations de données personnelles dues non pas à des attaques informatiques externes, mais à des procédures inadéquates et à de simples erreurs matérielles du personnel.
Un hôpital de Toscane a été condamné à une amende de 10 000 euros pour avoir envoyé par courrier, au mauvais patient, un rapport médical comprenant des informations sur la santé et la vie sexuelle d’un autre couple.

Un hôpital d’Émilie-Romagne a également été condamné à une amende de 10 000 euros pour avoir communiqué à des patients des dossiers médicaux comprenant des données et des rapports d’autres personnes, dont un mineur.
Dans les deux cas, les sanctions ont été calculées en tenant compte du fait que les structures ont immédiatement démontré un certain degré de coopération avec l’autorité italienne de protection des données, que les épisodes étaient isolés et non volontaires. Les deux structures ont également prévu des mesures techniques et organisationnelles supplémentaires pour réduire l’erreur humaine.

Un troisième cas concerne une ASL en Émilie-Romagne, où un patient a explicitement demandé – sous une forme – qu’aucun sujet extérieur, y compris les membres de sa famille, ne soit informé de son état de santé. Le formulaire a toutefois été inséré dans le dossier clinique.
Un infermier du département où la femme suivait une thérapie, n’étant pas au courant de la demande, au lieu de la contacter sur son téléphone portable privé, a appelé le numéro de téléphone du domicile enregistré dans les registres de la société et a parlé à un membre de la famille.
Dans ce cas également, la société a reconnu les erreurs qui ont causé la violation des données. Elle s’est engagée à mettre en place un système informatisé pour la gestion des numéros de téléphone des patients hospitalisés, et à disposer d’un formulaire unique avec lequel les patients peuvent exprimer leur éventuelle volonté de communiquer des informations sur leur état de santé à des tiers, introduisant ainsi une politique d’entreprise spécifique.
L’ASL qui a souffert d’une demande de remboursement des dommages par le patient, devra payer une amende de 50 000 euros pour violation de la GDPR.
À la lumière de ces épisodes et d’autres en cours d’évaluation, l’autorité italienne de protection des données a rappelé que les informations sur l’état de santé ne peuvent être communiquées à des tiers que sur la base d’un budget légal ou sur indication de la personne concernée, sur délégation écrite. Et elle a envoyé toutes les structures de santé respecter les mesures techniques et organisationnelles utiles non seulement pour se protéger des attaques informatiques, mais aussi pour éviter les violations de données personnelles, en particulier les plus sensibles, comme celles relatives à la santé – souvent dues à des procédures de gestion inadéquates.

SOURCE:AUTORITA’ PER LA PROTEZIONE DEI DATI DELL’ITALIA – GPDP