Entra nella community

La cartella clinica scomparsa

Le lezioni del Garante per la sanità privata

Una cartella clinica smarrita. Un centro medico privato che non riesce più a rintracciarla. Un sistema di comunicazione interno che non coinvolge neppure il DPO.

È lo scenario di un recente provvedimento del Garante per la protezione dei dati personali, che offre un’importante lezione a tutti i professionisti e alle strutture sanitarie di piccole e medie dimensioni.

Il CASO che vi presentiamo ci insegna che la cartella clinica è uno dei documenti più delicati nel panorama sanitario: racchiude dati personali “particolari” che devono essere trattati con la massima attenzione, nel rispetto del principio di integrità sancito dall’art. 5 GDPR.

Questo episodio dimostra come una sola falla nella catena documentale — la mancata presa in carico, un’informazione non trasmessa, una comunicazione incompleta tra struttura e società di archiviazione — possa determinare un trattamento illecito.

Affidare la gestione dei dati a un fornitore esterno non solleva il titolare dalle proprie responsabilità in quanto il titolare del trattamento resta sempre responsabile di ciò che accade ai dati dei pazienti.  – Leggi IL CASO – 

 

Importante: cosa si intende per “dati sanitari”

Quando si parla di dati sanitari, non ci si riferisce soltanto alle informazioni contenute in una cartella clinica o in un referto medico.

Secondo le Linee guida EDPB 03/2020, rientrano tra i dati relativi alla salute tutte le informazioni che, anche solo per inferenza o contesto, permettono di dedurre lo stato di salute di una persona e possono provenire – anche – da fonti diverse:

  • informazioni raccolte da un fornitore di assistenza sanitaria (anamnesi, diagnosi, terapie, esami);
  • dati che, incrociati con altri, rivelano rischi o condizioni di salute;
  • risposte a questionari o test di autovalutazione compilati dagli interessati;
  • informazioni che assumono rilievo sanitario solo per il contesto d’uso (ad esempio, dati su viaggi recenti usati per valutare un possibile contagio).

Si tratta di dati “particolari” ai sensi dell’art. 9 GDPR, il cui trattamento richiede garanzie rafforzate, un consenso esplicito e specifiche misure di sicurezza.

 

Da ricordare: consegna e sicurezza della documentazione sanitaria

Il Garante, con diversi provvedimenti nel corso degli anni, ha fornito regole pratiche per assicurare la riservatezza e la dignità dei pazienti.

Per quanto riguarda i referti cartacei:

  • devono essere consegnati al paziente o a un delegato, previa verifica dell’identità;
  • le spedizioni devono avvenire in busta sigillata, senza riferimenti alla struttura o alla patologia;

Per quanto riguarda i referti elettronici:

  • il file deve essere protetto da password o chiave crittografica comunicata con canale separato;
  • mai inserire il referto nel corpo dell’email;
  • validare sempre l’indirizzo email del paziente;
  • adottare protocolli sicuri (HTTPS/SSL) e autenticazione forte per l’accesso online;

referti disponibili online per un tempo limitato (max 45 giorni).

 

Conservazione dei dati sanitari

Il titolare del trattamento deve innanzitutto verificare se esistono obblighi normativi di conservazione nella propria area di attività.

Ecco alcuni esempi tuttora validi:

  • Cartelle cliniche → conservazione illimitata (Circolare Ministero della Sanità 19 dicembre 1986, n. 900 2/AG454/260);
  • Documentazione radiologica → almeno 10 anni;
  • Certificati di idoneità sportiva agonistica5 anni (art. 5 D.M. 18/02/1982).

Se la normativa non stabilisce termini precisi, il titolare può definirli autonomamente seguendo criteri di:

  • necessità, conservando i dati solo per il tempo necessario al conseguimento della finalità;
  • applicazione analogica, richiamando casi simili già normati;
  • opportunità, quando esistono motivazioni documentate per mantenere più a lungo i dati.

 

Buone prassi operative per strutture sanitarie e professionisti

  1. Formalizzare le procedure di archiviazione: indicare chiaramente chi riceve, controlla e conserva le cartelle cliniche, con registri di presa in carico.
  2. Verificare i contratti con i fornitori esterni: il responsabile del trattamento (es. società di archiviazione digitale) deve essere nominato ex art. 28 GDPR e monitorato.
  3. Tracciare ogni movimentazione dei documenti, sia cartacei che digitali: mai consegne non protocollate o “a voce”.
  4. Comunicare subito al DPO qualsiasi smarrimento, errore o sospetto di violazione.
  5. Predisporre un piano di gestione del data breach, anche per piccoli studi o ambulatori.
  6. Formare il personale sulle corrette procedure di sicurezza e conservazione dei referti.
  7. Utilizzare cifratura e autenticazione forte per la refertazione online.
  8. Aggiornare periodicamente la valutazione dei rischi e le politiche di conservazione dei dati.

 

Professionisti sanitari: serve il DPO?

Non sempre. Il professionista sanitario che lavora in regime di libera professione individuale non è obbligato a nominare un DPO, perché i trattamenti che effettua non rientrano tra quelli “su larga scala” (considerando n. 91 del GDPR).

Diverso il discorso per strutture come:

  • case di cura,
  • residenze sanitarie assistenziali (RSA),

cliniche private o centri medici organizzati, che trattano sistematicamente grandi volumi di dati sanitari. In questi casi la nomina di un DPO è obbligatoria.

 

In sintesi

La privacy in sanità non è solo una questione di moduli da firmare o di informative da esporre: è un tema di gestione consapevole delle informazioni.

Una cartella clinica smarrita non è un semplice errore amministrativo, ma una violazione dei diritti fondamentali del paziente.

Per studi medici, ambulatori e strutture private, il rispetto del GDPR è il primo passo per garantire la tutela più importante: quella della dignità della persona.

 

Messaggio per i professionisti sanitari

Implementare protocolli di sicurezza, anche in realtà medio-piccole, non è un costo burocratico: è una tutela concreta della propria reputazione e del rapporto di fiducia con il paziente.

 

Condividi:

IL CASO

Il Caso: La cartella clinica scomparsa

Tutto nasce dalla richiesta di una paziente, che domanda copia della propria cartella clinica.

Il centro medico riesce a ricostruire solo parzialmente visite, accessi e ricovero, ma del documento ufficiale non c’è traccia.

Le verifiche interne mostrano una situazione complessa:

  • la cartella risulta regolarmente formata e validata dal medico curante e dal responsabile del controllo SDO/DRG (come dimostra la scheda di dimissione ospedaliera);
  • non è mai stata presa in carico dalla società incaricata dell’archiviazione;
  • non esiste alcuna prova della sua spedizione o ricezione;
  • in pratica, la cartella è andata smarrita.

A rendere il tutto più grave, nessuno aveva informato tempestivamente il DPO. Solo in un secondo momento la struttura, preso atto della perdita, ha comunicato l’accaduto alle autorità competenti.

Le violazioni rilevate dal Garante

Il Garante ha accertato l’illiceità del trattamento dei dati personali, poiché lo smarrimento della cartella clinica dimostra l’assenza di misure tecniche e organizzative adeguate a garantirne la sicurezza.

In particolare, la condotta del centro ha violato:

  • l’art. 5, par. 1, lett. f) GDPR, che impone il principio di integrità e riservatezza;
  • l’art. 5, par. 2, relativo alla responsabilizzazione del titolare (accountability);
  • l’art. 32 GDPR, che richiede misure di sicurezza adeguate;
  • l’art. 33 GDPR, sull’obbligo di notificare tempestivamente le violazioni di dati personali (data breach).

Considerata però la collaborazione della struttura e le misure correttive successivamente adottate, l’Autorità ha deciso di non applicare una sanzione pecuniaria, limitandosi ad ammonire il titolare e ad annotare la violazione nel proprio registro interno.

LA NOSTRA FORMAZIONE

Privacy & Data Protection

+QI-AI = Security 

La formula per aumentare i livelli di sicurezza nella tua azienda.

La sicurezza digitale è un tema ormai noto diventato centrale per le aziende e i suoi dipendenti. Quello che non è sempre noto e che spesso è il fattore umano ad agevolare gli attacchi informatici, spesso per disattenzione, frenesia, leggerezza e poca conoscenza. Gli errori più comuni: practice obsolete o assenti, inconsapevoli condivisioni di informazioni e dati, utilizzo incauto dei dispositivi aziendali, poca attenzione alle mail ricevute e scelta di password non efficaci.

Come tutelarsi? Cosa fare?

Proteggere i dati aziendali, l’infrastruttura e la continuità aziendale richiede competenze specialistiche e strategie efficaci non sempre presenti in azienda. Fare formazione a tutti i livelli aziendali è la vera e unica rivoluzione culturale che tutelerà l’azienda e che ne accrescerà il valore.

Il metodo CompetenceLab “Cogito Ergo Cresco”

Offriamo una Compliance Privacy mirata all’analisi e gestione dei rischi e un corso di formazione rivolto a tutti i dipendenti sul corretto utilizzo degli strumenti e sulla tutela dei dati e quindi della tua azienda.

Ogni azienda è unica. Contattaci per un preventivo personalizzato.

Entra nella Community

Vuoi restare in contatto con CompetenceLab?
Organizzare un evento insieme a noi? Oppure proporre un tema su cui riflettere? Entra a far parte della nostra Community!





    CompetenceLab nasce per guidare un cambiamento, per affiancare persone e aziende nello sviluppo di un pensiero critico. Scelte sostenibili per migliorare la nostra società.
    Seguici sui social
    Facebook-f Icon-instagram-2 Icon-linkedin Icon-youtube Tiktok
    Link utili
    Contatti
    • Claudia Sorrenti Avvocato
    • P.I.: 11094161004
    • Powered by Xonex.it