La signora A si sottopone a un intervento chirurgico per l’asportazione di una massa tumorale presso la clinica B; contestualmente, le viene asportato un piccolo campione dell’organo intaccato dal tumore, per eseguire l’esame istologico presso il laboratorio di anatomia patologica.
La signora rimane in attesa dell’esito dell’esame, che tarda ad arrivare.
Un bel giorno, la signora A. viene informata dalla Clinica B che il campione di tessuto asportato durante l’intervento chirurgico è stato perduto, che sono state effettuate ricerche sia presso la sala operatoria che presso il laboratorio di anatomia patologica, senza esito alcuno, e che perciò non era possibile, in assenza del campione, se il tumore rimosso fosse di natura benigna o maligna.
Nel frattempo, la signora prosegue con le visite di controllo post operatorio e si sottopone, sempre presso la clinica B, a visita specialistica otorinolaringoiatrica.
Durante la visita il medico le chiede di poter visionare la risonanza eseguita (presso altra struttura) prima dell’intervento, in modo da poterla confrontare con quella post operatoria: al momento di inserire il dvd nel computer, tuttavia, il medico capisce che si tratta della risonanza di un altro paziente, e informa tempestivamente la signora, abbastanza adirata in quanto la rx era stata visionata, prima dell’intervento, da altro medico della Clinica B, che probabilmente ha perso il dvd scambiandolo con un altro.
La direzione sanitaria e il risk manager della Clinica B giustificano l’evento sostenendo che il campione non è stato smarrito dopo il prelievo, bensì è stato semplicemente smaltito nei rifiuti speciali senza mai essere preso in carico da parte del laboratorio di anatomia patologica.
L’erroneo smaltimento del campione di tessuto si è verificato, secondo la Clinica B, esclusivamente a causa di una non corretta comunicazione tra il chirurgo e l’infermiere di sala, nonostante nel referto operatorio risultasse regolarmente segnalato l’invio del materiale in anatomia patologica.
L’errore, secondo la Clinica B, è scusabile, in quanto raramente il tipo di intervento cui si è sottoposta la signora A. richiede l’esame istologico.
In ogni caso, una volta preso atto dell’incidente, la Clinica B ha qualificato subito l’episodio come “evento avverso”, ponendo in essere tutte le più opportune misure e contromisure per contenere i possibili effetti negativi di tale episodio.
Nello specifico, è stato elaborato uno specifico addendum alla lettera di dimissione consegnata la signora A, con cui la stessa è stata prima informata circa la mancata processazione in sala operatoria del tessuto, quindi invitata a seguire specifiche indicazioni di follow up; l’addendum, oltre che nella lettera di dimissione, è stato altresì allegato alla cartella clinica consegnata alla paziente.
Inoltre, per accertare che la signora A avesse ben compreso il percorso di follow up, i medici della Clinica A l’hanno contattata personalmente, scusandosi per l’incidente e spiegandole l’importanza e le modalità attraverso cui attivare un percorso di follow-up radiologico con RM massiccio facciale, da eseguirsi a distanza di sei mesi dall’intervento chirurgico, seguito da una specifica visita otorinolaringoiatrica, per confermare la natura della lesione riscontrata durante l’intervento.
La signora A si è sottoposta, effettivamente, alla RM, proprio presso la Clinica B, che ha altresì provveduto a sensibilizzare il personale coinvolto nell’episodio critico sull’importanza connessa al rispetto delle procedure cliniche, anche con riferimento alle modalità e tecniche di buona comunicazione all’interno dell’equipe medica.
Quanto alla perdita del supporto DVD su cui era contenuto l’esame RX della signora A, la Clinica B ha invece declinato ogni responsabilità, poiché durante la visita pre-operatoria il medico ha restituito il DVD alla paziente, che potrebbe averlo smarrito o confuso con altri esami in altro luogo.
Il quadro normativo: dati sulla salute, sicurezza e data breach nel GDPR
I dati personali di un soggetto (paziente o meno) devono essere:
- trattati in modo lecito, corretto e trasparente, in virtù del principio di liceità, correttezza e trasparenza,
- raccolti per finalità determinate, esplicite e legittime e, successivamente, trattati in modo che non sia incompatibile con tali finalità, in virtù del principio della limitazione delle finalità,
- adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati, in virtù del principio della minimizzazione dei dati,
- esatti e, se necessario, aggiornati, nonché tempestivamente cancellati o rettificati in caso di inesattezze, in virtù del principio di esattezza,
- conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo limitato, non superiore al conseguimento delle finalità per le quali sono trattati, in virtù del principio della limitazione della conservazione,
- trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, distruzione o danno accidentali, in virtù del principio dell’integrità e riservatezza.
Il soggetto che tratta i dati personali di una persona, come ad esempio una clinica, è obbligato a mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza dei dati personali adeguato al rischio, tenendo conto dello stato dell’arte, dei costi di attuazione, della natura, dell’oggetto, del contesto e delle finalità del trattamento.
Sono considerati dati personali di tipo particolare, il cui trattamento è vietato in linea di principio, potendo avvenire solo previo consenso dell’interessato, i dati sulla salute.
Tra le misure adeguate, rientrano:
- pseudonimizzazione dei dati,
- cifratura dei dati,
- capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento,
- capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico,
- prevedere una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Nel valutare l’adeguatezza del livello di sicurezza adottato per conservare i dati, si deve tenere conto dei rischi presentati dal trattamento e in particolare di quelli che possono derivare dalla distruzione, perdita, modifica, divulgazione non autorizzata o dall’accesso, accidentale o illegale, ai dati personali conservati.
Se si verifica una qualunque violazione dei dati personali, di qualsiasi natura, il titolare deve, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, notificare la violazione all’Autorità Garante per la Privacy.
Se la notifica avviene dopo le 72 ore, bisogna indicare i motivi del ritardo.
Secondo le Linee Guida dell’EDPB una violazione può avere potenzialmente numerosi effetti negativi significativi sulle persone fisiche, che possono causare danni fisici, materiali o immateriali.
Il GDPR spiega che ciò può includere la perdita del controllo da parte degli interessati sui loro dati personali, la limitazione dei loro diritti, la discriminazione, il furto o l'usurpazione d'identità, perdite finanziarie, la decifratura non autorizzata della pseudonimizzazione, il pregiudizio alla reputazione e la perdita di riservatezza dei dati personali protetti da segreto professionale, nonché qualsiasi altro danno economico o sociale significativo per le persone fisiche interessate.
Uno degli obblighi più importanti del titolare del trattamento è valutare tali rischi per i diritti e le libertà degli interessati e attuare misure tecniche e organizzative adeguate per affrontarli.
Leggi anche
Accertamenti e sanzioni: perché le giustificazioni della clinica non reggono
Per quanto riguarda lo smarrimento del dvd contenente la RX della signora A, il Garante ha archiviato la posizione, in quanto il soggetto terzo il cui dvd è stato rinvenuto tra la documentazione della signora A non era mai stato sottoposto a visita presso la clinica B, perciò è evidente che lo “scambio” di esami sia avvenuto altrove.
Invece, per quanto concerne la distruzione dell’esame istologico, il Garante non ha ritenuto soddisfacenti le “giustificazioni” addotte dalla Clinica B per giustificare il suo comportamento.
In particolare, il Garante Privacy ha ritenuto che il campione di tessuto prelevato dalla signora, all’interno del seno paranasale, e smaltito per errore, può essere qualificato come una categoria particolare di dato personale, di cui all’articolo 9 del GDPR, in quanto trattasi di una parte del corpo della paziente, associato alla sua identità, in grado di rivelare l’avvenuta prestazione di servizi di assistenza sanitaria.
Si tratta, in pratica, di un dato sulla salute, il cui trattamento deve avvenire con più attenzione, posto che normalmente questi dati non possono essere trattati, salvo specifico consenso del titolare.
La signora aveva dato il consenso al prelievo espressamente per l’esecuzione dell’esame istologico, per cui la distruzione del campione di tessuto senza il preventivo esame è da considerarsi illecita, in violazione degli articoli 5 e 32 del GDPR.
La Clinica B, inoltre, non ha eseguito la tempestiva notifica della violazione dei dati al Garante, rendendosi colpevole della violazione dell’art. 33 GDPR.
Per queste violazioni, il Garante ha ingiunto alla clinica B il pagamento di due sanzioni pecuniarie, una di € 50.000,00 per lo smarrimento del campione biologico, l’altra di € 20.000,00 per la mancata tempestiva notifica della violazione dei dati personali.
Inoltre, quale sanzione accessoria, è stata disposta la pubblicazione del provvedimento sul sito del Garante Privacy.