“Lo stato delle nostre strutture sanitarie è disarmante e denota una scarsa dimestichezza formativa sulla protezione dei dati personali”. Alla notizia dei tre provvedimenti sanzionatori del Garante nei confronti di una Asl e 2 ospedali, il presidente di ANORC Professioni e promotore del DIG.eat, Andrea Lisi, punta il dito sulla carenza di formazione del personale in materia digitale:
“Non si è trattato- spiega l’avvocato- di attacchi informatici, ma di pratiche sbagliate di strutture sanitarie che trattano dati in maniera assolutamente grossolana. Il Garante nel sanzionare ha ricordato a tali strutture sanitarie che devono adottare tutte le misure tecniche e organizzative necessarie per evitare che i dati dei loro pazienti siano comunicati per errore ad altre persone”.
I provvedimenti in questione colpiscono rispettivamente un ospedale toscano e uno emiliano per il valore di 10.000 euro ciascuno e una Asl dell’Emilia-Romagna per un valore pari a 50.000 euro. “I primi due casi- spiega Lisi- riguardano l’errata spedizione di materiale postale e l’errata consegna a dei pazienti di cartelle cliniche contenenti dati e referti riferibili ad altre persone. L’ultimo, più ‘pesante’, riguarda invece una telefonata, effettuata da parte di un’infermiera che anziché contattare la paziente sul telefono cellulare privato, ha chiamato il numero di casa registrato nell’anagrafe aziendale, parlando così con un familiare e violando l’esplicita richiesta della malata che nessun soggetto esterno, neppure i familiari, fosse informato sul suo stato di salute, richiesta formalmente sottoscritta tramite apposito modulo e inserita all’interno della cartella clinica”.
Secondo Lisi si tratta di “casi abbastanza incredibili. Se succedono queste cose dal punto di vista organizzativo più ‘analogico’ non osiamo pensare cosa stia succedendo negli ospedali più ‘digitalizzati’ che magari affidano processi delicatissimi a fornitori esterni, senza vigilare sul loro operato, ancora senza un Dpo che sia reale e capace di orientare questo tipo di processi”.
L’esperto in diritto dell’informatica conclude che “c’è ancora tanto da fare, in particolare dal punto di vista della formazione al personale sanitario. La speranza è che il Garante, anche alla luce del nuovo piano di ispezioni recentemente approvato e relativo al periodo di gennaio-giugno 2021, possa arrivare a pieno regime partendo proprio da ipotesi di Data Breach, per verificare come Pa, imprese e studi professionali stiano proteggendo i dati anche attraverso una corretta formazione. Laddove manca questo elemento di base, si rischiano danni e questi esempi, per quanto incredibili, evidenziano la situazione che c’è nel nostro Paese oggi, addirittura in un settore delicatissimo come quello sanitario”.