Search
× Search
Menu
  1. Aiop Liguria
    1. Chi Siamo
    2. Contatti
    3. Statuto e codice etico
    4. Cariche Sociali
  2. Strutture associate

Notizie dalla Liguria

CCNL. Cittadini: “Bene l'apertura Ministro, sia così tempestivo anche per chi opera nelle strutture private”

Dichiarazioni pubblicate su Quotidiano Sanità lo scorso 23 novembre 2018

"L’apertura del Ministro Giulia Grillo alle richieste dei sindacati dei medici che operano nella componente di diritto pubblico del SSN, è un’ottima notizia. Chiediamo che possa essere attivato, con la stessa tempestività, un confronto anche con la componente del SSN di diritto privato, nella quale lavorano 12mila medici, 26mila infermieri e tecnici e oltre 32mila operatori socio-sanitari, che ogni giorno consentono di dare una risposta alla domanda di salute degli italiani, contribuendo, in modo determinante, all’offerta sanitaria del Paese”, lo dichiara Barbara Cittadini, Presidente Nazionale AIOP, a seguito delle dichiarazioni rilasciate dal Ministro della Salute.
Gdpr. Valutazione di impatto per i trattamenti transfrontalieri Gdpr. Valutazione di impatto per i trattamenti transfrontalieri

Gdpr. Valutazione di impatto per i trattamenti transfrontalieri

Il Garante individua le operazioni a rischio

D’ora in poi, pubbliche amministrazioni e aziende italiane che effettuano trattamenti di dati volti ad offrire beni e servizi anche a persone residenti in altri Paesi dell’Unione europea avranno uno strumento in più per applicare correttamente il nuovo Regolamento sulla protezione dei dati. Il Garante per la privacy ha predisposto, come stabilito per le Autorità di controllo nazionali dal Gdpr, un elenco delle tipologie di trattamento che i soggetti pubblici e privati dovranno sottoporre a valutazione di impatto. L’elenco recepisce le osservazioni del Comitato europeo per la protezione dei dati al quale era stato sottoposto dal Garante per il prescritto parere.
RSS
First678911131415Last

Notizie Aiop Nazionale

Errori e incidenti: quanto può costare la violazione della privacy all’ospedalità privata?
2641

Errori e incidenti: quanto può costare la violazione della privacy all’ospedalità privata?

Una riflessione sul quadro sanzionatorio che interessa l’ospedalità privata, cosa prevede il GDPR e quali obblighi devono assolvere le strutture

avv. Maria Livia Rizzo, Studio Legale Stefanelli&Stefanelli

 

Il 2021 è stato un anno che ha visto molte strutture sanitare colpite da provvedimenti emessi dal Garante Privacy. Le ordinanze-ingiunzioni del Garante che hanno riguardato la sanità privata sono conseguite principalmente a reclami di pazienti e a notifiche di violazioni di dati (data breach).

Protagonisti delle violazioni privacy sono stati i referti e le cartelle cliniche.

L’invio dei referti a pazienti sbagliati

La violazione più frequente che interessa le strutture sanitarie è l’errore nella comunicazione dei referti. Tipicamente, la trasmissione referto nei casi sanzionati è avvenuta,

  • tramite invio a mezzo posta tradizionale o via e-mail, a un destinatario errato
  • o mediante inserimento nella cartella clinica di un altro paziente.

Interessante è notare come si sia trattato sempre di un errore umano, dovuto talvolta alla presenza di casi di omonimia, altre volte semplicemente a distrazione.

Un banale errore materiale che è arrivato a costare dai 5.000 ai 45.000 euro alle strutture ospedaliere private sanzionate.

Violazioni nella trasmissione della cartella clinica

Anche la cartella clinica è stata oggetto in alcuni casi di data breach. Il Garante ha sanzionato in questo contesto:

  • sia comportamenti conseguenti ad errori umani,
  • sia incidenti dovuti a malfunzionamenti dell’infrastruttura informatica dell’ospedale.

Nel primo caso il provvedimento dell’Autorità ha colpito l’invio, tramite PEC all'indirizzo mail del richiedente, di una cartella clinica sbagliata, contenente i dati di un altro paziente.

Nel secondo caso, in 19 cartelle cliniche di un ospedale privato sono comparsi i dati di altri pazienti. L’errore informatico è intervenuto nel processo di stampa delle cartelle, che avveniva tramite un tool automatico, ed è stato causato di un bug che non teneva in considerazione il codice paziente.

Le ordinanze del Garante hanno inflitto ammonimenti e sanzioni pecuniarie fino a 15.000 euro.

Le casistiche appena descritte accendono un faro sulla necessità di prevenire violazioni di dati, non solo per evitare il pagamento di sanzioni amministrative elevate, ma anche per prevenire il conseguente danno di immagine.

Come prevenire errori e incidenti?

Quando si parla di violazioni in ambito privacy, il fattore umano è costantemente l’elemento più critico. D’altra parte, anche la sempre maggiore digitalizzazione dell’ospedalità comporta rischi:

  • sia connessi all’uso delle tecnologie da parte dell’uomo;
  • sia intrinseci al funzionamento automatizzato dei sistemi informativi.

Sappiamo che il rischio di errori o incidenti non può essere mai essere eliminato al 100%. Tuttavia, il Reg UE 679/2016 (GDPR) all’art. 32 prevede l’obbligo per chi tratta dati personali di adottare misure tecniche e organizzative adeguate al rischio di perdita, modifica arbitraria o comunicazione/accesso illeciti ai dati personali.

Proprio per questo, quando il Garante Privacy sanziona i titolari del trattamento, lo fa, in molti casi perché queste misure di sicurezza non sono state adottate. Così è accaduto nei casi sopra descritti.

Ma quali sono le misure che i titolari del trattamento devono adottare?

Il GDPR è un regolamento che non prescrive misure specifiche, ma adotta un approccio basato di volta in volta sul rischio concreto: ogni struttura sanitaria dovrà quindi individuare le misure a seconda delle caratteristiche dei trattamenti di dati che svolge.

In ogni caso, per fronteggiare il rischio di commissione di un errore umano è sicuramente indispensabile la formazione del personale. A seconda delle caratteristiche e delle esigenze della struttura la formazione, può essere incentrata in diversa misura:

  • sull’utilizzo degli strumenti informatici o cartacei;
  • sulla prevenzione degli attacchi informatici;
  • sulle modalità di segnalazione di data breach;
  • e, in ogni caso, sulle best practice intese come norme generali di comportamento da adottare con riferimento alla protezione dei dati degli interessati.

Il rischio di malfunzionamento degli strumenti informatici, invece, può essere correttamente gestito – previo adeguato censimento degli strumenti – attraverso:

  • la verifica dell’aggiornamento dei sistemi operativi
  • e, in generale, la valutazione regolare dell’efficacia delle misure di sicurezza adottate (ad es. tramite testing periodico).

Parallelamente è determinante per la struttura sanitaria adottare policy aziendali, linee guida e/o procedure dettagliate, sia di tipo organizzativo che informatico, finalizzate rispettivamente a:

  • delineare i principi fondamentali e le regole che devono essere seguite nella struttura;
  • fornire raccomandazioni a supporto delle politiche di sicurezza delle informazioni;
  • descrivere, step by step, le condotte a cui è necessario attenersi.

A monte, è imprescindibile strutturare un Sistema di Gestione Privacy che sia calato nella specifica realtà operativa, e che sia finalizzato a pianificare, eseguire, monitorare e revisionare gli adempimenti, le misure di sicurezza e le procedure aziendali in tema di protezione del dato.

Non solo: in un’epoca in cui i dati sono l’asset più significativo per un’azienda dal punto di vista economico, il GDPR non rappresenta solo un obbligo legislativo, ma è anche il trampolino di lancio per l’utilizzo strategico dei dati.

In altre parole, la costruzione di un Sistema di Gestione Privacy non è solo funzionale a dimostrare il corretto adempimento degli obblighi previsti dal GDPR in caso di contestazioni o in sede di accertamenti ispettivi di parte dell’Autorità Garante.

Gestire i dati all’interno di un sistema strutturato e compliant è cruciale, anche per l’ospedalità privata, ad esempio per:

  • ricorrere lecitamente a soluzioni tecnologiche innovative (come telemedicina, intelligenza artificiale, robot chirurgici, stampa 3D, etc.);
  • progettare nuove strategie di business (es. campagne promozionali di screening, fornitura di servizi connessi alla degenza) in conformità agli obblighi normativi;
  • e, in generale, organizzare le informazioni in modo tale da ottimizzare i processi aziendali.

 

 

 

Previous Article Il Fisco del 2022
Next Article Sergio Mattarella riconfermato alla Presidenza della Repubblica
Please login or register to post comments.

Rassegna Stampa Regionale

Articoli delle principali testate giornalistiche nazionali e della stampa locale relativi a sanità, ricerca scientifica e medicina, con una maggior attenzione alla realtà ligure. Il servizio integrale è riservato agli associati Aiop Liguria.

 

Rassegna Stampa Nazionale

RassAiop3HP

La rassegna stampa 
della sanità privata
Servizio riservato agli associati Aiop

Link Istituzionali

NELLA RETE

Aiop Giovani
AiopTV

Uehp
European Union
of Private Hospitals

F.I.S.O.P.A.
Federazione Italiana;
Società Scientifiche
Ospedalità Privata Accreditata

CONTATTACI

AIOP Associazione Italiana Ospedalità Privata
SEDE REGIONALE LIGURIA
presso GVM Care & Research
Corso Garibaldi, 11
48022 LUGO (Ravenna)
Tel. 0545909705
Fax 0545909776
Email info@aiopliguria.it
   

Copyright 2024 by Aconet srl
Back To Top