In sintesi

Il Garante Privacy ha multato una clinica di 1.000 euro perché non aveva fornito a un cittadino, che l'aveva richiesta, una copia della cartella clinica della madre deceduta che fosse chiara e completa. Inizialmente, la clinica aveva fornito una trascrizione dove non si capivano bene le firme dei medici e le annotazioni. Questo caso ci ricorda che i documenti sanitari devono essere sempre leggibili e che si deve sempre sapere chi ha scritto cosa.

Cosa fare

Se sei una struttura sanitaria, assicurati che tutte le cartelle cliniche siano scritte in modo leggibile e che ogni annotazione abbia il nome del medico o dell'infermiere.
Controlla le procedure per quando qualcuno chiede la sua cartella clinica: deve essere facile da capire per chi la riceve.
Forma il tuo personale perché scriva in modo chiaro e completo.

Cosa evitare

Non dare ai pazienti o ai loro parenti cartelle cliniche con scritte illeggibili o dove non si capisce chi ha fatto le annotazioni.
Non pensare che basti che l'originale sia firmato: la copia o trascrizione deve essere comunque chiara.

Contesto

Un reclamante ha lamentato che, a seguito della richiesta di una trascrizione dattiloscritta e comprensibile della cartella clinica della madre deceduta (che presentava grafia indecifrabile e parti incomprensibili, inclusa l'identificazione degli operatori sanitari), la Tirrenia Hospital S.r.l. non aveva fornito un riscontro adeguato. Successivamente, la struttura ospedaliera ha trasmesso trascrizioni che, secondo il reclamante, non riportavano ancora l'identificazione del personale medico. L'Ufficio del Garante ha avviato un procedimento per verificare l'inosservanza dell'art. 92, comma 1, del Codice Privacy.

La decisione

Il Garante ha accertato la violazione dell'art. 92, comma 1, del Codice in materia di protezione dei dati personali da parte della Tirrenia Hospital S.r.l., per non aver assicurato la comprensibilità dei dati nella cartella clinica, in particolare l'identificazione del personale sanitario. Nonostante la struttura abbia successivamente provveduto a rendere comprensibili i dati e ad adottare accorgimenti per prevenire casi futuri, e la condotta abbia esaurito i suoi effetti, il Garante ha ritenuto non necessarie ulteriori misure correttive. È stata imposta una sanzione amministrativa pecuniaria di euro 1.000,00 e la pubblicazione dell'ordinanza-ingiunzione sul sito del Garante.

Ratio decidendi La decisione si fonda sulla chiara violazione dell'art. 92, comma 1, del Codice Privacy, che impone alle strutture sanitarie di adottare 'opportuni accorgimenti per assicurare la comprensibilità dei dati' contenuti nelle cartelle cliniche. La mancata identificazione chiara del personale sanitario nelle trascrizioni richieste ha reso i dati non pienamente comprensibili all'interessato, contravvenendo a tale obbligo. La successiva adozione di misure correttive da parte della struttura ha mitigato la necessità di ulteriori ingiunzioni, ma non ha escluso la sanzione per la violazione accertata.

Articoli GDPR violati

Articolo	Descrizione	Rilevanza
92 par.1 Codice Privacy	Le strutture, pubbliche e private, che erogano prestazioni sanitarie e socio-sanitarie, quando redigono e conservano una cartella clinica, devono adottare opportuni accorgimenti per assicurare la comprensibilità dei dati.	la tirrenia hospital s.r.l. non ha inizialmente fornito una trascrizione completamente comprensibile della cartella clinica, omettendo l'identificazione chiara del personale sanitario a causa di grafia indecifrabile, violando il principio di comprensibilità.
83 par.4 GDPR	Prevede sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore, per le violazioni di determinate disposizioni, tra cui gli obblighi del titolare del trattamento e del responsabile del trattamento.	la violazione dell'art. 92, comma 1 del codice privacy rientra nell'ambito delle sanzioni applicabili ai sensi dell'art. 83, par. 4 del gdpr, come richiamato dall'art. 166 del codice privacy.

Misure imposte

Pagamento di sanzione amministrativa pecuniaria; Pubblicazione dell'ordinanza-ingiunzione sul sito internet del Garante; Annotazione della violazione nel registro interno dell'Autorità

Sanzione

Il Garante ha ordinato alla Tirrenia Hospital S.r.l. il pagamento di una sanzione amministrativa pecuniaria di euro 1.000,00 per la violazione dell'art. 92, comma 1, del Codice in materia di protezione dei dati personali. La violazione è consistita nella mancata fornitura di una cartella clinica comprensibile e con identificazione del personale sanitario, a seguito di richiesta da parte di un interessato. Il Garante ha tenuto conto della gravità lieve della violazione (caso isolato, assenza di dolo) e delle misure correttive adottate dal titolare del trattamento, nonché della sua collaborazione.

Termini: entro 30 giorni dalla notificazione del presente provvedimento

Implicazioni pratiche

Questo provvedimento sottolinea un aspetto fondamentale per tutte le strutture sanitarie: l'obbligo di garantire non solo la completezza, ma anche la piena comprensibilità della documentazione clinica, sia nella sua forma originale che in eventuali trascrizioni richieste dagli interessati. La semplice esistenza di documenti firmati e timbrati non esonera dall'onere di renderli chiaramente leggibili e attribuibili quando richiesto, specialmente in caso di grafie indecifrabili. La collaborazione con l'Autorità e l'adozione di misure correttive ex post sono state considerate attenuanti, ma non hanno escluso l'applicazione di una sanzione, evidenziando la necessità di una compliance proattiva e non solo reattiva.

Azioni da fare

Implementare procedure interne per assicurare la leggibilità e la completa attribuzione delle annotazioni nelle cartelle cliniche (es. uso di timbri leggibili, identificazione completa del personale).
Formare il personale medico e infermieristico sulla corretta compilazione e gestione della documentazione clinica, con particolare attenzione alla comprensibilità.
Rivedere le procedure per la gestione delle richieste di accesso ai dati sanitari, garantendo che le copie o trascrizioni fornite siano sempre complete, accurate e pienamente comprensibili per l'interessato.
Predisporre protocolli per la trascrizione di documentazione manoscritta illeggibile, assicurando l'inclusione di tutti i dati identificativi pertinenti.

Errori da evitare

Sottovalutare l'importanza della leggibilità e comprensibilità delle cartelle cliniche come obbligo legale.
Non fornire la completa identificazione del personale sanitario nelle trascrizioni di documenti illeggibili.
Basarsi esclusivamente sulla disponibilità della documentazione originale 'in possesso del reclamante' senza assicurare che anche la copia o trascrizione fornita sia di per sé intellegibile.
Attendere un reclamo per attivare misure volte a migliorare la comprensibilità dei dati.

Domande di self-assessment

Le nostre cartelle cliniche sono sempre redatte in modo chiaro e leggibile?
Ogni annotazione in cartella clinica include l'identificazione completa e univoca del professionista sanitario?
Le procedure per le richieste di accesso ai dati sanitari garantiscono che le informazioni fornite siano pienamente comprensibili (anche attraverso trascrizioni, se necessario)?
Abbiamo fornito formazione adeguata al personale sulla corretta gestione e comprensibilità della documentazione clinica e sul diritto di accesso?

Riferimenti

Linee guida EDPB: Linee Guida 04/2022 sul calcolo della sanzioni amministrative pecuniarie ai sensi del GDPR – versione 2.0 – adottato il 24 maggio 2023

Normativa nazionale: D.Lgs. 196/2003 · Legge n. 689 del 24 novembre 1981

Il Garante Privacy ha multato una clinica di 1.000 euro perché non aveva fornito a un cittadino, che l’aveva richiesta, una copia della cartella clinica della madre deceduta che fosse chiara e completa