La notizia dei falsi positivi all’Ospedale Parini ad Aosta, generati in seguito ad un non meglio specificato “problema tecnico ad uno strumento del laboratorio analisi”, merita di essere colta come occasione per alcune riflessioni più approfondite soprattutto alla luce dei progetti relativi alla c.d. sanità digitale, nonché alla gestione dei dati personali all’interno del contesto emergenziale.
Secondo i fatti riportati, nell’arco temporale di una giornata, almeno venti pazienti già ricoverati sono stati trasferiti nei reparti Covid e, solo in seguito alla scoperta della loro negatività, è stato possibile l’isolamento in altri reparti. L’impatto di tale evento ha inoltre riguardato il bollettino Covid dell’Unità di crisi, andando ad aumentare il numero di contagiati e ricoverati.
Nel caso riportato, da un punto di vista di protezione dei dati personali, la qualità del dato (e dunque: la sua genuinità e rispondenza al vero) è risultata in qualche modo compromessa a causa di un “problema tecnico” e ciò ha comportato quanto meno: un impatto diretto nei confronti dei pazienti ricoverati, un impatto indiretto per la minore disponibilità di posti letto nel reparto Covid, un impatto indiretto derivante dalle segnalazioni dei contatti stretti.
Sono stati così esposti ad un rischio significativo, sebbene per un arco temporale definito, diritti e libertà fondamentali di persone fisiche, oltre che ovviamente la fiducia collettiva nei confronti dell’attendibilità degli esami e dei report dell’Unità di crisi. In breve: il danno si è realizzato tanto nei confronti dell’organizzazione che delle persone.
È chiaro che, se viene perso il controllo su un dato personale (o meglio: sulle attività di trattamento), quale la positività di un soggetto al Coronavirus, le conseguenze derivanti possono essere ben più ampie del mero disagio per l’interessato o dell’obbligo per l’organizzazione di annotare o notificare il data breach.
La normativa in materia di protezione dei dati personali comporta obblighi e responsabilità per tutelare la qualità e la sicurezza dei dati personali e delle attività di trattamento svolte sugli stessi. Soprattutto in un contesto emergenziale, è indispensabile garantire, attraverso la predisposizione di misure preventive, la disponibilità di dati esatti e genuini, altrimenti il rischio è quello di dissipare risorse per interventi riparatori e successivi, ed esporre le persone fisiche a disagi anche rilevanti e significativi.
Le conseguenze di una perdita di controllo relative a confidenzialità, integrità e riservatezza dei dati personali o delle attività di trattamento svolte sugli stessi, rendono evidente che non è possibile “prescindere dalla privacy” in ragione dello stato di emergenza sanitaria. Anzi, è proprio attraverso una corretta tutela delle attività di trattamento dei dati personali che possono essere garantite in modo risk-based tanto le persone fisiche che le organizzazioni.
