Dati sanitari, accesso indebito ai dossier sanitari

Il Garante della privacy continua l’azione sanzionatoria per le violazioni al Regolamento europeo per la protezione dei dati personali, il famoso GDPR. L’ultima è per l’accesso indebito ai dossier sanitari, che ha prodotto una “multa” di €30.000 per l’Azienda ospedaliera Universitaria integrata di Verona.

Il Provvedimento, che potete leggere integralmente sul sito del Garante privacy, è dovuta a tre violazioni comunicate all’Autorità dall’ospedale a conclusione di normali controlli periodici.

Accesso indebito ai dossier sanitari

La prima violazione è del 6 maggio 2019. L’Azienda ha affermato di aver:

riscontrato un accesso improprio a sei dossier di pazienti che sono al tempo stesso dipendenti aziendali nel ruolo di ostetriche”

e che

non vi era motivo che un medico della (…) Unità operativa (di Ostetricia e Ginecologia) compresa dunque la d.ssa titolare delle credenziali, facesse accesso ai dati clinici di pazienti non in carico, alcune delle quali per di più a casa in congedo per maternità al tempo dell’episodio, e che pertanto si è trattato di accessi impropri”.

L’Azienda avrebbe, inoltre dichiarato che l’accesso è stato effettuato “con le credenziali di un medico dell’UOC di Ostetricia e Ginecologia” che, durante il turno notturno di guardia medica, “ha lasciato incustodita e accessibile la postazione pc in uso, consentendo ad altri di accedere ai dati sanitari delle sei ostetriche”. L’Ospedale ha comunicato che sarebbe stata effettuata comunicazione tempestiva alle interessate.

Il secondo caso ha riguardato sette pazienti ed era dovuta all’accesso non autorizzato di un tecnico sanitario di radiologia medica, al fine di vedere “come funzionava l’applicazione” e successivamente ha lasciato la propria postazione incustodita e accessibile. In nessun caso c’era esigenza ad accedere al dossier sanitario dei pazienti-dipendenti segnalati.

Infine, il 22 maggio 2019, l’Ospedale ha segnalato che “un medico in formazione specialistica presso l’UOC di Neurologia B dell’Ospedale di Bogo di Roma (…) ha effettuato un accesso improprio al dossier sanitario di alcuni pazienti che sono al tempo stesso dipendenti aziendali”. L’Accesso sarebbe stato dettato da curiosità.

Il procedimento e le disposizioni dell’ospedale

La struttura ha provveduto a portare alla conoscenza di tutto il personale, tramite un apposito Disciplinare, specifiche indicazioni sui presupposti di liceità degli accessi ai dossier sanitari aziendali – anche quelli dei colleghi – e le misure di protezione aggiuntive poste in essere.

Ciò nonostante, gli accertamenti del Garante hanno evidenziato che la tutela dei dossier sanitari non si erano dimostrate idonee, sia dal punto di vista tecnico sia dal punto di vista organizzativo, a proteggere i dati personali dei pazienti con conseguente trattamento illecito.

Le linee guida del 2015

La violazione poteva essere evitata con l’applicazione delle Linee guida del 2015. Grazie ad esse sarebbe stato possibile, in modo semplice, raggiungere la protezione dati fin dalla progettazione e per impostazione predefinita. Le famose privacy by design e privacy by default. Entrambi doveri dei Titolari del trattamento alla luce del GDPR.

La sanzione

L’Azienda ha spontaneamente avviato le procedure di revisione per l’accesso ai dossier. Il Garante, pertanto, ha ingiunto di completare l’operazione entro 90 giorni e comminato “solo” una sanzione di €30.000,00.