Dossier Sanitario – Autorità Garante sanziona due ASL per accesso abusivo
Il Garante privacy nel sanzionare due ASL del Friuli Venezia Giulia ha ribadito l’obbligo per le aziende sanitarie di mettere in atto tutte le misure organizzative e tecniche volte a evitare che personale medico e infermieristico che non abbia un ruolo nel processo di cura possa accedere ai dati personali dei pazienti. Inoltre l’Autorità si è rivolta anche alla società che fornisce i servizi informatici di gestione dell’applicazione che consente la consultazione dei referti on-line ordinando alla stessa di porre in essere delle misure correttive.
Nello specifico erano stati presentati diversi reclami volti a segnalare l’illiceità del trattamento dei dati personali effettuato mediante il sistema informatico in uso presso le due strutture del Servizio Sanitario della Regione, sistema che permette sia l’archiviazione che la refertazione delle prestazioni sanitarie erogate dalle strutture.
Nel corso delle “operazioni istruttorie” sono stati effettuati diversi controlli che hanno portato alla luce alcune violazioni del GDPR, in particolare:
- una non corretta configurazione dei sistemi informatici di accesso al dossier sanitario consentiva a tutti i prestatori di servizio non solo della ASL di riferimento ma anche delle ASL di tutta la Regione di acquisire informazioni su tutti i pazienti attuali e non della struttura sanitaria;
- inoltre, in uno dei casi oggetto di disamina l’Autorità ha accertato non solo che il personale sanitario della ASL poteva accedere anche al dossier sanitario dei colleghi ma che il sistema consentiva l’accesso agli operatori sanitari di una casa circondariale a tutti i dossier sanitari di tutti i pazienti della ASL (e non soltanto a quello dei pazienti detenuti).
Tali condotte si pongono in contrasto con quanto previsto dalle “Linee Guida in materia di Dossier sanitario” del giugno 2015 del Garante della privacy all’interno delle quali viene riportato che “il titolare del trattamento deve porre particolare attenzione nell’individuazione dei profili di autorizzazione, adottando modalità tecniche di autenticazione al dossier che rispecchino le casistiche di accesso proprie di ciascuna struttura”.
L’Autorità si è inoltre soffermata anche sulle illiceità dei trattamenti imputabili alla società che si occupa della gestione dell’applicativo utilizzato per l’accesso ai dossier sanitari, rilevando tra le non conformità, ad esempio, la mancata predisposizione di un sistema di alert attraverso il quale potrebbero essere rilevati eventuali rischi e anomalie con riferimento alle operazioni eseguiti dai soggetti autorizzati al trattamento.
Le condotte illecite messe in atto dalle ASL sono state sanzionate con importi tra i 50.000 e i 70.000 euro; l’ammontare è stato determinato considerando anche la collaborazione riscontrata durante le fasi istruttorie al fine di sanare le problematiche riscontrate.
Alla società di gestione del sistema informatico il Garante ha ordinato di porre in essere azioni di correttive al fine di garantire un adeguato livello di sicurezza e integrità dell’applicativo con riferimento al trattamento dei dati personali e al fine di mitigare il rischio di accesso non autorizzato entro una tempistica di 60 giorni.
Tali provvedimenti fungono certamente da monito per i Titolari del trattamento al fine di evitare accessi da parte di personale non coinvolto nel trattamento nel rispetto sia dei principi di liceità, correttezza e trasparenza e dei principi di integrità e riservatezza ai sensi dell’art. 5, par. 1, del GDPR che dell’obbligo per il Titolare di mettere in atto le misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al fine di mitigare il rischio ai sensi dell’art. 32 del GDPR.
Per maggiori informazioni si consiglia di visionare la Newsletter del Garante privacy del 27 luglio 2022