Garante, no agli accessi indebiti ai dossier sanitari
Ringraziamo il dott. Pagliuca per la segnalazione ed il commento. L’aspetto più interessante della questione non è forse il fatto in sè, quanto l’aver condannato la mancata messa in atto di misure adeguate per impedire a monte il comportamento illecito. Insomma, la privacy by design e by default è ancora lontana.
Il fatto di non aver impedito che i dipendenti potessero “sbirciare” il dossier sanitario dei colleghi costerà ad un’azienda ospedaliera 30.000 euro. A tanto infatti ammonta la sanzione che è stata comminata dal Garante della Privacy per tre violazioni di dati personali che sono state comunicate all’Autorità dallo stesso ospedale dopo aver portato a termine normali controlli periodici. Gli accessi indebiti hanno riguardato dati sanitari di dipendenti in cura presso lo stesso nosocomio. Le violazioni hanno riguardato: in un caso l’accesso era stato effettuato con le credenziali di un medico che aveva lasciato incustodita la propria postazione; negli altri due casi uno specializzando e un tecnico radiologo erano entrati nel dossier sanitario dei loro colleghi.
In tutti e tre gli episodi risulta accertato, per stessa ammissione dell’azienda ospedaliera, che gli accessi erano stati effettuati non per erogare prestazioni mediche, ma solo ed esclusivamente per ragioni personali, descritte dall’azienda come “mera curiosità”.
Gli accertamenti svolti dal Garante hanno evidenziato che le misure tecniche e organizzative adottate dall’ospedale, a tutela del dossier sanitario aziendale, non si erano dimostrate idonee ad assicurare una adeguata tutela dei dati personali dei pazienti e a proteggerli da trattamenti non autorizzati, determinando così un trattamento illecito di dati.
La violazione si sarebbe potuta evitare se l’azienda avesse semplicemente applicato alla lettera le Linee guida in materia di dossier sanitario (che sono state emanate dal Garante della Privacy nel 2015) prevedendo che l’accesso alla documentazione fosse limitato al solo personale sanitario che interviene nel processo di cura del paziente ed avesse prestato particolare attenzione nell’individuare i profili di autorizzazione e nella formazione del personale abilitato. L’adozione preventiva di tali misure, anche alla luce dei principi di protezione dati fin dalla progettazione (privacy by design) e per impostazione predefinita (privacy by default), costituisce oggi, per effetto delle disposizioni contenute nel Regolamento Ue 679/2016, un preciso dovere per i titolari del trattamento.
Il Garante, nel prendere atto che in seguito alla vicenda l’azienda ha avviato spontaneamente la revisione delle procedure d’accesso ai dossier sanitari, ha ingiunto alla stessa di completare tale operazione entro 90 giorni e per gli illeciti commessi ha applicato una sanzione di 30.000 euro.
Dott. Alessandro Pagliuca
