Il mondo della sanità continua ad essere nel mirino dell’attività ispettiva del Garante per la protezione dei dati.

Con ordinanza dello scorso 23 gennaio, infatti, l’Autorità Garante ha comminato la sanzione di € 30.000,00 ad un’azienda ospedaliera che, all’esito delle normali attività di monitoraggio, aveva appurato la sussistenza di una serie di violazioni – tre nello specifico – per le quali ha ritenuto di procedere alla notificazione.

A seguito di ciò, l’Autorità Garante ha quindi avviato la fase istruttoria, dalla quale è emerso che:

  • le violazioni sono consistite in accessi a dati contenuti nei dossier sanitari elettronici di diciannove pazienti da parte di personale medico non autorizzato;
  • gli accessi da parte del predetto personale sono stati effettuati non per finalità di cura, ma per “mera curiosità”;
  • le misure tecniche ed organizzative adottate dall’azienda ospedaliera non si sono rivelate adeguate a garantire la sicurezza dei dati dei pazienti;
  • non sono state rispettate le prescrizioni contenute nelle Linee Guida in materia di dossier sanitario elettronico del 04 giugno 2015, che continuano a trovare piena applicazione anche dopo l’avvento del Regolamento UE.

Con riferimento a questo ultimo aspetto, il Garante per la protezione dei dati ha espressamente evidenziato l’importanza di individuare specifici profili di autorizzazione, nonché di formare accuratamente i soggetti autorizzati al trattamento dei dati.

Ciò, a maggior ragione nel caso del dossier sanitario elettronico, ove l’accesso ai dati contenuti è consentito solo al personale sanitario che interviene nel processo di cura del paziente, con modalità tecniche di autenticazione che rispettino le casistiche di accesso a tale strumento proprie della struttura sanitaria.

A nulla sono, peraltro, valse le osservazioni contenute nelle memorie difensive dall’azienda ospedaliera, ove quest’ultima oltre ad aver sottolineato la condotta “infedele” del personale medico – che ha agito in totale spregio alle istruzioni previste sia nel disciplinare tecnico sull’utilizzo delle risorse informatiche aziendali, sia nelle lettere di autorizzazione al trattamento dei dati – ha chiarito di aver adottato misure tecniche ed organizzative reputate necessarie ad adeguarsi alle prescrizioni del Garante in materia di dossier sanitario elettronico e di volerne implementare altre.

Il Garante ha deciso, comunque, di sanzionare l’azienda ospedaliera, ingiungendole altresì di completare l’implementazione delle misure di sicurezza entro il termine di 90 giorni dalla notificazione del provvedimento.

*** *** ***

Addetti alla sanità, quindi, non abbassate la guardia!

Nei giorni scorsi l’Autorità Garante ha dichiarato che, anche nel primo semestre del 2020, continueranno i controlli nel settore della sanità. In particolare, gli accertamenti si focalizzeranno sull’adeguatezza delle misure di sicurezza adottate e sulla correttezza delle informative circa il trattamento dei dati dei soggetti interessati.