Medici e infermieri non devono avere accesso al dossier sanitario dei pazienti di cui non si occupano: per questo motivo il Garante privacy ha sanzionato l’Azienda sanitaria universitaria Friuli Occidentale e l’Azienda sanitaria universitaria Friuli centrale rispettivamente per 50.000 e 70.000 euro. Le verifiche traggono origine da intrusioni da parte del personale senza un valido presupposto giuridico. In un caso, erano state utilizzate le credenziali di un medico incautamente scritte su un post-it vicino al computer.
La normativa prevede che le aziende sanitarie abbiano la responsabilità di implementare le corrette misure per evitare gli accessi irregolari alle informazioni dei pazienti da parte dei sanitari non coinvolti nei loro percorsi di cura. Il Garante, come spiegato in una nota, ha rilevato che “l’accesso al dossier sanitario avveniva attraverso sistemi che, non essendo stati correttamente configurati, consentivano a tutti coloro che prestavano servizio nelle due Asl (e in tutte quelle della Regione) di acquisire informazioni su qualsiasi paziente presente o non presente nelle due strutture sanitarie”.
Sanità digitale, tutti i risvolti privacy: come tutelare i dati personali garantendo l’assistenza
Nel multare le due aziende, il Garante ha ordinato al provider dell’applicazione per consultare i referti che siano introdotte misure di correzione.
Indice degli argomenti
Il caso dell’Azienda sanitaria universitaria Friuli Occidentale
Le verifiche sulla situazione dell’Azienda sanitaria universitaria Friuli Occidentale hanno preso il via dal reclamo presentato al Garante da parte di una signora relativo al trattamento dei dati svolto dall’Asl tramite il dossier sanitario aziendale. La signora ha denunciato tre diversi accessi alle proprie informazioni sanitarie da parte di un medico che non era mai stato coinvolto nel suo percorso terapeutico.
Gli accertamenti svolti dall’azienda hanno permesso di scoprire che un medico del servizio esternalizzato in un carcere della regione in modo del tutto autonomo aveva conservato le proprie credenziali di accesso su un post-it accanto al PC, in un modo quindi non conforme a quanto ufficialmente indicato dall’azienda. Le verifiche inoltre hanno portato ad appurare che gli accessi sono stati effettuati dagli ambulatori del carcere e che l’unica persona in servizio nelle ore in cui si sono verificati gli accessi irregolari era un’infermiera di una cooperativa, la quale conosceva la signora che ha sporto il reclamo. In seguito all’accaduto, è stata sporta denuncia alla Procura contro ignoti, affinché si valutino eventuali responsabilità penali.
Il Garante nella sua ordinanza ha spiegato che l’accesso al dossier deve essere “limitato al solo personale sanitario che interviene nel tempo nel processo di cura del paziente. Ciò significa che deve essere consentito l’accesso solo al personale che a vario titolo interviene nel processo di cura. L’accesso al dossier deve essere limitato, poi, al tempo in cui si articola il processo di cura, ferma restando la possibilità di accedere nuovamente al dossier qualora ciò si renda necessario in merito al tipo di trattamento medico da prestare all’interessato”.
Il Garante ha sanzionato l’Asl per 50.000 euro, ingiungendo misure correttive dei sistemi.
La vicenda dell’Azienda sanitaria universitaria Friuli centrale
Le sanzioni all’Azienda sanitaria universitaria Friuli centrale comminate dal Garante sono due, per un totale di 70.000 euro. Il primo caso riguarda una notifica da parte della stessa Azienda sanitaria di una violazione dei dati personali, in quanto due dipendenti hanno avuto accesso al “visore referti”, visionando il dossier sanitario di una dipendente in cura come paziente, senza che ce ne fossero validi motivi. In questo modo, i due avevano appreso informazioni sullo stato di salute della donna. L’azienda ha avviato un procedimento disciplinare nei confronti dei due dipendenti, presentando anche un esposto alla Procura di Udine.
Il secondo caso riguarda un reclamo da parte di una signora che ha segnalato più accessi al sistema del dossier sanitario aziendale da parte di personale del reparto di Pneumologia riabilitativa di un ospedale nella zona di Udine, dove la stessa lavora.
Il Garante, oltre a sottolineare come solo il personale che ha in cura un paziente possa accedere ai suoi dati, ha registrato la mancanza di “un sistema per il rilevamento di eventuali anomalie che possano configurare trattamenti illeciti, ovvero l’utilizzo di indicatori di anomalie (c.d. alert) volti ad individuare comportamenti anomali o a rischio relativi alle operazioni eseguite dai soggetti autorizzati al trattamento, utili per orientare successivi interventi di audit”. Inoltre, l’azienda ha utilizzato il protocollo di rete http che, “oltre a non garantire la riservatezza e l’integrità dei dati scambiati tra il browser dell’utente e il server che ospita l’applicazione, non consente agli utenti di verificare l’autenticità del server con cui colloquiano”. Dunque il Garante privacy ha multato l’azienda per 25.000 euro per il primo caso e di 45.000 euro per il secondo relativo al reclamo della signora.
Dossier sanitario, le linee guida del Garante privacy
Al riguardo, si ricorda che nel giugno 2015 il Garante privacy ha emanato le “Linee guida in materia di Dossier sanitario” nelle quali si stabilisce che “il titolare del trattamento deve porre particolare attenzione nell’individuazione dei profili di autorizzazione, adottando modalità tecniche di autenticazione al dossier che rispecchino le casistiche di accesso proprie di ciascuna struttura”.