Con il provvedimento del 22 febbraio 2024 (Registro dei provvedimenti n. 97), il Garante per la protezione dei dati personali ha sanzionato per 75mila euro l’Azienda sanitaria dell’Alto Adige (di seguito, “Azienda” o “ASDAA”) per non aver configurato correttamente le modalità di accesso al dossier sanitario elettronico (DSE).
In particolare, sono stati segnalati ripetuti accessi al dossier da parte di personale sanitario che, sebbene autorizzato al trattamento, non era coinvolto nel processo di cura dei soggetti a cui i dossier sanitari si riferivano. In un caso, una professionista dell’Azienda era infatti riuscita a visionare gli esami di laboratorio dell’ex marito a sua insaputa pur essendo quest’ultimo non in cura da lei.
Inoltre, dalle verifiche effettuate dall’Autorità è emerso che l’accesso al documento era consentito, per impostazione predefinita, a un’ampia lista di figure professionali che niente avevano a che fare con il percorso di cura dei pazienti, compreso il personale amministrativo.
Indice degli argomenti
I riferimenti normativi in materia di dossier sanitario
In via preliminare, si rappresenta che il trattamento di dati personali deve avvenire nel rispetto della normativa applicabile in materia di protezione dei dati personali e, in particolare, delle disposizioni del Regolamento europeo 2016/679 (GDPR) e del D.lgs. n. 196 del 30 giugno 2003 (Codice in materia di protezione dei dati personali – di seguito, il “Codice”).
Con riferimento ai trattamenti in esame, il Garante ha adottato le “Linee guida in materia di Dossier sanitario – 4 giugno 2015” (Provvedimento del 4.6.2015, pubblicato in G.U. 164 del 17 luglio 2015), che, al pari degli altri provvedimenti dell’Autorità, continuano ad applicarsi anche dopo la piena applicazione del GDPR, in quanto compatibili con lo stesso (art. 22, comma 4, D.lgs. n. 101/2018).
Nelle predette Linee guida il Garante, al fine di scongiurare il rischio di un accesso alle informazioni trattate mediante il dossier sanitario da parte di soggetti non autorizzati o di comunicazione a terzi di dati sanitari da parte di soggetti a ciò abilitati, ha specificamente chiesto al titolare del trattamento di porre particolare attenzione nell’individuazione dei profili di autorizzazione e nella formazione dei soggetti abilitati, dovendo essere limitato l’accesso al dossier al solo personale sanitario che interviene nel processo di cura del paziente ed essere adottate modalità tecniche di autenticazione al dossier che rispecchino le casistiche di accesso a tale strumento proprie di ciascuna struttura sanitaria.
Il titolare del trattamento deve monitorare l’accesso al dossier sanitario
A tal fine, il Garante ha indicato ai titolari del trattamento di effettuare un monitoraggio delle ipotesi in cui il relativo personale sanitario può avere necessità di consultare il dossier sanitario, per finalità di cura dell’interessato e, in base a tale ricognizione, individuare i diversi profili di autorizzazione all’accesso.
L’accesso al dossier deve essere, pertanto, limitato al solo personale sanitario che interviene nel tempo nel processo di cura del paziente. Ciò significa che deve essere consentito l’accesso solo al personale che a vario titolo interviene nel processo di cura.
L’accesso al dossier deve essere limitato, poi, al tempo in cui si articola il processo di cura, ferma restando la possibilità di accedere nuovamente al dossier qualora ciò si renda necessario in merito al tipo di trattamento medico da prestare all’interessato.
Tenuto conto del diritto di oscuramento esercitabile dall’interessato ai dati accessibili mediante il dossier sanitario e quindi la possibile incompletezza di tale strumento informativo, il titolare deve individuare, in relazione alle diverse funzioni a cui è adibito il personale, soluzioni tecniche organizzative che consentano agli organi amministrativi della direzione sanitaria di accedere, nei limiti delle attribuzioni previste per legge, a una base informativa più completa rispetto a quella presente nel dossier sanitario aziendale.
Le misure per prevenire trattamenti illeciti dei dati
Si rappresenta inoltre che, nelle predette Linee guida, l’Autorità ha ritenuto che il titolare del trattamento debba mettere in opera sistemi per il controllo degli accessi anche al database e per il rilevamento di eventuali anomalie che possano configurare trattamenti illeciti, attraverso l’utilizzo di indicatori di anomalie (c.d. alert) utili per orientare successivi interventi di audit.
Il titolare deve prefigurare, quindi, l’attivazione di specifici alert che individuino comportamenti anomali o a rischio relativi alle operazioni eseguite dagli incaricati del trattamento (es. relativi al numero degli accessi eseguiti, alla tipologia o all’ambito temporale degli stessi).
Precedenti interventi del Garante sul dossier sanitario
Con provvedimento del 3 luglio 2014 (doc. web n. 3325808) l’Autorità era già intervenuta in merito al trattamento dei dati effettuati attraverso il dossier sanitario aziendale dell’ASDAA.
In tale provvedimento il Garante aveva ravvisato specifici profili di criticità relativi all’informativa e al consenso degli interessati, vietando all’Azienda ulteriori trattamenti di dati personali, acquisiti senza il consenso informato degli interessati e prescrivendo alla stessa le misure necessarie per rendere il trattamento lecito.
Con specifico riferimento agli aspetti del trattamento oggetto del presente provvedimento, ovvero alla necessità che l’accesso al dossier sia consentito solo al personale che ha effettivamente in cura l’interessato, nel predetto provvedimento il Garante aveva rilevato che i dossier sanitari potevano essere consultati, in ogni momento, da parte degli esercenti le professioni sanitarie operanti all’interno dell’Azienda sanitaria dell’Alto Adige, a prescindere dalla circostanza che avessero in cura l’interessato.
Ciò stante il Garante aveva prescritto all’Azienda di completare la messa in atto di specifici accorgimenti che consentissero ai soli professionisti sanitari che avessero in quel momento in cura il paziente (che abbia già manifestato un consenso informato alla costituzione del dossier) di accedere al suo dossier sanitario e per il tempo in cui si sarebbe articolato il percorso di cura (cfr. provvedimento di differimento dell’11 settembre 2014, doc. web n. 3494478).
Ulteriori criticità erano state rilevate anche in merito al diritto di oscuramento, con riferimento al quale il Garante aveva prescritto alla predetta Azienda di mettere in atto specifici accorgimenti che consentissero all’interessato di poter esprimere la volontà di oscurare nel proprio dossier sanitario singoli eventi clinici anche relativi al pregresso.
Gli illeciti riscontrati nell’accesso al dossier sanitario
La configurazione del dossier sanitario presente nel momento in cui si sono verificati i fatti oggetto di reclamo e di notifica di violazione consentiva al personale sanitario di accedere a tale strumento informativo relativo a qualunque paziente fosse stato assistito dalla stessa, dichiarando la sussistenza di una pluralità di casistiche preordinate.
Sebbene l’Azienda avesse dichiarato di aver ottemperato al citato provvedimento del Garante del 3 luglio 2014, le misure messe in atto non risultavano pienamente idonee a garantire che potesse accedere al dossier sanitario di un paziente solo il personale sanitario che lo avesse in cura.
In particolare, la configurazione originaria del dossier sanitario effettuata dall’ Azienda ha reso di fatto possibile che attraverso l’utenza di un professionista sanitario operante presso la stessa si potesse accedere al dossier sanitario di interessati che non solo non erano in cura presso il titolare dell’utenza, ma che non risultavano neanche associati a “eventi clinici amministrativi tracciati a livello informatico”.
La sanzione
In conclusione, il Garante Privacy ha infine accertato ulteriori illeciti, tra cui la mancata predisposizione di un sistema di alert, volto ad individuare comportamenti anomali o a rischio relativi alle operazioni eseguite dagli incaricati al trattamento (es. relativi al numero degli accessi eseguiti, alla tipologia o all’ambito temporale degli stessi).
Oltre ad applicare la sanzione amministrativa, l’Autorità ha dunque ordinato all’Asl di mettere in atto tutte le misure tecniche e organizzative necessarie per garantire la sicurezza dei dati personali trattati e scongiurare nuovi accessi abusivi.
