Con il Provvedimento n. 9954220 del 12 ottobre 2023 il Garante ha sanzionato una Asl per non aver configurato il dossier sanitario aziendale in modo tale da impedire al personale di accedere ad informazioni sullo stato di salute dei colleghi per finalità ulteriori rispetto a quelle di cura. Il dossier sanitario è un archivio informatico che contiene informazioni personali e sanitarie e documenta la sua storia clinica del paziente, può essere consultato, secondo le regole dettate dal garante privacy dal personale sanitario solo se è direttamente coinvolto nel percorso di cura ed esclusivamente per il tempo necessario.
Fatto
L’Autorità ha ricevuto un reclamo da un’infermiera, dipendente e paziente della Asl, che ha lamentato plurimi accessi al proprio dossier sanitario da parte di colleghi della Azienda ospedaliera.
Istruttoria
L’Ufficio ha verificato che la configurazione del dossier sanitario adottato dall’Asl era stata effettuata in violazione dei principi base del trattamento dei dati personali dettati dal Regolamento UE 2016/679. Il dossier era infatti consultato per verificare la positività al Covid-19 e organizzare i turni ospedalieri.
Negli scritti difensivi l’Azienda ospedaliera ha contestualizzato gli accessi precisando come siano avvenuti in un periodo di emergenza pandemica, erano necessari e funzionali per tutelare “l’interesse vitale di migliaia di persone”.
Nel corso dell’istruttoria l’Autorità ha inoltre accertato che l’Azienda non aveva configurato correttamente il dossier sanitario: non erano previsti né limiti all’accesso, né sistemi di alert per verificare eventuali anomalie, né un monitoraggio e un sistema di rilevamento degli accessi.
Quadro giuridico di riferimento
Il Garante a proposito dei dati trattati oggetto di reclamo ha adottato “Linee guida in materia di Dossier sanitario” con le quali ha individuato le cautele e le misure necessarie ed opportune per tutelare i dati sanitari dei cittadini. Come indicato dal Garante l’interessato deve poter scegliere che le proprie informazioni sanitarie siano trattate o meno in un dossier, facendo in modo che sia garantita la possibilità che dati sanitari rimangano esclusi.
Inoltre, il dossier sanitario rientra tra gli ambiti per cui il trattamento dei dati necessita di un consenso esplicito e specifico, che nel caso in esame manca.
Gli interventi normativi adottati durante il periodo pandemico non hanno derogato alle citate Linee Guida per cui le disposizioni sono rimaste pienamente efficaci.
La sanzione
L’Autorità a seguito di un trattamento illecito dei dati in violazione dell’art. 5 del Regolamento 2016/679 (“Principi applicabili al trattamento di dati personali”) par.1, lett. a) “I dati personali sono trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza») e lett. b) “i dati personali sono raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali” ha sanzionato la Asl al pagamento di una sanzione amministrativa di Euro 40.000,00.
Inoltre, il Garante ha ordinato all’azienda ospedaliera di adottare nuove procedure e misure organizzative per garantire la tutela dei dati dei pazienti e dei dipendenti.
Questo articolo ti è stato utile?
Consulta le nostre sezioni dedicate al Regolamento 679/2016 (GDPR) e privacy e al supporto alle stazioni appaltanti. Puoi anche iscriverti alla nostra newsletter e non perdere le notizie più importanti in tema di Appalti, anticorruzione, digitalizzazione della PA e D.Lgs. 231 responsabilità delle persone giuridiche. Non preoccuparti, saremo moderati. Anche noi odiamo lo SPAM.