In ottemperanza al dettato del GDPR, l’Azienda Ospedaliero Universitaria Integrata di Verona comunicava al Garante alcune violazioni di dati personali ai sensi dell’art. 33 per accessi ai dossier sanitari dei pazienti. In dettaglio, l’Azienda comunicava di avere riscontrato accessi impropri ad alcuni dossier di pazienti. In un caso si era trattato di un accesso con le credenziali di un medico che erano state lasciate incustodite; in un altro si sarebbe trattato di un accesso per verificare la funzionalità del sistema e, infine, l’ultimo dettato da mera curiosità di uno specializzando. L’azienda faceva presente che tutto il personale era a conoscenza del disciplinare per accessi e uso risorse informatiche e dichiarava di voler implementare alcune misure di sicurezza oltre a comunicare l’apertura di procedimenti disciplinari. 

Il Garante iniziava la propria istruttoria e l’azienda faceva pervenire memorie difensive dalle quali emergeva come, in ogni caso, la responsabilità dell’accaduto fosse da imputarsi a personale infedele. In ogni caso, trattandosi di dati sensibili, l’azienda comunicava immediatamente le violazioni al Garante il quale, già nella prima parte del suo provvedimento, non poteva omettere di sottolineare come le misure poste in essere si siano rilevate non pienamente adeguate per garantire una sufficiente sicurezza dei dati personali e, di conseguenza ha emesso la propria decisione.

La prima e non certo irrilevante parte di detta decisione è l’imposizione di completare, entro novanta giorni, l’implementazione di misure volte a migliorare le procedure di accesso ai dossier sanitari aziendali da parte del personale autorizzato. Potrebbe essere un costo non indifferente, specialmente se si aggiunge ai trentamila euro di sanzione amministrativa che vorrebbe avere anche natura dissuasiva.

Il provvedimento si colloca in una linea di condotta del Garante che, oltre a sanzionare gli illeciti e lasciare aperta la possibilità di agire in via disciplinare nei confronti dei dipendenti, cerca in qualche modo di sensibilizzare le aziende alla protezione del dato, specialmente chi tratti dati sensibili come, appunto, nel caso della ASL integrata di Verona. Quello del personale è un problema di non poco conto già in strutture di piccole dimensioni, dove basta una segretaria distratta; facile immaginarsi cosa possa accadere in strutture in cui il numero di dipendenti e collaboratori che possono venire in contatto con i dati cresce in misura esponenziale. Da qui la necessità di provvedere non solo a predisporre un rigoroso disciplinare e indicare modalità scrupolose di uso degli strumenti aziendale e limitare gli accessi, ma anche quello di fornire un adeguato training a tutti coloro che debbano operare.

In ogni caso, dobbiamo ricordare, come del resto ha fatto il Garante, che alcune tipologie di accesso possono configurare reato e, ferme le responsabilità del Titolare del Trattamento, i dipendenti che commettano violazioni, oltre alle sanzioni disciplinari (fino al licenziamento), possono essere chiamati a rispondere di detti reati oltre che essere richiesti del risarcimento dei danni.