Le aziende sanitarie devono evitare l’accesso ai dati dei pazienti da parte di personale medico e infermieristico non coinvolto nel processo di cura.

Premessa: notifiche di violazioni e reclami attivano il Garante

Il Garante fa sapere di aver ricevuto, nell'arco di 18 mesi, varie notifiche di violazione e reclami in relazione al trattamento dati personali effettuato da alcune ASL del Friuli Venezia Giulia. Reclami e notifiche hanno riguardato in particolare il dossier sanitario aziendale, denominato Visore referti.

Le segnalazioni al Garante riferivano di ripetuti accessi a tale dossier da parte di personale sanitario sicuramente autorizzato al trattamento di dati sanitari, ma non coinvolto nelle cure dei soggetti a cui riferivano i dossier sanitari.

L'istruttoria del Garante: il problema dei profili di autorizzazione di accesso ai dati

L'istruttoria del Garante ha permesso di ricostruire che alcune ASL del Friuli Venezia Giulia, tutte appartenenti al servizio sanitario regionale, hanno istituito il dossier sanitario tramite l'app "Visore referti". L'applicativo "Visore referti" è di proprietà di un'azienda privata terza. Le modalità di configurazione di dossier sanitario consentivano al personale sanitario

"di accedere al dossier relativo a qualunque paziente fosse in quel momento fisicamente presente nell’Azienda sanitaria e, dichiarando la sussistenza di una pluralità di casistiche preordinate, anche a quelli dei pazienti non presenti nell’Azienda sanitaria".

Tale sistema ha permesso al personale sanitario di accedere, senza alcuna restrizione, al dossier sanitario di alcuni colleghi.

Il Garante riscontrava criticità anche nella gestione dei dati sanitari nel sistema di una casa circondariale. Dall'istruttoria è emerso infatti come il sistema consensitsse agli operatori sanitari di una casa circondariale di accedere ai dossier sanitari di tutti i pazienti dell'ASL e non soltanto a quelli relativi ai detenuti.

Ulteriori criticità imputabili alla società fornitrice dell'applicativo

Oggetto dell'istruttoria è stato l'intero sistema di gestione del dossier sanitario: il garante ha approfondito quindi anche eventuali criticità che fossero imputabili all'azienda terza fornitrice dell'applicativo. Facendo emergere come tale sistema non prevedesse un sistema di monitoraggio e alert volti a individuare e segnalare comportamenti anomali e / o pericolosi da parte di soggetti autorizzati al trattamento. Si parla di dati come il numero degli accessi eseguiti e il loro ambito temporale ecc…

Il Garante opta per la sanzione

Le criticità rilevate costituiscono violazione 

• del GDPR
• delle “Linee guida in materia di Dossier sanitario”. Tali linee guida risalgono al 2015 ma, tutt'ora in vigenza, chiariscono che
  “il titolare del trattamento deve porre particolare attenzione nell’individuazione dei profili di autorizzazione, adottando modalità tecniche di autenticazione al dossier che rispecchino le casistiche di accesso proprie di ciascuna struttura”.

Alla luce di quanto rilevato, il Garante ha optato per sanzionare due ASL per 50.000 e 70.000 ed ha concesso 60 giorni di tempo alla società informativa che fornisce l'applicativo per adeguare lo stesso alla normativa. Dovrà garantire  "un’adeguata sicurezza e integrità dei dati personali e scongiurare accessi non consentiti".

Qui i provvedimenti completi: 

• Ordinanza ingiunzione nei confronti di Azienda sanitaria universitaria Friuli Occidentale;
• Ordinanza ingiunzione nei confronti di Azienda sanitaria universitaria Friuli Centrale;
• Provvedimento del 26 maggio 2022.