L’Asl sanzionata dal Garante della Privacy per il trattamento illecito dei dati del fascicolo sanitario elettronico
L’Autorità Garante per la Privacy ha multato una Asl (Azienda Sanitaria Locale) per l’importo di 75mila euro a causa di un trattamento illecito dei dati presenti nel fascicolo sanitario elettronico (Dse). Questa decisione è stata presa in seguito a diversi reclami e segnalazioni che hanno evidenziato un uso improprio delle informazioni personali attraverso il sistema di archiviazione e refertazione delle prestazioni erogate dall’azienda sanitaria.
In particolare, sono stati segnalati numerosi accessi non autorizzati al Dse da parte di personale sanitario che non faceva parte del processo di cura dei pazienti. Un caso particolare ha rivelato che una professionista dell’Asl è riuscita a visionare gli esami di laboratorio del suo ex marito senza che quest’ultimo fosse in cura presso di lei.
Dalle indagini effettuate dall’Autorità Garante per la Privacy è emerso che il sistema di gestione del Dse consentiva agli operatori sanitari di inserire manualmente, attraverso un’autocertificazione, la motivazione per la quale richiedevano l’accesso ai dati. Inoltre, l’accesso al documento era predefinito per una vasta gamma di figure professionali che non avevano alcun coinvolgimento diretto nel percorso di cura dei pazienti, incluso il personale amministrativo. Questa situazione va contro quanto stabilito dal Garante Privacy con le “Linee guida in materia di Dossier sanitario” del giugno 2015, secondo le quali il titolare del trattamento deve prestare particolare attenzione nell’individuare i profili di autorizzazione, adottando modalità tecniche di autenticazione che riflettano le specifiche esigenze di accesso di ciascuna struttura. È fondamentale garantire che solo il personale sanitario coinvolto nel processo di cura del paziente abbia accesso ai dati presenti nel Dse.
Il Garante per la Privacy ha inoltre riscontrato ulteriori violazioni, tra cui l’assenza di un sistema di alert che avrebbe dovuto individuare comportamenti anomali o a rischio legati alle operazioni svolte dai responsabili del trattamento. Questo sistema avrebbe dovuto segnalare, ad esempio, il numero di accessi effettuati, la tipologia e il periodo temporale degli stessi.
Oltre alla sanzione amministrativa, l’Autorità Garante per la Privacy ha ordinato all’Asl di implementare tutte le misure tecniche e organizzative necessarie per garantire la sicurezza dei dati personali trattati e per evitare futuri accessi abusivi.
Questa sanzione rappresenta un importante richiamo per tutte le aziende del settore sanitario che gestiscono dati sensibili dei pazienti. È fondamentale che queste aziende adottino le misure necessarie per garantire la sicurezza e la riservatezza delle informazioni personali, al fine di evitare ricadute negative sulla privacy dei pazienti e di rispettare le normative vigenti.
In conclusione, la decisione del Garante per la Privacy di sanzionare l’Asl per il trattamento illecito dei dati del fascicolo sanitario elettronico sottolinea l’importanza di una corretta gestione e protezione delle informazioni personali nel settore sanitario. È fondamentale che le aziende adottino le giuste precauzioni per evitare abusi e garantire la riservatezza dei dati dei pazienti. Solo in questo modo si può garantire un ambiente sicuro e protetto per tutti coloro che usufruiscono dei servizi sanitari.