Una multa di 75mila euro è stata comminata dal Garante per la Protezione dei Dati Personali a un’Asl per non aver correttamente configurato le modalità di accesso al dossier sanitario elettronico (DSE). L’ente di sorveglianza ha preso provvedimenti in risposta a lamentele e segnalazioni riguardanti il trattamento non autorizzato di informazioni personali tramite il sistema di archiviazione e di registrazione delle prestazioni sanitarie fornite dall’azienda sanitaria. In particolare, si sono verificati accessi ripetuti al DSE da parte di personale medico non coinvolto nella cura dei pazienti. In un caso, un dipendente dell’Asl è riuscito a visualizzare i risultati degli esami di laboratorio del suo ex coniuge senza il suo consenso, non essendo quest’ultimo in cura presso di lei.
Dalle indagini condotte dal Garante è emerso che il sistema di gestione del DSE permetteva agli operatori sanitari di inserire manualmente, attraverso autocertificazione, il motivo per cui richiedevano l’accesso al dossier medico. Inoltre, l’accesso al documento era consentito, per impostazione predefinita, a una vasta gamma di figure professionali non coinvolte nel processo di cura dei pazienti, inclusi i dipendenti amministrativi.
Tutto ciò è stato fatto in violazione di quanto stabilito dallo stesso Garante della Privacy con le “Direttive riguardanti il Dossier sanitario” del giugno 2015, secondo cui “il responsabile del trattamento deve prestare particolare attenzione nell’individuare i profili di autorizzazione, adottando modalità tecniche di autenticazione del dossier che rispecchino le diverse casistiche di accesso di ciascuna struttura“, garantendo che l’accesso al dossier sia limitato al solo personale sanitario coinvolto direttamente nella cura del paziente nel tempo.
Il Garante ha inoltre riscontrato altre violazioni, tra cui la mancata implementazione di un sistema di avviso per individuare comportamenti anomali o a rischio relativi alle operazioni svolte dagli incaricati del trattamento (ad esempio, il numero di accessi effettuati, la tipologia o il periodo temporale degli stessi).
Oltre all’applicazione della sanzione amministrativa, l’Organo di Vigilanza ha ordinato all’Asl di adottare tutte le misure tecniche e organizzative necessarie per garantire la sicurezza dei dati personali trattati e prevenire ulteriori accessi abusivi.