Garante per la protezione dei dati personali: Provvedimento n. 18 del 23 gennaio 2020
Fatto
A seguito dei controlli periodicamente effettuati dall’ Azienda Ospedaliero Universitaria di Verona sugli accessi ai dati dei pazienti, la struttura sanitaria riscontrava che in 3 diversi momenti si erano verificati circa 16 accessi non giustificati ad alcuni dati di pazienti e in ragione di ciò comunicava al Garante della privacy, secondo quanto imposto dal GDPR, le suddette violazioni.
In particolare, l’ Azienda sanitaria faceva presente che, in un primo accesso effettuato dal reparto di Ginecologia con le credenziali di un medico di reparto che – durante lo svolgimento del suo turno – aveva lasciato incustodita la postazione del PC permettendone l’ utilizzo ad altri soggetti, erano stati visionati sei dossier sanitari di sei pazienti (che erano anche dipendenti dell’ Ospedale con funzione di ostetriche) e che non vi era alcuna ragione perché un medico di quel reparto accedesse a tali dati (in quanto si trattava di pazienti non in carico a quel reparto). In un secondo accesso, erano stati visionati sette dossier sanitari di pazienti dell’ Ospedale (che erano anch’ essi altresì dipendenti della struttura sanitaria) attraverso le credenziali di accesso di un tecnico di radiologia, il quale, in un caso, lo aveva effettuato per “vedere come funzionava” l’applicazione e, negli altri casi, aveva lasciato incustodita la postazione del PC permettendo così ad altri soggetti di accedere ai dati.
Infine, in un terzo accesso, uno specializzando di Neurologia aveva visionato 3 dossier sanitari di pazienti che erano anche medici del reparto di Neurologia, ma non erano in cura presso detto reparto e pertanto lo specializzando non avrebbe avuto alcuna ragione di visionarli (pertanto, probabilmente, secondo l’ Ospedale, l’accesso era stato dettato dalla curiosità dello specializzando).
Insieme alle 3 suddette comunicazioni delle violazioni, l’azienda sanitaria comunicava al Garante anche che la stessa aveva realizzato e portato a conoscenza di tutti i sanitari un proprio disciplinare tecnico su come usare gli strumenti informatici e delle istruzioni sulle modalità di accesso ai dossier sanitari nel rispetto della privacy nonché che aveva avviato un procedimento disciplinare nei confronti del personale che aveva causato i 3 accessi abusivi ai dati dei pazienti.
La decisione del Garante
A seguito delle comunicazioni dell’ Ospedale, il Garante privacy notificava alla struttura sanitaria – quale titolare del trattamento – l’ avvio del procedimento per verificare le violazioni e applicare le eventuali sanzioni previste dal GDPR.
In particolare, il Garante evidenziava che i trattamenti oggetto del procedimento erano configurabili come illeciti in quanto compiuti in violazione delle linee guida in materia di dossier sanitari e in assenza di un idoneo presupposto giuridico.
A tal proposito, veniva preliminarmente ricordato che il Garante, nel 2015, ha emanato delle linee guida sulle modalità di trattamento dei dati nei dossier sanitari, le quali continuano ad avere efficacia anche dopo l’entrata in vigore del GDPR e che impongono al titolare del trattamento di individuare i profili di soggetti che possono accedere ai dossier sanitari nonché di formare adeguatamente il personale, proprio al fine di permettere l’accesso soltanto ai sanitari che partecipano alla cura del paziente del cui dossier si tratta e evitare accessi da parte di soggetti che non sono autorizzati a conoscere i dati. Fra le misure tecniche, imposte al titolare del trattamento dalle suddette linee guida, per raggiungere tali obiettivi, il Garante ricorda la creazione di profili di autenticazione diversificati in base alle varie casistiche di accesso ai dossier e il monitoraggio degli accessi stessi. Sulla base di tali presupposti, quindi, il Garante accertava che nel caso oggetto di esame, il personale sanitario dell’ Ospedale aveva in parte effettuato gli accessi ai dossier sanitari in assenza di un idoneo presupposto giuridico e in parte aveva permesso l’accesso a soggetti terzi, lasciando incustodito il computer con le proprie abilitazioni di accesso attive.
A fronte delle imputazioni di cui sopra, formulate dal Garante, l’ Ospedale si è difeso ritenendo che il proprio comportamento era stato corretto e che la responsabilità degli accessi illegittimi era da imputarsi a comportamenti “infedeli” dei propri dipendenti che non avevano rispettato le direttive dell’ azienda.
Il comportamento virtuoso dell’ Ospedale, infatti, si poteva rinvenire nel fatto che lo stesso aveva denunciato penalmente i responsabili per accesso abusivo a sistema informatico e nel fatto che aveva provveduto a dare immediatamente notizia degli accessi agli interessati nonché a comunicare la violazione allo stesso Garante.
In secondo luogo, l’ Ospedale ha rilevato che gli interessati non avevano subito alcun danno rilevante, in considerazione del fatto che gli accessi erano stati effettuati per mera curiosità dai dipendenti dell’ azienda, come dimostrerebbe il fatto che nessuno degli interessati aveva segnalato la violazione (ma questa è stata riscontrata direttamente dall’ ospedale a seguito dei propri controlli periodici sugli accessi) né aveva lamentato alcunchè dopo aver ricevuto notizia della violazione.
Infine, l’ Ospedale ha evidenziato come lo stesso avesse, fin dalla emanazione delle linee guida del 2015, adottato le misure tecniche e organizzative per adempiere alle prescrizioni delle linee guida e dopo le violazioni abbia anche previsto ulteriori misure, fra le quali:
- l’inserimento di un disclaimer automatico ad ogni accesso a dossier sanitari con cui si comunica il tracciamento dell’accesso;
- l’ illustrazione a tutti i “delegati privacy” dell’ Ospedale dei contenuti delle linee guida in tema di dossier sanitari del 2015;
- la previsione che il soggetto che effettua l’accesso al dossier sanitario di un paziente non in cura presso di lui debba inserire la specifica motivazione dell’accesso (scegliendo fra le ipotesi previste in un menù a tendina oppure inserendo a meno il motivo).
Volume consigliato
La tutela della privacy in ambito sanitarioL’opera mira a fornire agli operatori del settore sanitario, pubblico e privato, gli strumenti per comprendere in modo chiaro e semplice la copiosa normativa relativa al trattamento dei dati sanitari, in modo che gli stessi possano adempiere con tranquillità agli obblighi su di loro gravanti, volti alla cura e alla protezione dei dati personali dei loro assistiti. In particolare, l’Autore, dopo aver illustrato le caratteristiche principali dei dati sanitari, necessarie per poter individuare quali informazioni rientrano in detta categoria, si dedica all’esame di tutte le disposizioni che incidono sul loro trattamento: dal codice privacy fino al GDPR, passando per le linee guida adottate dal Garante nel corso degli anni in tema di dossier sanitario, siti web dedicati alla salute, referti on-line, indagini di customer satisfaction nonché per la normativa in tema di fascicolo sanitario elettronico. Il trattamento dei dati in ambito sanitario, in considerazione della delicatezza delle informazioni che riguardano lo stato di salute degli interessati, è sempre stato estremamente pericoloso. L’opera si rende ancor più utile oggi, in un mondo in cui anche nell’ambito sanitario i dati personali assumono un’importanza fondamentale e vengono trattati attraverso diversi strumenti tecnologici ed elettronici, rientrando la protezione di tali dati tra i principali adempimenti che i professionisti e le strutture sanitarie debbono curare per poter fornire le proprie prestazioni senza preoccupazioni di incorrere in responsabilità.Pier Paolo Muià Si è laureato in Giurisprudenza presso l’Università degli Studi di Firenze. Esercita la professione di avvocato tra Firenze, Prato e Pistoia, occupandosi in particolare di responsabilità medica, diritto di internet, privacy e IP. È autore di numerose pubblicazioni sulle principali riviste giuridiche nazionali e collabora stabilmente con il portale giuridico Diritto.it. È stato relatore in diversi convegni, anche per ordini professionali medici. Pier Paolo Muià | 2018 20.00 € 16.00 € |
Nonostante le motivazioni addotte dalla struttura sanitaria, il Garante ha ritenuto comunque che i trattamenti oggetto di esame siano da ritenersi illeciti.
In particolare, l’ Autorità ha rilevato come:
- i sedici accessi non sono stati effettuati dal personale sanitario per finalità di cura degli interessati coinvolti, ma per ragioni personali;
- le misure adottate dall’ Ospedale non hanno comunque impedito che il personale sanitario potesse accedere ai dossier di pazienti che non aveva in cura;
- le misure adottate dall’ Ospedale si sono rivelate non adeguate a garantire la sicurezza dei dati personali;
- le ulteriori misure volte ad evitare che il personale possa accedere ai dati di pazienti che non ha in cura sono state adottate soltanto dopo la conoscenza delle violazioni oggetto del procedimento;
- se l’ Ospedale avesse adottato tali misure prima delle suddette violazioni, come avrebbero imposto i principi della privacy by default e by design, gli accessi non autorizzati sarebbero stati evitati o almeno limitati.
Ritenuto, quindi, che vi è stato un trattamento di dati in violazione della disciplina della privacy imputabile all’ Ospedale, il Garante ha – in primo luogo – ordinato alla struttura sanitaria, entro 90 giorni, di implementare le misure tecniche e organizzative indicate negli scritti difensivi inviati finalizzate a migliorare le procedure di accesso ai dossier sanitari da parte del personale autorizzato. In secondo luogo, ha comminato la sanzione amministrativa pecuniaria di € 30.000 a carico della struttura sanitaria, determinando detto importo in considerazione – da un lato – del fatto che le violazioni sono state numericamente contenute (soltanto 16) e non hanno dato luogo a reclami degli interessati e – dall’altro lato – del fatto che i dati “violati” erano afferenti alla salute degli interessati e che questi ultimi comunque potrebbero aver subito o potranno subire delle conseguenze dannose da tali violazioni.
Volume consigliato
La tutela della privacy in ambito sanitarioL’opera mira a fornire agli operatori del settore sanitario, pubblico e privato, gli strumenti per comprendere in modo chiaro e semplice la copiosa normativa relativa al trattamento dei dati sanitari, in modo che gli stessi possano adempiere con tranquillità agli obblighi su di loro gravanti, volti alla cura e alla protezione dei dati personali dei loro assistiti. In particolare, l’Autore, dopo aver illustrato le caratteristiche principali dei dati sanitari, necessarie per poter individuare quali informazioni rientrano in detta categoria, si dedica all’esame di tutte le disposizioni che incidono sul loro trattamento: dal codice privacy fino al GDPR, passando per le linee guida adottate dal Garante nel corso degli anni in tema di dossier sanitario, siti web dedicati alla salute, referti on-line, indagini di customer satisfaction nonché per la normativa in tema di fascicolo sanitario elettronico. Il trattamento dei dati in ambito sanitario, in considerazione della delicatezza delle informazioni che riguardano lo stato di salute degli interessati, è sempre stato estremamente pericoloso. L’opera si rende ancor più utile oggi, in un mondo in cui anche nell’ambito sanitario i dati personali assumono un’importanza fondamentale e vengono trattati attraverso diversi strumenti tecnologici ed elettronici, rientrando la protezione di tali dati tra i principali adempimenti che i professionisti e le strutture sanitarie debbono curare per poter fornire le proprie prestazioni senza preoccupazioni di incorrere in responsabilità.Pier Paolo Muià Si è laureato in Giurisprudenza presso l’Università degli Studi di Firenze. Esercita la professione di avvocato tra Firenze, Prato e Pistoia, occupandosi in particolare di responsabilità medica, diritto di internet, privacy e IP. È autore di numerose pubblicazioni sulle principali riviste giuridiche nazionali e collabora stabilmente con il portale giuridico Diritto.it. È stato relatore in diversi convegni, anche per ordini professionali medici. Pier Paolo Muià | 2018 20.00 € 16.00 € |
Scrivi un commento
Accedi per poter inserire un commento