Il dossier sanitario rappresenta un trattamento specifico ed ulteriore rispetto a quello effettuato dal professionista sanitario per il singolo evento clinico occorso al paziente.
Mediante il dossier sanitario, infatti, il professionista può consultare tutte le informazioni elaborate all’interno dell’intera struttura sanitaria (e non solo del suo reparto) in occasione di eventi clinici passati, anche rispetto a patologie del paziente differenti rispetto a quella per cui è in cura in quel dato momento.
Ne discende un trattamento facoltativo che il paziente può accettare (prestando specifico consenso) o meno qualora preferisca rendere visibili al professionista soltanto le informazioni relative alla prestazione che ha richiesto.
Il livello di dettaglio del dossier sanitario impone la necessità di adottare misure a protezione dell’identità del paziente, sistemi di autenticazione e autorizzazione che assicurino l’accesso selettivo ai dati e scongiurino il rischio di accesso da parte di soggetti non autorizzati o di comunicazione a terzi di dati sanitari.
Il Garante privacy già nelle relative Linee guida del 2015 richiedeva che l’accesso fosse limitato al solo personale sanitario che interviene nel processo di cura del paziente.
Ciò si traduce in almeno due obblighi per le strutture sanitarie:
- Monitorare le ipotesi in cui il personale sanitario può consultare il dossier sanitario, per finalità di cura dell’interessato e, in base a tale ricognizione, individuare i diversi profili di autorizzazione all’accesso;
- Implementare sistemi per il controllo degli accessi (anche al database) e per il rilevamento di eventuali anomalie che possano configurare trattamenti illeciti.
Il caso indagato dal Garante nel provvedimento del 7 dicembre 2023
Un’azienda sanitaria, al fine di gestire l’emergenza da Covid-19, aveva configurato il DSE in modo da permettere al personale sanitario l’accesso ai dati dei pazienti di tutti i reparti dell'ospedale e del pronto soccorso senza specifiche limitazioni e a prescindere dal loro coinvolgimento nel percorso di cura.
Tale modifica delle impostazioni consentiva non soltanto l’accesso ai dati di chi era affetto da Covid-19 ma a tutti i dossier sanitari in relazione alle prestazioni erogate dall’Azienda a partire da marzo 2020 fino al momento dell’istruttoria del Garante.
In questo contesto, una infermiera aveva potuto accedere al dossier sanitario di un paziente (il reclamante) anche se non coinvolta nel percorso di cura dello stesso e aveva comunicato alla moglie del paziente, sprovvista di delega, informazioni relative alle prestazioni sanitarie erogate al marito.
Le conclusioni del Garante
L’Autorità ha dichiarato illecito il trattamento dei dati personali effettuato dall’Azienda per la violazione degli articoli 5, paragrafo 1, lettera a) e f), 9, 25 e 32 del GDPR, irrogando una sanzione amministrativa pari a 40.000 euro.
In considerazione del perdurare dell’assenza di limitazioni per l’accesso ai dossier sanitari, il Garante ha altresì ingiunto all’Azienda di:
- Limitare l’accesso al dossier sanitario al solo personale sanitario che può effettivamente essere coinvolto nel percorso di cura del paziente;
- Adottare un sistema per rilevare eventuali anomalie, tramite l’uso di alert che segnalino i rischi relativi alle operazioni eseguite dai soggetti autorizzati al trattament
La scelta di configurazione dell’Azienda non trova neanche giustificazione nella normativa d’urgenza (articolo 17-bis del Decreto-legge n.18/2020) che non ha derogato alla disciplina in materia di protezione dei dati i cui principi dovevano essere osservati anche nell’ottica delle semplificazioni per la gestione dell’emergenza sanitaria in atto.
In più, le previsioni della normativa emanata nel contesto della pandemia Sars-Cov-2 sono rimaste in vigore solo fino al 31 dicembre 2022. Tuttavia l’Azienda, ha mantenuto attive le medesime impostazioni di accesso successivamente a quel periodo, limitandosi a eliminare per i soli medici ambulatoriali la possibilità di visualizzare i dati del pronto soccorso.
Infine, violando gli articoli 5, paragrafo 1, lettera f) e 32 del GDPR, l’Azienda sanitaria non aveva neppure verificato periodicamente la persistenza delle condizioni per mantenere attive le utenze dei professionisti abilitati all’accesso al dossier sanitario. Le utenze non più operative (perché l’assegnatario non lavorava più presso la struttura sanitaria o perché l’accesso non veniva eseguito da un certo periodo di tempo) sono state eliminate solo dopo l’avvio dell’istruttoria da parte del Garante.
Rubrica "Privacy in Sanità: imparare dalle sanzioni"
Leggi gli altri articoli e accedi agli ulteriori contenuti presenti nella nostra rubrica dedicata.