Con provvedimento n. 18 del 23 gennaio 2020 il Garante Privacy ha condannato un ospedale al pagamento della sanzione di € 30.000 per non aver posto in essere adeguate misure idonee ad impedire ai propri dipendenti di accedere ai dossier sanitari dei pazienti in assenza di specifiche finalità di cura.
Che cos’è il dossier sanitario elettronico?
Il dossier sanitario elettronico è lo strumento costituito presso un organismo sanitario in qualità di unico titolare del trattamento (ad es. un ospedale, un’azienda sanitaria, una casa di cura), attraverso il quale vengono rese accessibili tutte le informazioni inerenti allo stato di salute di un individuo relative ad eventi clinici presenti e trascorsi che lo hanno interessato (ad esempio referti di laboratorio, documentazione relativa a ricoveri, accessi al pronto soccorso ecc.), al fine di documentarne la storia clinica.
La differenza rispetto al Fascicolo Sanitario Elettronico (FSE) sta nel fatto che, mentre il dossier sanitario raccoglie le informazioni relative agli eventi clinici occorsi all´interessato esclusivamente presso un´unica struttura sanitaria, nel FSE sono contenuti i documenti e le informazioni sanitarie generate da più strutture sanitarie, tutte costituenti autonomi titolari del trattamento.
La vicenda.
Nel maggio del 2019 l’Azienda Ospedaliera Universitaria Integrata di Verona inviava al Garante Privacy tre distinte comunicazioni in cui dava conto di aver riscontrato, all’esito dei controlli periodici sull’uso dell’applicativo che gestisce il dossier sanitario, alcuni episodi di accessi illegittimi ai dossier sanitari dei pazienti da parte del personale operante nella struttura.
Nello specifico, la natura abusiva degli accessi discendeva dal fatto che essi erano stati tutti effettuati non per specifiche finalità di cura dei pazienti ma per ragioni esclusivamente personali che l’Azienda ospedaliera stessa ha ricondotto alla mera curiosità di alcuni sanitari che, in violazione dei principi di cui agli artt. 5 e 9 del Regolamento UE 2016/679 (GDPR), avevano “sbirciato” i dossier di persone che, oltre che pazienti della struttura, erano – guarda caso – anche loro colleghi.
In particolare, secondo quanto ricostruito dall’ospedale, in un caso l’accesso era stato effettuato da ignoti avvalendosi delle credenziali di un medico che, incautamente, aveva lasciato incustodita la propria postazione, mentre negli altri casi due dipendenti, rispettivamente uno specializzando e un tecnico radiologo, erano volontariamente entrati nel dossier sanitario di alcuni colleghi per curiosità.
Successivamente alla comunicazione al Garante, l’ospedale notiziava l’Autorità di aver avviato procedimenti disciplinari nei confronti dei dipendenti responsabili e dava conto sia delle misure di sicurezza già adottate ( “Disciplinare tecnico sull’uso delle risorse informatiche aziendali”; profili autorizzativi di accesso differenziati per il personale abilitato; impostazione di un intervallo di timeout per la sessione dell’applicativo utilizzato per i dossier sanitari), sia di quelle in fase di implementazione (ad esempio attivazione sull’applicativo di un disclaimer tale per cui, ogni qualvolta un operatore sanitario si accinga ad accedere alla documentazione sanitaria di un paziente che non è in carico all’Unità operativa di afferenza, gli venga ricordato che quell’accesso sarà tracciato e monitorato).
All’esito dell’istruttoria, con provvedimento n. 18 del 23.1.2020 il Garante condannava l’Azienda ospedaliera al pagamento di una sanzione amministrativa pecuniaria pari ad € 30.000 per violazione dell’art. 5 par. 1 lett. f) del GDPR, contestandole sia di non aver impedito che il personale sanitario potesse accedere alla documentazione clinica di pazienti non in cura presso il reparto specifico di pertinenza, sia di non aver adottato misure tecniche e organizzative adeguate al fine di garantire la sicurezza dei dati personali, ivi compresa la protezione da trattamenti non autorizzati.
Quali sono le cautele da osservare per il trattamento dei dati effettuati in relazione ai dossier sanitari elettronici?
Sin dal 2009 il Garante aveva avvertito l’esigenza di delineare specifiche garanzie, responsabilità e diritti in ordine alla condivisione da parte di ospedali e professionisti sanitari delle informazioni che consentono di ricostruire la storia clinica di un individuo.
In tal senso aveva adottato dapprima, nel luglio 2009, le “Linee guida in tema di Fascicolo sanitario elettronico (Fse) e di dossier sanitario” (v. provv. del 16 luglio 2009) e, successivamente, nel giugno 2015 le “Linee guida in materia di Dossier sanitario” (v. Provvedimento del 4.6.2015, pubblicato in G.U. 164 del 17 luglio 2015 – per saperne di più consulta il nostro precedente articolo al seguente link).
In particolare, le Linee guida del 2015, proprio al fine di scongiurare il rischio di un accesso alle informazioni trattate mediante il dossier sanitario da parte di soggetti non autorizzati o di comunicazione a terzi di dati sanitari da parte di soggetti a ciò abilitati, imponevano ai titolari del trattamento di porre particolare attenzione nell’individuazione dei profili di autorizzazione del personale sanitario e nella formazione dei soggetti abilitati, specificando come gli accessi al dossier dovessero essere limitati al solo personale sanitario coinvolto nel processo di cura del paziente e dovessero essere adottate modalità tecniche di autenticazione per l’accesso al dossier che rispecchiassero le casistiche di accesso a tale strumento proprie di ciascuna struttura sanitaria.
A tal fine, il Garante aveva prescritto ai titolari del trattamento di effettuare un preventivo monitoraggio delle ipotesi in cui il personale sanitario potesse avere necessità di consultare il dossier sanitario per finalità di cura dell’interessato e, in base a tale ricognizione, di individuare di i diversi profili di autorizzazione all’accesso.
Tali provvedimenti, in quanto compatibili, devono considerarsi pienamente efficaci anche dopo l’entrata in vigore del Reg. UE 2016/679 (GDPR), secondo quanto previsto all’art. 22, comma 4, d.lgs n. 101/2018.
L’avvento del GDPR, nell’innalzare gli standard di tutela previsti per i dati personali, ha inoltre imposto ai titolari del trattamento di individuare e predisporre in via preventiva tutte le misure necessarie al fine di garantire che i trattamenti di dati avvengano nel rispetto della normativa vigente, in ossequio ai principi di privacy by design e privacy by default contemplati all’art. 25 del GDPR stesso.
L’ammontare della sanzione comminata all’Ospedale: quali criteri sono stati adottati dal Garante nella determinazione?
Come sopra accennato, l’Ospedale è stato sanzionato per violazione dell’art. 5, par. 1, lett. f), del Regolamento con l’applicazione di una sanzione amministrativa pecuniaria di € 30.000, calcolata ai sensi dell’art. 83, par. 5, lett. a) del GDPR.
La norma prevede che la sanzione sia determinata, in funzione delle circostanze di ogni singolo caso, tenuto conto dei principi di effettività, proporzionalità e dissuasività.
Nella quantificazione dell’ammontare hanno giocato a favore dell’Ospedale sia il fatto che effettuasse controlli periodici sul funzionamento dell’applicativo del dossier sanitario, sia che si fosse “autodenunciato” (come imposto dalle norme del GDPR sul c.d. data breach nei casi in cui vengano riscontrati dal titolare del trattamento accessi non autorizzati ai dati personali), comunicando spontaneamente all’Autorità i rilevati accessi illegittimi sia che avesse, in seguito alle notificazioni, implementato spontaneamente le misure tecniche e organizzative volte a limitare l’accesso al dossier sanitario dei pazienti solo al personale sanitario che li ha in cura in un determinato momento individuando delle soluzioni logico-informatiche in linea con le indicazioni contenute nelle citate Linee guida del 2015.
