Il Garante per la protezione dei dati personali ha comminato una sanzione di 80.000 euro all’azienda ospedaliero-universitaria Careggi per non aver configurato correttamente il dossier sanitario, violando numerose disposizioni previste dal Regolamento (UE) 2016/679 (GDPR) e dalle Linee guida del Garante privacy del 4 giugno 2015.
Il provvedimento è frutto di un accertamento ispettivo effettuato presso l’azienda sanitaria, con l’obiettivo di verificare il rispetto della normativa sulla protezione dei dati personali nei trattamenti effettuati attraverso il dossier sanitario.
Ecco quali sono le violazioni principali emerse.
Indice degli argomenti
Le violazioni riscontrate nell’uso del dossier sanitario
Durante l’attività ispettiva, è emerso che l’Azienda utilizzava due applicativi software rispettivamente dedicati alla gestione delle cartelle ambulatoriali e delle cartelle di ricovero.
Questi sistemi permettevano al personale sanitario di effettuare ricerche sulla storia clinica dei pazienti, anche nel caso in cui il singolo operatore non fosse direttamente coinvolto nel percorso di cura del paziente.
Tale pratica, oltre a non rispettare i principi di minimizzazione dei dati, non consentiva un controllo adeguato sull’accesso alle informazioni riservate, violando la normativa sulla protezione dei dati personali.
In particolare, i sistemi in uso non prevedevano un’adeguata profilazione degli accessi né misure di sicurezza come il tracciamento delle operazioni effettuate sugli applicativi.
La mancanza di un sistema di alert o di registrazione delle attività su appositi file di log ha reso difficile il monitoraggio delle operazioni svolte sui dati sanitari, creando potenziali rischi di accessi non autorizzati o di trattamenti illeciti dei dati.
Cosa sono il Gdpr e le Linee guida in materia di Dossier sanitario del 4 giugno 2015
Il GDPR (General Data Protection Regulation), entrato in vigore nel 2016 dopo l’approvazione del Parlamento europeo, a partire dal 25 maggio 2018, impone a tutte le organizzazioni di essere conformi. Ai fini degli obblighi normativi il Regolamento Generale sulla Protezione dei Dati prevede, per chi viola gli standard di privacy e sicurezza, pesanti sanzioni.
Le Linee guida in materia di Dossier sanitario del 4 giugno 2015 sono un provvedimento del Garante per la protezione dei dati personali che definiscono le regole per il trattamento dei dati nei dossier sanitari elettronici (DSE) istituiti presso le strutture sanitarie.
Stabiliscono che il paziente deve poter scegliere se le informazioni cliniche che lo riguardano alimenteranno il dossier a cui avrà accesso soltanto il personale sanitario che effettivamente lo ha in cura.
Mancanza di informativa e di acquisizione del consenso
Una delle principali violazioni riscontrate riguarda la mancata acquisizione del consenso da parte dei pazienti per il trattamento dei loro dati sanitari mediante dossier sanitario.
Sebbene fosse presente un’informativa sul trattamento dei dati tramite dossier sanitario sul sito web dell’Azienda, questa risultava non aggiornata alle modifiche normative introdotte dal Regolamento UE 679/2016 e dal D.lgs. 196/2003, come novellato dal d.lgs n. 101/2018.
Secondo quanto dichiarato dall’Azienda, è stato precisato che, fino alla data delle verifiche ispettive, a prescindere da specifici progetti, al paziente veniva richiesto un solo consenso al trattamento dei dati personali per fini di cura che corrisponde a quello che era previsto dagli artt. 75 e ss. del Codice prima della revisione operata dal d.lgs n. 101/2018 a seguito della piena applicazione del Regolamento.
Tale consenso era acquisito oralmente dall’operatore sanitario e tale operazione veniva registrata nei predetti applicativi mediante apposito flag.
Inadeguatezza nell’esercizio dei diritti degli interessati
Un altro punto critico riguardava l’esercizio dei diritti degli interessati. Sebbene i pazienti avessero la possibilità teorica di chiedere l’accesso agli storici degli accessi effettuati sulla propria cartella sanitaria, tale diritto non veniva comunicato in modo adeguato agli utenti.
Inoltre, si garantiva solo la possibilità di oscurare interamente la propria cartella sanitaria, senza prevedere alcuna opzione per l’oscuramento parziale dei singoli documenti contenuti nella cartella di degenza.
Questa mancanza di opzioni per la protezione dei dati sanitari non solo contravviene al principio di minimizzazione dei dati, ma preclude anche la possibilità per i pazienti di esercitare pienamente i loro diritti di privacy.
Gestione inadeguata dei profili di accesso
Un altro aspetto problematico riguarda la gestione dei profili di autorizzazione e l’accesso ai dati sanitari.
L’attribuzione dei profili di accesso si effettuava internamente, ma senza un’adeguata regolamentazione delle modalità di assegnazione.
Sebbene l’accesso fosse basato su un sistema di autenticazione a due fattori, non vi erano regole aziendali chiare e predeterminate sull’attribuzione dei profili di accesso, e il sistema non garantiva un monitoraggio e un controllo costante sull’accesso ai dati.
La centralizzazione del processo di gestione degli accessi e la mancanza di
supervisione sui comportamenti del personale sanitario hanno contribuito a creare lacune nella sicurezza del trattamento dei dati.
Assenza di misure di sicurezza adeguate
Infine, è stato riscontrato che l’Azienda non prevedeva misure di sicurezza, tecniche ed organizzative adeguate per la protezione dei dati sanitari.
Non esisteva alcuna funzione per l’oscuramento parziale delle cartelle sanitarie, limitando la possibilità di tutelare adeguatamente i dati più delicati.
Inoltre, non erano previste misure di oscuramento automatico per i dati sanitari, come quelli relativi a trattamenti per malattie gravi o per prestazioni soggette a maggior tutela, violando così il principio di protezione dei dati fin dalla progettazione.
Le azioni correttive avviate dall’azienda
In seguito all’accertamento, l’azienda ha dichiarato di voler avviare immediatamente una serie di azioni correttive per conformare il sistema alle Linee guida del Garante del 2015 e ai principi del Regolamento Generale sulla Protezione dei Dati.
Tra le misure intraprese, figurano:
- blocco degli accessi non consapevoli: disposto un blocco dell’accesso e della visibilità delle cartelle sanitarie attraverso il dossier fino all’acquisizione del consenso informato esplicito da parte dei pazienti;
- aggiornamento dell’Informativa: aggiornata l’informativa ai sensi dell’art. 13 del Gdpr, con la quale si comunica ai pazienti come i loro dati saranno trattati, sia in fase di accettazione che online, garantendo una maggiore trasparenza;
- introduzione di consensi specifici: implementato un sistema completamente informatizzato per la gestione del consenso, che genera un codice OTP da comunicare al paziente per il consenso. Gli operatori consentiranno comunque la possibilità di esprimere il consenso tramite modulistica cartacea;
- procedure aggiornate per l’esercizio dei diritti degli interessati: aggiornate le procedure e la modulistica per l’esercizio dei diritti degli interessati, inclusa la richiesta di oscuramento, la revoca dell’oscuramento e l’accesso agli storici del dossier sanitario;
- formazione del personale: avviato un programma di formazione specifica per il personale, per sensibilizzarlo sulla gestione dei dati sanitari e sui principi del Gdpr, con il coinvolgimento attivo dei dipendenti.
Privacy, l’azienda ospedaliero-sanitaria è consapevole delle violazioni
L’azienda ha dichiarato di essere pienamente consapevole delle violazioni riscontrate e ha ribadito che le azioni correttive sono già in fase di attuazione.
Nel comminare la sanzione, il Garante ha ribadito quanto già stabilito nelle Linee Guida del 2015 ovvero che al paziente dev’essere consentito di scegliere se le informazioni cliniche che lo riguardano alimentino il dossier a cui potrà accedere solo il personale sanitario che lo ha effettivamente in cura.
Infine, per violazioni analoghe il Garante ha sanzionato anche una casa di cura privata per 12mila euro.
