da Pietro Cusati
I dati relativi alla salute sono dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute. Il legislatore europeo ha prestato una specifica attenzione ai dati relativi alla salute e li ha inseriti tra le “categorie particolari di dati personali” del quale in linea di massima ne è vietato il trattamento. Il Garante della privacy ha comminato una sanzione di 120 mila euro a due Asl della Regione Friuli-Venezia Giulia ed ha ordinato l’adozione di misure correttive alla società informatica che gestisce l’applicazione per la consultazione dei referti online. Le aziende sanitarie devono mettere in atto tutte le misure tecniche e organizzative necessarie per evitare l’accesso ai dati dei pazienti da parte di personale medico e infermieristico non coinvolto nel processo di cura. L’Autorità si era attivata a seguito di numerose segnalazioni e reclami che lamentavano il trattamento illecito di dati personali effettuato tramite il sistema informativo di archiviazione e refertazione delle prestazioni erogate dalle strutture del Servizio Sanitario del Friuli-Venezia Giulia, già oggetto di un precedente provvedimento. L’accesso al dossier sanitario avveniva attraverso sistemi che, non essendo stati correttamente configurati, consentivano a tutti coloro che prestavano servizio nelle due Asl e in tutte quelle della Regione, di acquisire informazioni su qualsiasi paziente presente o non presente nelle due strutture sanitarie. Il Garante ha accertato in uno dei casi esaminati che la configurazione del dossier aveva reso possibile al personale sanitario, che operava presso l’Azienda, di accedere senza restrizioni anche al dossier sanitario dei colleghi. Non solo, il sistema consentiva agli operatori sanitari di una casa circondariale di accedere ai dossier sanitari di tutti i pazienti dell’Asl e non soltanto a quelli dei detenuti. Invece “il titolare del trattamento deve porre particolare attenzione nell’individuazione dei profili di autorizzazione, adottando modalità tecniche di autenticazione al dossier che rispecchino le casistiche di accesso proprie di ciascuna struttura”.Quando pubblicano atti e documenti on line, le Pubbliche amministrazioni devono porre la massima attenzione a non diffondere dati che non siano pertinenti rispetto alle finalità di trasparenza perseguite. Lo ha ribadito il Garante privacy nel comminare una sanzione di 10 mila euro a un Comune che ha diffuso dati personali contenuti all’interno di un curriculum vitae pubblicato sul sito web istituzionale .Il Garante ha ricordato che spetta al titolare del trattamento, quindi al Comune, impartire adeguate indicazioni ai fini della corretta gestione del ciclo di vita dei dati a chi li tratta per suo conto. Indicazioni che l’Ente aveva mancato di dare alla società affidataria del servizio informatico.La diffusione dei dati personali del reclamante era pertanto avvenuta in maniera non conforme ai principi di “liceità, correttezza e trasparenza” e “minimizzazione dei dati”. Tra le altre violazioni riscontrate dall’Autorità, anche la mancata risposta da parte del Comune alla richiesta di esercizio dei diritti dell’interessato.
