da Pietro Cusati (Giurista-Giornalista)
A seguito di alcuni reclami e segnalazioni che lamentavano il trattamento illecito di dati personali effettuato tramite il sistema di archiviazione e refertazione delle prestazioni erogate dall’azienda sanitaria,il Garante della Privacy ha sanzionato una ASL per 75mila euro , per non aver configurato correttamente le modalità di accesso al dossier sanitario elettronico (Dse). Erano stati segnalati ripetuti accessi al Dse da parte di personale sanitario non coinvolto nel processo di cura dei pazienti. In un caso, una professionista della Asl era infatti riuscita a visionare gli esami di laboratorio dell’ex marito a sua insaputa pur essendo quest’ultimo non in cura da lei.Dalle verifiche effettuate dall’Autorità è emerso che il sistema di gestione del Dse consentiva agli operatori sanitari di inserire manualmente, mediante autocertificazione, la motivazione per cui si rendeva necessario l’accesso al dossier sanitario. L’accesso al documento era consentito, per impostazione predefinita, ad una ampia lista di figure professionali che niente avevano a che fare con il percorso di cura dei pazienti, compreso il personale amministrativo.In violazione di quanto stabilito dal Garante Privacy con le “Linee guida in materia di Dossier sanitario” del giugno 2015, con cui l’Autorità ha stabilito che “il titolare del trattamento deve porre particolare attenzione nell’individuazione dei profili di autorizzazione, adottando modalità tecniche di autenticazione al dossier che rispecchino le casistiche di accesso proprie di ciascuna struttura” garantendo che l’accesso al dossier sia limitato al solo personale sanitario che interviene nel tempo nel processo di cura del paziente. Il Garante Privacy ha accertato ulteriori illeciti, tra cui la mancata predisposizione di un sistema di alert, volto ad individuare comportamenti anomali o a rischio relativi alle operazioni eseguite dagli incaricati al trattamento (es. relativi al numero degli accessi eseguiti, alla tipologia o all’ambito temporale degli stessi .Oltre ad applicare la sanzione amministrativa, l’Autorità ha ordinato all’Asl di mettere in atto tutte le misure tecniche e organizzative necessarie per garantire la sicurezza dei dati personali trattati e scongiurare nuovi accessi abusivi. Inoltre le pubbliche amministrazioni per garantire la riservatezza degli interessati ed evitare il rischio di eventuali sanzioni per violazione della normativa privacy dovranno limitarsi a pubblicare nella sezione “amministrazione trasparente” dei rispettivi siti web solo dati necessari, il numero di telefono, l’indirizzo email e pec dell’ufficio , e non i dati del dipendente , cui il cittadino può rivolgersi per richieste all’amministrazione. E negli esiti dei concorsi pubblici dovranno pubblicare il nome, il cognome, la data di nascita, in caso di omonimia e la posizione in graduatoria dei vincitori e degli idonei dichiarati vincitori a seguito dello scorrimento della graduatoria. Inoltre, nella pubblicazione dei dati riguardanti i pagamenti, le Pa dovranno oscurare i dati identificativi dei destinatari di benefici economici inferiori a mille euro nell’anno solare e in ogni caso se dalla pubblicazione è possibile ricavare informazioni relative allo stato di salute o alla situazione di disagio economico-sociale. Il Garante ha chiesto ad Anac di innalzare il livello di tutela. Ad esempio, nel caso di pubblicazione dei dati relativi alla valutazione della performance e alla distribuzione dei premi al personale, le Pa devono evitare di pubblicare dati troppo dettagliati che possano identificare il dipendente e l’ammontare del premio erogato (o non erogato) a suo favore. Potranno invece pubblicare i dati riferiti all’ammontare complessivo dei premi stanziati e all’ammontare dei premi effettivamente distribuiti.
