Accessi impropri ai dossier sanitari di dipendenti in cura presso l'Ospedale: il Garante privacy sanziona l'Azienda Ospedaliero di Verona per 30mila euro

Per non aver impedito accessi indebiti ai dati sanitari di pazienti che erano allo stesso tempo dipendenti in cura presso l'Ospedale, il Garante privacy ha applicato una sanzione di 30 mila euro all'Azienda Ospedaliero Universitaria Integrata di Verona.

Nel mese di maggio del 2019, l'Ospedale di Verona, ha comunicato all’Autorità che in seguito a normali controlli periodici in materia di accessi ai dossier sanitari dei pazienti, erano emerse tre violazioni di dati personali, riguardandi dati sanitari di dipendenti in cura presso lo stesso nosocomio.

In un caso l'accesso era stato effettuato con le credenziali di un medico che aveva lasciato incustodita la propria postazione; negli altri due casi uno specializzando e un tecnico radiologo erano entrati nel dossier sanitario dei loro colleghi.

Come evidenziato nelle memorie difensive, in tutti e tre gli episodi è risultato che le motivazioni che avevano spinto gli autori a effettuare gli accessi erano dovute, non al fine di erogare prestazioni di cura agli interessati, ma per esclusive ragioni personali, a titolo di  “mera curiosità”.

Con il presente provvedimento 23 gennaio 2020, il Garante ha accertato che le misure tecniche e organizzative adottate dall’ospedale, a tutela del dossier sanitario aziendale, non si sono dimostrate idonee ad assicurare una adeguata tutela dei dati personali dei pazienti e a proteggerli da trattamenti non autorizzati, determinando così un trattamento illecito di dati, in violazione dell'art. 5, par. 1, lett. f), del Regolamento.

In particolare, gli accessi non autorizzati ai dossier sanitari aziendali si sarebbero potuti evitare se l’azienda avesse semplicemente osservato le Linee guida in materia di dossier sanitario (emanate dal Garante nel 2015 e che continuano ad applicarsi anche dopo la piena applicazione del Regolamento in quanto compatibili con lo stesso), prevedendo che l’accesso al dossier sanitario fosse limitato al solo personale sanitario che interviene nel processo di cura del paziente ed avesse prestato particolare attenzione nell’individuare i profili di autorizzazione e nella formazione del personale abilitato. L’adozione preventiva di tali misure, anche alla luce dei principi di protezione dati fin dalla progettazione (privacy by design) e per impostazione predefinita (privacy by default), costituisce oggi, per effetto delle disposizioni contenute nell'art. 25 del  Regolamento Ue 679/2016, un preciso dovere per i titolari del trattamento.

Il Garante, nel prendere atto che in seguito alla vicenda l’azienda Ospedaliero Universitaria Integrata di Verona ha comunque, avviato spontaneamente la revisione delle procedure d’accesso ai dossier sanitari, ha ingiunto alla stessa di completare tale operazione entro 90 giorni e per gli illeciti commessi ha applicato una sanzione di 30.000 euro.