L’accesso non giustificato dei medici di un ospedale ai dossier sanitari dei pazienti costituisce trattamento illecito di dati

L’accesso non giustificato dei medici di un ospedale ai dossier sanitari dei pazienti costituisce trattamento illecito di dati

di Muia' Pier Paolo, Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio

Versione PDF del documento

 

Garante per la protezione dei dati personali: Provvedimento n. 18 del 23 gennaio 2020

Fatto

A seguito dei controlli periodicamente effettuati dall’ Azienda Ospedaliero Universitaria di Verona sugli accessi ai dati dei pazienti, la struttura sanitaria riscontrava che in 3 diversi momenti si erano verificati circa 16 accessi non giustificati ad alcuni dati di pazienti e in ragione di ciò comunicava al Garante della privacy, secondo quanto imposto dal GDPR, le suddette violazioni.

In particolare, l’ Azienda sanitaria faceva presente che, in un primo accesso effettuato dal reparto di Ginecologia con le credenziali di un medico di reparto che – durante lo svolgimento del suo turno – aveva lasciato incustodita la postazione del PC permettendone l’ utilizzo ad altri soggetti, erano stati visionati sei dossier sanitari di sei pazienti (che erano anche dipendenti dell’ Ospedale con funzione di ostetriche) e che non vi era alcuna ragione perché un medico di quel reparto accedesse a tali dati (in quanto si trattava di pazienti non in carico a quel reparto). In un secondo accesso, erano stati visionati sette dossier sanitari di pazienti dell’ Ospedale (che erano anch’ essi altresì dipendenti della struttura sanitaria) attraverso le credenziali di accesso di un tecnico di radiologia, il quale, in un caso, lo aveva effettuato per “vedere come funzionava” l’applicazione e, negli altri casi, aveva lasciato incustodita la postazione del PC permettendo così ad altri soggetti di accedere ai dati.

Infine, in un terzo accesso, uno specializzando di Neurologia aveva visionato 3 dossier sanitari di pazienti che erano anche medici del reparto di Neurologia, ma non erano in cura presso detto reparto e pertanto lo specializzando non avrebbe avuto alcuna ragione di visionarli (pertanto, probabilmente, secondo l’ Ospedale, l’accesso era stato dettato dalla curiosità dello specializzando).

Insieme alle 3 suddette comunicazioni delle violazioni, l’azienda sanitaria comunicava al Garante anche che la stessa aveva realizzato e portato a conoscenza di tutti i sanitari un proprio disciplinare tecnico su come usare gli strumenti informatici e delle istruzioni sulle modalità di accesso ai dossier sanitari nel rispetto della privacy nonché che aveva avviato un procedimento disciplinare nei confronti del personale che aveva causato i 3 accessi abusivi ai dati dei pazienti.

La decisione del Garante

A seguito delle comunicazioni dell’ Ospedale, il Garante privacy notificava alla struttura sanitaria – quale titolare del trattamento – l’ avvio del procedimento per verificare le violazioni e applicare le eventuali sanzioni previste dal GDPR.

In particolare, il Garante evidenziava che i trattamenti oggetto del procedimento erano configurabili come illeciti in quanto compiuti in violazione delle linee guida in materia di dossier sanitari e in assenza di un idoneo presupposto giuridico.

A tal proposito, veniva preliminarmente ricordato che il Garante, nel 2015, ha emanato delle linee guida sulle modalità di trattamento dei dati nei dossier sanitari, le quali continuano ad avere efficacia anche dopo l’entrata in vigore del GDPR e che impongono al titolare del trattamento di individuare i profili di soggetti che possono accedere ai dossier sanitari nonché di formare adeguatamente il personale, proprio al fine di permettere l’accesso soltanto ai sanitari che partecipano alla cura del paziente del cui dossier si tratta e evitare accessi da parte di soggetti che non sono autorizzati a conoscere i dati. Fra le misure tecniche, imposte al titolare del trattamento dalle suddette linee guida, per raggiungere tali obiettivi, il Garante ricorda la creazione di profili di autenticazione diversificati in base alle varie casistiche di accesso ai dossier e il monitoraggio degli accessi stessi. Sulla base di tali presupposti, quindi, il Garante accertava che nel caso oggetto di esame, il personale sanitario dell’ Ospedale aveva in parte effettuato gli accessi ai dossier sanitari in assenza di un idoneo presupposto giuridico e in parte aveva permesso l’accesso a soggetti terzi, lasciando incustodito il computer con le proprie abilitazioni di accesso attive.

A fronte delle imputazioni di cui sopra, formulate dal Garante, l’ Ospedale si è difeso ritenendo che il proprio comportamento era stato corretto e che la responsabilità degli accessi illegittimi era da imputarsi a comportamenti “infedeli” dei propri dipendenti che non avevano rispettato le direttive dell’ azienda.

Il comportamento virtuoso dell’ Ospedale, infatti, si poteva rinvenire nel fatto che lo stesso aveva denunciato penalmente i responsabili per accesso abusivo a sistema informatico e nel fatto che aveva provveduto a dare immediatamente notizia degli accessi agli interessati nonché a comunicare la violazione allo stesso Garante.

In secondo luogo, l’ Ospedale ha rilevato che gli interessati non avevano subito alcun danno rilevante, in considerazione del fatto che gli accessi erano stati effettuati per mera curiosità dai dipendenti dell’ azienda, come dimostrerebbe il fatto che nessuno degli interessati aveva segnalato la violazione (ma questa è stata riscontrata direttamente dall’ ospedale a seguito dei propri controlli periodici sugli accessi) né aveva lamentato alcunchè dopo aver ricevuto notizia della violazione.

Infine, l’ Ospedale ha evidenziato come lo stesso avesse, fin dalla emanazione delle linee guida del 2015, adottato le misure tecniche e organizzative per adempiere alle prescrizioni delle linee guida e dopo le violazioni abbia anche previsto ulteriori misure, fra le quali:

  • l’inserimento di un disclaimer automatico ad ogni accesso a dossier sanitari con cui si comunica il tracciamento dell’accesso;
  • l’ illustrazione a tutti i “delegati privacy” dell’ Ospedale dei contenuti delle linee guida in tema di dossier sanitari del 2015;
  • la previsione che il soggetto che effettua l’accesso al dossier sanitario di un paziente non in cura presso di lui debba inserire la specifica motivazione dell’accesso (scegliendo fra le ipotesi previste in un menù a tendina oppure inserendo a meno il motivo).

Volume consigliato

La tutela della privacy in ambito sanitario

La tutela della privacy in ambito sanitario

Pier Paolo Muià, 2018,

L’opera mira a fornire agli operatori del settore sanitario, pubblico e privato, gli strumenti per comprendere in modo chiaro e semplice la copiosa normativa relativa al trattamento dei dati sanitari, in modo che gli stessi possano adempiere con tranquillità agli obblighi su di loro...



Nonostante le motivazioni addotte dalla struttura sanitaria, il Garante ha ritenuto comunque che i trattamenti oggetto di esame siano da ritenersi illeciti.

In particolare, l’ Autorità ha rilevato come:

  • i sedici accessi non sono stati effettuati dal personale sanitario per finalità di cura degli interessati coinvolti, ma per ragioni personali;
  • le misure adottate dall’ Ospedale non hanno comunque impedito che il personale sanitario potesse accedere ai dossier di pazienti che non aveva in cura;
  • le misure adottate dall’ Ospedale si sono rivelate non adeguate a garantire la sicurezza dei dati personali;
  • le ulteriori misure volte ad evitare che il personale possa accedere ai dati di pazienti che non ha in cura sono state adottate soltanto dopo la conoscenza delle violazioni oggetto del procedimento;
  • se l’ Ospedale avesse adottato tali misure prima delle suddette violazioni, come avrebbero imposto i principi della privacy by default e by design, gli accessi non autorizzati sarebbero stati evitati o almeno limitati.

 

Ritenuto, quindi, che vi è stato un trattamento di dati in violazione della disciplina della privacy imputabile all’ Ospedale, il Garante ha – in primo luogo – ordinato alla struttura sanitaria, entro 90 giorni, di implementare le misure tecniche e organizzative indicate negli scritti difensivi inviati finalizzate a migliorare le procedure di accesso ai dossier sanitari da parte del personale autorizzato. In secondo luogo, ha comminato la sanzione amministrativa pecuniaria di € 30.000 a carico della struttura sanitaria, determinando detto importo in considerazione – da un lato – del fatto che le violazioni sono state numericamente contenute (soltanto 16) e non hanno dato luogo a reclami degli interessati e – dall’altro lato – del fatto che i dati “violati” erano afferenti alla salute degli interessati e che questi ultimi comunque potrebbero aver subito o potranno subire delle conseguenze dannose da tali violazioni.

Volume consigliato

La tutela della privacy in ambito sanitario

La tutela della privacy in ambito sanitario

Pier Paolo Muià, 2018,

L’opera mira a fornire agli operatori del settore sanitario, pubblico e privato, gli strumenti per comprendere in modo chiaro e semplice la copiosa normativa relativa al trattamento dei dati sanitari, in modo che gli stessi possano adempiere con tranquillità agli obblighi su di loro...



Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

pier-paolo-muia

Muia' Pier Paolo

Co-founder dello Studio Legale "MMP Legal", svolge la professione di avvocato in Firenze, Prato e Pistoia, occupandosi in via principale con il suo staff di responsabilità professionale e civile; internet law, privacy e proprietà intellettuale nonchè diritto tributario. In particolare, svolge attività di assistenza e difesa sia di professionisti destinatari di richieste di risarcimento  danni per inadempimento professionale sia di soggetti danneggiati da sinsitri, soprattutto per malpractice medica; consulenza relativamente alla gestione e alla tutela dei dati personali in ogni area e settore di attività nonché assistenza e difesa, stragiudiziale e giudiziale, per quanto riguarda i contratti e i rapporti tramite internet ed in generale tutte le problematiche relative ai servizi on line ed ai correlati diritti; redazione di accordi di licenza e cessione di marchi, dei diritti di sfruttamento economico delle opere dell'ingegno, di know-how e di brevetti; difesa giudiziale per la tutela dei diritti d'autore e di brevetti, marchi e disegni, nonché avverso attività di concorrenza sleale; difesa e rappresentanza nei giudizi dinanzi alle commissioni tributarie. Per Diritto.it è Referente delle sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio. Pagina Facebook: https://www.facebook.com/studiolegalemasimuia/?ref=br_rs Pagina Instagram: https://www.instagram.com/mmp_studiolegale/


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

Ricevi tutte le novità di Diritto della settimana 
in una pratica email  direttamente nella tua casella di posta elettronica!

Non abbandonare Diritto.it
senza iscriverti alla newsletter!