Dossier sanitario: il Garante privacy sanziona due Asl per accessi abusivi
Le aziende sanitarie devono mettere in atto tutte le misure tecniche e organizzative necessarie per evitare l’accesso ai dati dei pazienti da parte di personale medico e infermieristico non coinvolto nel processo di cura. Lo ha ribadito il Garante privacy nel sanzionare due Asl della Regione Friuli-Venezia Giulia. L’Autorità inoltre ha ordinato l’adozione di misure correttive alla società informatica che gestisce l’applicazione per la consultazione dei referti online.
L’Autorità si era attivata a seguito di numerose segnalazioni e reclami che lamentavano il trattamento illecito di dati personali effettuato tramite il sistema informativo di archiviazione e refertazione delle prestazioni erogate dalle strutture del Servizio Sanitario del Friuli-Venezia Giulia, già oggetto di un precedente provvedimento.
Dai controlli effettuati sono emerse diverse violazioni del Regolamento europeo. L’accesso al dossier sanitario avveniva attraverso sistemi che, non essendo stati correttamente configurati, consentivano a tutti coloro che prestavano servizio nelle due Asl (e in tutte quelle della Regione) di acquisire informazioni su qualsiasi paziente presente o non presente nelle due strutture sanitarie.
Il Garante ha accertato in uno dei casi esaminati che la configurazione del dossier aveva reso possibile al personale sanitario, che operava presso l’Azienda, di accedere senza restrizioni anche al dossier sanitario dei colleghi. Non solo: il sistema consentiva agli operatori sanitari di una casa circondariale di accedere ai dossier sanitari di tutti i pazienti dell’Asl e non soltanto a quelli dei detenuti. Con le “Linee guida in materia di Dossier sanitario” del giugno 2015 il Garante ha invece stabilito che “il titolare del trattamento deve porre particolare attenzione nell’individuazione dei profili di autorizzazione, adottando modalità tecniche di autenticazione al dossier che rispecchino le casistiche di accesso proprie di ciascuna struttura”.
Il Garante privacy ha poi accertato ulteriori illeciti imputabili alla società che gestisce l’applicativo per la gestione del dossier sanitario tra cui la mancata predisposizione di un sistema di alert, volti ad individuare comportamenti anomali o a rischio relativi alle operazioni eseguite dai soggetti autorizzati al trattamento (es. numero degli accessi eseguiti, tipologia o ambito temporale degli stessi).
L’Autorità, tenendo conto della collaborazione offerta nel corso delle istruttorie anche per sanare i problemi rilevati, ha comminato a una Asl, una sanzione di 50.000 euro e all’altra una di 70.000 euro.
Ha inoltre concesso 60 giorni alla società informatica per mettere in atto interventi correttivi all’applicativo in grado di garantire un’adeguata sicurezza e integrità dei dati personali e scongiurare accessi non consentiti.
Ricerca medica: via libera del Garante Privacy al consenso a “fasi progressive”
L’Autorità ha autorizzato uno studio sulle patologie toraciche
Parere favorevole del Garante privacy al trattamento dei dati da parte dell’Azienda Ospedaliera Universitaria Integrata di Verona finalizzato allo studio dei pazienti affetti da patologie neoplastiche, infettive, degenerative e traumatiche del distretto toracico. Il progetto prevede la creazione di una banca dati e un’attività di ricerca in nove ambiti che saranno oggetto di ulteriori specifici protocolli e sottoposti ai Comitati etici competenti per territorio.
Per dare il via libera l’Autorità ha però richiesto ai ricercatori di fondare la raccolta – e il successivo trattamento di dati sulla salute per scopi di ricerca medica – sul consenso “a fasi progressive”.
Il Garante ha infatti autorizzato la raccolta e la conservazione dei dati nel data base “Torax”, fondandole su un primo consenso, espresso dai pazienti al momento di partecipare allo studio, a condizione che l’Azienda Ospedaliera acquisisca successivamente specifici consensi dai pazienti o il parere del Garante per quelli deceduti o non più contattabili, mano a mano che i progetti di ricerca verranno maggiormente definiti e approvati dai comitati etici territorialmente competenti.
L’Autorità ha preso favorevolmente atto delle misure tecniche implementate dall’Azienda ospedaliera per eliminare il rischio di identificazione dei pazienti, ritenendole allo stato idonee ad assicurare l’anonimizzazione dei dati trattati.
Tali misure dovranno tuttavia essere periodicamente verificate dalla Azienda ed eventualmente adeguate.
Pa: attenzione a quando si pubblicano dati on line
Quando pubblicano atti e documenti on line, le Pubbliche amministrazioni devono porre la massima attenzione a non diffondere dati che non siano pertinenti rispetto alle finalità di trasparenza perseguite. Lo ha ribadito il Garante privacy nel comminare una sanzione di 10 mila euro a un Comune.
L’Autorità è intervenuta su richiesta di un reclamante che lamentava la diffusione di dati personali contenuti all’interno di un curriculum vitae pubblicato sul sito web istituzionale di un Comune, con cui da tempo aveva cessato l’attività lavorativa. Con il reclamo l’interessato aveva anche fatto presente la peculiare condizione personale, in ragione della quale la diffusione dei dati avrebbe potuto comportare dei rischi per sé e per la famiglia.
Nel corso dell’istruttoria il Garante ha accertato che il curriculum era rimasto disponibile online oltre l’arco temporale previsto dalla disciplina di settore e che la circostanza aveva comportato la diffusione dei dati in assenza di base giuridica. Il Comune non aveva neanche operato un’attenta selezione dei dati in esso contenuti (indirizzo di residenza, numero di cellulare e indirizzo di posta elettronica personali).
Quanto alla tesi difensiva avanzata dal Comune, secondo la quale la pubblicazione del curriculum del reclamante sarebbe dipesa dalla condotta negligente del fornitore cui era stata affidata all’epoca la gestione della pagina “Amministrazione Trasparente” del sito, il Garante ha ricordato che spetta al titolare del trattamento, quindi nel caso in esame al Comune, impartire adeguate indicazioni ai fini della corretta gestione del ciclo di vita dei dati a chi li tratta per suo conto. Indicazioni che l’Ente aveva mancato di dare alla società affidataria del servizio informatico.
La diffusione dei dati personali del reclamante era pertanto avvenuta in maniera non conforme ai principi di “liceità, correttezza e trasparenza” e “minimizzazione dei dati”. Tra le altre violazioni riscontrate dall’Autorità, anche la mancata risposta da parte del Comune alla richiesta di esercizio dei diritti dell’interessato.
Nel determinare l’ammontare della sanzione il Garante privacy ha tenuto favorevolmente in considerazione che la violazione non ha riguardato categorie particolari di dati personali e ha coinvolto un solo interessato. Il titolare ha inoltre fornito assicurazioni in merito alle modalità con cui in futuro provvederà a pubblicare atti e documenti contenenti dati personali sul proprio sito web istituzionale.
Garanti Ue: lo Spazio europeo dei dati sanitari rispetti le norme sulla privacy
I dati siano conservati unicamente all’interno dello Spazio economico europeo
Pieno rispetto delle norme poste a protezione dei dati dei pazienti europei. È quanto il Comitato europeo per la protezione dei dati (Edpb) e il Garante europeo della protezione dei dati (Edps) raccomandano nel parere congiunto sulla proposta della Commissione europea per lo Spazio europeo dei dati sanitari (Ehds-European Health Data Space).
La proposta mira a facilitare la creazione di un’Unione sanitaria europea e a consentire all’Ue di sfruttare appieno il potenziale offerto dallo scambio, dall’uso e dal riutilizzo sicuro e protetto dei dati sanitari elettronici, sia per fornire una migliore assistenza sanitaria, anche transfrontaliera, al soggetto i cui i dati sono stati raccolti (“uso primario”), sia a fini di ricerca scientifica, medicina personalizzata, statistica, applicazioni digitali per la salute (“uso secondario”).
Nell’accogliere con favore l’impegno a rafforzare i diritti delle persone rispetto ai propri dati elettronici sanitari l’Edpb e l’Edps esprimono, tuttavia, una serie di preoccupazioni generali. Innanzitutto, riguardo al disallineamento tra le previsioni della proposta sui diritti degli interessati e il Gdpr. Inoltre, pur riconoscendo che le previsioni della proposta volte a facilitare l’uso secondario di dati sanitari elettronici possono generare benefici per il bene pubblico, il Comitato e il Garante europeo mettono in luce i rischi per i diritti e le libertà delle persone interessate derivanti da queste ulteriori attività di trattamento, rispetto alle quali, diversamente dall’”uso primario”, non è garantito all’interessato il diritto di limitare l’accesso di terzi ai propri dati.
Il Comitato e il Garante europeo ritengono che le finalità dell’uso secondario dei dati sanitari elettronici non siano adeguatamente definite dalla proposta e chiedono quindi ai co-legislatori di delimitare ulteriormente tali finalità, circoscrivendole a quelle collegate al perseguimento di un bene pubblico nel settore sanitario e/o previdenziale.
Riguardo ai dati sanitari generati dalle app per il benessere e da altre applicazioni digitali per la salute, Edpb e Edps chiedono che tal informazioni personali non vengano messe a disposizione per l’“uso secondario”, perché producono un’enorme quantità di dati, che non sono della stessa qualità di quelli generati dai dispositivi medici e che possono essere trattati insieme ad ulteriori informazioni diverse da quelle sanitarie.
Per quanto l’obiettivo dell’infrastruttura per lo scambio di dati sanitari elettronici prevista nella proposta sia quello di facilitare lo scambio dei dati sanitari, la grande quantità di dati che verrebbero trattati, la loro natura altamente sensibile, il rischio di accesso illegale e la necessità di garantire un controllo efficace da parte di autorità indipendenti per la protezione dei dati richiedono, secondo l’Edpb e l’Edps, che Parlamento europeo e Consiglio impongano l’obbligo di conservare i dati sanitari elettronici esclusivamente all’interno Spazio economico europeo (fatti salvi ulteriori trasferimenti in conformità con le garanzie approntate Gdpr).
Infine, per quanto riguarda il modello di governance introdotto dalla proposta, l’Edpb e l’Edps sottolineano che le Autorità per la protezione dei dati sono le uniche autorità competenti per le questioni relative al trattamento dei dati personali e dovrebbero rimanere l’unico punto di contatto per le persone in merito a tali questioni. Pertanto, dovrebbe essere evitata ogni sovrapposizione tra tali Autorità e i nuovi enti introdotti dalla proposta e dovrebbero essere specificate le rispettive competenze e previsti chiari obblighi di cooperazione.
(fonte: GPDP, 26 luglio 2022)