Garante privacy, sanzione a una Asl per criticità del dossier sanitario aziendale

Il Garante privacy, a seguito del reclamo di un’infermiera, che era al contempo paziente e dipendente di una Asl, ha inflitto una sanzione di 40mila euro alla stessa azienda ospedaliera, per non aver configurato il dossier sanitario aziendale in modo che al personale autorizzato fosse impedito di visionare lo stato di salute dei colleghi per finalità ulteriori rispetto a quelle di cura.

L’Autorità ha infatti accertato che le responsabili dell’organizzazione dei turni del reparto dove lavorava, durante il lockdown, avevano avuto libero accesso al dossier sanitario dei colleghi per verificare l’eventuale positività al Covid-19 e pianificare le presenze in ospedale. La Asl riteneva che questa pratica fosse necessaria per conoscere su quali risorse umane contare, viste le carenze di personale nel periodo della pandemia.

Il provvedimento del Garante

Il Garante ha evidenziato come l’accesso al dossier sanitario sia consentito solo ai medici e al personale che hanno in cura un paziente. Non è permessp per esigenze organizzative e amministrative anche nell’ipotesi in cui, come nel caso specifico, la Asl assuma sia la veste di datore di lavoro che di autorità sanitaria, che ha in cura l’interessata. L’uso del dossier per organizzare i turni ospedalieri costituisce, peraltro, una modalità non efficace essendo tale strumento vincolato al consenso dell’interessato e risultando, per sua natura, incompleto tenuto conto del fatto che l’interessato può decidere di oscurare alcuni dati e documenti, compresi gli esiti dei test Covid.

Nel corso dell’istruttoria, l’Autorità ha inoltre accertato che gli accessi erano stati possibili perché la configurazione del dossier sanitario aziendale non prevedeva limiti all’accesso, né sistemi di alert e di monitoraggio finalizzati a segnalare eventuali condotte illecite dei dipendenti.

Alla sanzione, si aggiunge l'imposizione all’azienda ospedaliera di adottare nuove procedure e misure organizzative in grado di assicurare la tutela dei dati dei pazienti e dei dipendenti: in particolare, l’adozione di alert automatici per il rilevamento di eventuali anomalie e di procedure che prevedano la registrazione automatica in appositi file di log di tutti gli accessi e le operazioni compiute, compresa anche la semplice consultazione del dossier.