Comminata una sanzione da 30mila euro a una struttura sanitaria per non aver impedito l’accesso indebito da parte di alcuni dipendenti, per mera curiosità, ai dati personali dei colleghi in cura presso la struttura
Trentamila euro. A tanto ammonta la sanzione comminata dall’Autorità Garante della privacy a un’azienda sanitaria per non aver impedito ai dipendenti l’accesso indebito al dossier sanitario di alcuni colleghi in cura presso lo stesso nosocomio. Le tre violazioni di dati personali erano state comunicate all’Autorità dallo stesso ospedale a conclusione di normali controlli periodici.
Le indagini hanno consentito di appurare che in un caso l’accesso era stato effettuato con le credenziali di un medico che aveva lasciato incustodita la propria postazione; negli altri due casi, invece, uno specializzando e un tecnico radiologo erano entrati nel dossier sanitario dei loro colleghi. In nessuno dei casi l’accesso indebito era stato effettuato per l’erogazione di prestazioni mediche, bensì per esclusive ragioni personali, descritte dall’azienda come “mera curiosità”.
Gli accertamenti svolti dal Garante hanno evidenziato che le misure tecniche e organizzative adottate dall’ospedale, a tutela del dossier sanitario aziendale, non si erano dimostrate idonee ad assicurare una adeguata tutela dei dati personali dei pazienti e a proteggerli da trattamenti non autorizzati, determinando così un trattamento illecito di dati.
La violazione avrebbe potuto essere evitata se l’azienda avesse semplicemente osservato le Linee guida in materia di dossier sanitario, emanate dal Garante nel 2015.
L’ospedale avrebbe dovuto prevedere che l’accesso al dossier sanitario fosse limitato al solo personale sanitario che interviene nel processo di cura del paziente ed avesse prestato particolare attenzione nell’individuare i profili di autorizzazione e nella formazione del personale abilitato.
L’adozione preventiva di tali misure – fa sapere il Garante -, anche alla luce dei principi di protezione dati fin dalla progettazione (privacy by design) e per impostazione predefinita (privacy by default), costituisce oggi, per effetto delle disposizioni contenute nel Regolamento Ue 679/2016, un preciso dovere per i titolari del trattamento.
Il Garante, nel prendere atto che in seguito alla vicenda l’azienda ha avviato spontaneamente la revisione delle procedure d’accesso ai dossier sanitari, ha ingiunto alla stessa di completare tale operazione entro 90 giorni, limitandosi, per gli illeciti commessi, ad applicare una sanzione di 30.000 euro.
Leggi anche:
CENSIMENTO PERMANENTE: OK DAL GARANTE PRIVACY, MA CON MAGGIORI TUTELE
