Il Garante per la protezione dei dati personali ha sanzionato l’Azienda sanitaria dell’Alto Adige per non aver configurato l’accesso al dossier sanitario elettronico (DSE) conformemente alle Linee guida in materia di Dossier sanitario del giugno 2015 e al Regolamento 679/2016.
Garante per la protezione dei dati personali – Provvedimento 97/2024: sanzione all’Asl Alto Adige per la mancata corretta configurazione dell’accesso al dossier sanitario elettronico
Anno 2024
La vicenda scaturisce dal verificarsi di tre episodi di violazione del trattamento dei dati personali mediante anomali accessi al dossier sanitario elettronico. Nello specifico:
- nel primo caso, erano stati riscontrati ripetuti accessi al dossier sanitario che non coincidevano con le date in cui il paziente era stato ricoverato o trattato in ospedale;
- nel secondo caso, erano stati rilevati accessi da parte di operatori del personale sanitario al DSE di un soggetto che non era stato preso in carico dai servizi in cui gli stessi operavano;
- infine, nel terzo caso, una dipendente dell’Azienda sanitaria aveva effettuato accesso al DSE del coniuge, al di fuori del suo percorso di cura e a sua insaputa.
L’Autorità, a seguito dell’istruttoria svolta congiuntamente per i tre casi, ha rilevato che gli accessi illeciti ai dossier sanitari elettronici erano avvenuti attraverso una modalità che consentiva di accedere mediante un’autodichiarazione del professionista, a prescindere dal fatto che lo stesso avesse in cura il paziente.
L’Autorità delinea la cornice normativa di riferimento, osservando che il trattamento dei dati personali debba essere conforme ai principi di base dettati dal Regolamento 679/2016, ossia i principi di
- liceità, correttezza e trasparenza, in ossequio al quale i dati personali devono essere “trattati in modo lecito corretto e trasparente” (art. 5, par. 1, lett. a))
- integrità e riservatezza, in forza del quale devono essere trattati “in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti” (art. 5, par. 1, lett. f))
- minimizzazione dei dati, in virtù del quale “devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. c))
Il titolare del trattamento, alla luce dell’art. 32 del Regolamento, è tenuto a mettere in atto “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”, tenendo conto, tra l’altro, “della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”.
In aggiunta a ciò, al caso di specie si applicano anche le Linee Guida in materia di Dossier sanitario del 4 giugno 2015. Queste impongono al titolare del trattamento dei dati di individuare i diversi profili di autorizzazione all’accesso al dossier, tenendo in considerazione che l’accesso deve essere limitato al solo personale sanitario che interviene nel tempo nel processo di cura. Prevedono poi che lo stesso titolare del trattamento predisponga sistemi per il controllo degli accessi e per il rilevamento di anomalie (c.d. alert).
Alla luce del quadro giuridico delineato, l’Autorità ha ritenuto che la generalizzata possibilità per un professionista sanitario di accedere al DSE di interessati a prescindere dalla circostanza che lo stesso li avesse in cura non risultasse idonea alle misure richieste dalle Linee Guida e violasse i principi summenzionati.
Inoltre, non era stato approntato un sistema che consentisse di riconoscere comportamenti anomali o a rischio al fine di individuare possibili trattamenti dei dati illeciti.
Pertanto, l’Autorità ha dichiarato illecito il trattamento dei dati personali effettuato dall’Azienda sanitaria Alto Adige e ordinato alla stessa il pagamento di una sanzione amministrativa.
Il testo completo del provvedimento è disponibile al seguente link e nel box download.
Ilaria Zanotto
Pubblicato il: Giovedì, 22 Febbraio 2024 - Ultima modifica: Lunedì, 14 Aprile 2025
