Roma, 29 settembre – Il Garante per la protezione dei dati personali (Gpdp) ha sanzionato con 80mila euro un’azienda ospedaliero-universitaria per non aver configurato correttamente il dossier sanitario. Il provvedimento è nato da un accertamento ispettivo della stessa Autorità presso l’Ospedale, per verificare il rispetto della normativa sulla privacy nei trattamenti effettuati mediante il dossier sanitario.
Dagli accertamenti è emerso che l’azienda utilizzava due applicativi relativi rispettivamente alla cartella ambulatoriale e a quella di ricovero, attraverso i quali, tutto il personale sanitario poteva effettuare ricerche sulla storia clinica dei pazienti anche nel caso in cui non fosse coinvolto nel loro percorso di cura. I sistemi utilizzati dall’Aou non prevedevano infatti l’utilizzo di adeguate misure di profilazione degli accessi né misure di sicurezza come l’utilizzo di alert o il tracciamento delle operazioni effettuate sugli applicativi, in appositi file di log. Inoltre, i pazienti non erano a conoscenza dell’esistenza dei trattamenti effettuati attraverso il dossier e dunque impossibilitati a prestare o negare il proprio consenso al proprio dossier o a decidere se oscurare alcune informazioni come quelle soggette a maggior tutela.
Nel comminare la sanzione, l’Autorità presieduta da Pasquale Stanzione (nella foto) ha ribadito quanto già stabilito nelle Linee guida del 2015: al paziente dev’essere consentito di scegliere se le informazioni cliniche che lo riguardano alimentino il dossier a cui potrà accedere solo il personale sanitario che lo ha effettivamente in cura.
Per violazioni analoghe il Garante ha anche irrogato una sanzione a una casa di cura privata per 12mila euro.
