L’Azienda Sanitaria, durante il periodo di emergenza sanitaria, aveva rimosso le misure poste a tutela dei dati dei pazienti presenti nel dossier sanitario aziendale.
Il Garante è intervenuto per il reclamo di un’operatrice sanitaria che segnalava diversi accessi al suo dossier sanitario aziendale da parte di una collega che non l’aveva mai avuta in cura malgrado avesse negato espressamente il consenso al trattamento dei dati. L’istruttoria che ne è seguita ha rilevato che l’Azienda Sanitaria, nel tentativo di semplificare la gestione dei pazienti durante la pandemia Covid-19, aveva disposto con un atto amministrativo la rimozione dei filtri privacy per l’accesso al sistema informativo che gestisce il dossier sanitario aziendale.
Con questo atto la ASL aveva reso accessibili i dossier di tutti gli assistiti della regione Valle d’Aosta a qualsiasi operatore sanitario a prescindere dalla presenza del consenso al trattamento dei dati attraverso il dossier sanitario. L’accesso non era inoltre limitato ai pazienti Covid-19 o riservato al personale che avesse in cura la persona. L’Azienda Sanitaria non aveva infine adottato misure organizzative e tecniche adeguate per individuare accessi anomali al sistema informativo (per esempio tramite indicatori sul numero degli accessi eseguiti, sulla tipologia o sull’ambito temporale degli stessi).
Il Garante ha ribadito che, sebbene la disciplina introdotta a seguito dell’emergenza Covid abbia previsto alcune semplificazioni, ad esempio in tema di informativa, la stessa non ha derogato e non avrebbe potuto derogare, ai principi generali e alle regole sul trattamento dei dati sulla salute effettuato attraverso il dossier sanitario.
L’autorità ha deciso pertanto di comminare una sanzione di 40.000 euro alla ASL (qui potete leggere il provvedimento). L’importo della sanzione ha tenuto conto della gravità delle trasgressioni alle norme previste dal Gdpr e dalle Linee guida sul dossier sanitario, nonché della circostanza che le violazioni si sono protratte per oltre due anni e hanno coinvolto i dati sulla salute di tutta la popolazione regionale assistita, senza che i pazienti ne fossero informati.