Dossier sanitario accessibile solo per ragioni di cura. Garante Privacy sanziona un ospedale e una clinica privata

Il Garante privacy sanziona con 80mila euro un’Azienda Ospedaliero-Universitaria per non aver configurato correttamente il dossier sanitario. Il provvedimento nasce da un accertamento ispettivo dell’Autorità presso l’Ospedale, per verificare il rispetto della normativa privacy nei trattamenti effettuati mediante il dossier sanitario.

Dagli accertamenti è emerso che l’Azienda utilizzava due applicativi relativi rispettivamente alla cartella ambulatoriale e a quella di ricovero, attraverso i quali, tutto il personale sanitario poteva effettuare ricerche sulla storia clinica dei pazienti anche nel caso in cui non fosse coinvolto nel loro percorso di cura. I sistemi utilizzati dall’Azienda Ospedaliero-Universitaria non prevedevano infatti l’utilizzo di adeguate misure di profilazione degli accessi né misure di sicurezza come l’utilizzo di alert o il tracciamento delle operazioni effettuate sugli applicativi, in appositi file di log. Inoltre, i pazienti non erano a conoscenza dell’esistenza dei trattamenti effettuati attraverso il dossier e dunque impossibilitati a prestare o negare il proprio consenso al proprio dossier o a decidere se oscurare alcune informazioni come quelle soggette a maggior tutela.

Nel comminare la sanzione, il Garante ha ribadito quanto già stabilito nelle Linee Guida del 2015. Ovvero che al paziente, dev’essere consentito di scegliere se le informazioni cliniche che lo riguardano alimentino il dossier a cui potrà accedere solo il personale sanitario che lo ha effettivamente in cura.

Infine, per violazioni analoghe il Garante ha sanzionato anche una casa di cura privata per 12mila euro.