Il Garante per la protezione dei dati personali ha sanzionato l'Asl della Valle d'Aosta che, durante il periodo di emergenza sanitaria, aveva rimosso le misure poste a tutela dei dati dei pazienti presenti nel dossier sanitario aziendale.
L’Autorità è intervenuta a seguito del reclamo di un’operatrice sanitaria, che, pur avendo negato espressamente il consenso al trattamento dei dati attraverso il dossier sanitario aziendale lamentava ripetuti accessi allo stesso da parte di una collega che non l’aveva mai avuta in cura.
Nel corso dell’istruttoria è emerso che l’unica Azienda sanitaria presente in Val D’Aosta, nel tentativo di semplificare la gestione dei pazienti durante la pandemia Covid-19, aveva disposto con un atto amministrativo la rimozione dei filtri privacy per l’accesso al sistema informativo che gestisce il dossier sanitario aziendale.
In particolare, la Asl aveva reso accessibili i dossier di tutti gli assistiti della Regione a qualunque operatore sanitario, a prescindere dal fatto che l’interessato avesse espresso o meno il proprio consenso al trattamento dei dati attraverso il dossier sanitario, oppure che la prestazione riguardasse un paziente Covid-19 o che l’autore dell’accesso avesse in cura l’interessato. Inoltre nel derogare alle limitazioni relative all’accesso al dossier sanitario dettate dall’applicazione della disciplina sulla protezione dei dati personali, l’Asl non aveva neppure adottato misure organizzative e tecniche adeguate ad individuare accessi anomali al sistema informativo (per esempio tramite indicatori sul numero degli accessi eseguiti, sulla tipologia o sull’ambito temporale degli stessi).
Il Garante ha ribadito che, sebbene la disciplina introdotta a seguito dell’emergenza Covid abbia previsto alcune semplificazioni, ad esempio in tema di informativa, la stessa non ha derogato e non avrebbe potuto derogare, ai principi generali e alle regole sul trattamento dei dati sulla salute effettuato attraverso il dossier sanitario.
Nel definire l’ammontare della sanzione alla Asl, l’Autorità ha tenuto conto della gravità delle trasgressioni alle norme previste dal Gdpr e dalle Linee guida sul dossier sanitario, nonché della circostanza che le violazioni si sono protratte per oltre due anni e hanno coinvolto i dati sulla salute di tutta la popolazione regionale assistita, senza che i pazienti ne fossero informati.