GUARDA QUIhttps://www.accademiaitalianaprivacy.it/areaprivata/foto/704/01.jpg
giovedì 28 luglio 2022
di GDPRlab.it
Le aziende sanitarie devono evitare l’accesso ai dati dei pazienti da parte di personale medico e infermieristico non coinvolto nel processo di cura.
Il Garante fa sapere di aver ricevuto, nell'arco di 18 mesi, varie notifiche di violazione e reclami in relazione al trattamento dati personali effettuato da alcune ASL del Friuli Venezia Giulia. Reclami e notifiche hanno riguardato in particolare il dossier sanitario aziendale, denominato Visore referti.
Le segnalazioni al Garante riferivano di ripetuti accessi a tale dossier da parte di personale sanitario sicuramente autorizzato al trattamento di dati sanitari, ma non coinvolto nelle cure dei soggetti a cui riferivano i dossier sanitari.
L'istruttoria del Garante ha permesso di ricostruire che alcune ASL del Friuli Venezia Giulia, tutte appartenenti al servizio sanitario regionale, hanno istituito il dossier sanitario tramite l'app "Visore referti". L'applicativo "Visore referti" è di proprietà di un'azienda privata terza. Le modalità di configurazione di dossier sanitario consentivano al personale sanitario
"di accedere al dossier relativo a qualunque paziente fosse in quel momento fisicamente presente nell’Azienda sanitaria e, dichiarando la sussistenza di una pluralità di casistiche preordinate, anche a quelli dei pazienti non presenti nell’Azienda sanitaria".
Tale sistema ha permesso al personale sanitario di accedere, senza alcuna restrizione, al dossier sanitario di alcuni colleghi.
Il Garante riscontrava criticità anche nella gestione dei dati sanitari nel sistema di una casa circondariale. Dall'istruttoria è emerso infatti come il sistema consensitsse agli operatori sanitari di una casa circondariale di accedere ai dossier sanitari di tutti i pazienti dell'ASL e non soltanto a quelli relativi ai detenuti.
Oggetto dell'istruttoria è stato l'intero sistema di gestione del dossier sanitario: il garante ha approfondito quindi anche eventuali criticità che fossero imputabili all'azienda terza fornitrice dell'applicativo. Facendo emergere come tale sistema non prevedesse un sistema di monitoraggio e alert volti a individuare e segnalare comportamenti anomali e / o pericolosi da parte di soggetti autorizzati al trattamento. Si parla di dati come il numero degli accessi eseguiti e il loro ambito temporale ecc…
Le criticità rilevate costituiscono violazione
Alla luce di quanto rilevato, il Garante ha optato per sanzionare due ASL per 50.000 e 70.000 ed ha concesso 60 giorni di tempo alla società informativa che fornisce l'applicativo per adeguare lo stesso alla normativa. Dovrà garantire "un’adeguata sicurezza e integrità dei dati personali e scongiurare accessi non consentiti".
Qui i provvedimenti completi:
mercoledì 20 settembre 2023
martedì 5 settembre 2023
CONDIVIDI QUESTA PAGINA!