Blog

Campagne screening oncologici: violata la privacy

LeRegioni, in quanto titolari di dati personali, specie se sanitari, devono garantire che siano esatti e, se necessario, aggiornati, adottando tutte le misure dovute per cancellare o rettificare tempestivamente le informazioni che utilizzano. Ciò vale sia per i cittadini sia per i dipendenti. Questa, in sintesi, l’applicazione del Garante della tutela dei dati sanitari, sottolineata da due sentenze che vedono protagoniste tre regioni, Lazio, Valle d’Aosta e Friuli.

I fatti. Una donna ha interessato il Garante Privacy lamentando che presso la sua abitazione era arrivato un invito di una ASL del Lazio, destinato alla figlia, a partecipare al programma di screening del tumore del collo dell’utero. Peccato che la giovane donna fosse deceduta nel 1995. Il disguido è potuto accadere perché la povera donna era ancora regolarmente inserita nella piattaforma regionale, sebbene deceduta da tempo.

L’Autorità Garante ha così avviato un’istruttoria. Ha accertato che per svolgere le campagne di screening, le ASL utilizzano una piattaforma regionale denominata Sistema Informativo dei Programmi di screening oncologici (SIPSOweb), che contiene tutti i parametri necessari alla generazione degli inviti. Piattaforma che, evidentemente, non era stata aggiornata, in violazione del rispetto dei principi di esattezza e correttezza dei dati.

Quando la ASL di Rieti aveva consultato la scheda “dettaglio assistito” del software, relativa alla figlia della reclamante, questa risultava ancora regolarmente inserita nella suddetta piattaforma regionale, sebbene deceduta da tempo. L’Autorità ha pertanto contestato alla Regione il mancato rispetto dei principi di esattezza e correttezza attraverso la piattaforma e, tra l’altro, la non corretta individuazione dei ruoli ricoperti dai soggetti che, a vario titolo, trattano dati personali attraverso SIPSOweb.

È emerso che chi avrebbe dovuto garantire nomine e funzioni non lo ha fatto. La Regione è il titolare del trattamento e, in quanto tale, ha l’obbligo di garantire esattezza e aggiornamento dei dati, adottando tutte le misure per cancellare o rettificare le informazioni. Per il mancato aggiornamento dei dati personali della piattaforma utilizzata dalle Asl della regione Lazio, il Garante Privacy ha comminato una multa di 100.000 euro.

Nell’irrogare la sanzione, il Garante ha tenuto conto del fatto che la Regione Lazio era già stata destinataria di un provvedimento sanzionatorio. In sede di verifica, l’Autorità ha riscontrato numerose criticità in tema di trattamento di dati personali, su più di 5 milioni di persone. Oltre alla sanzione economica, la Regione Lazio è stata anche obbligata ad identificare correttamente i ruoli, le finalità e le basi giuridiche del trattamento, modificando e integrando le informazioni da rendere agli interessati (con l’informativa).

Per garantire una maggiore accuratezza nella gestione delle informazioni anagrafiche delle persone aventi diritto ai programmi di screening oncologici, l’Autorità ha evidenziato la necessità che tutte le Regioni utilizzino, a tal fine, l’Anagrafe Nazionale degli Assistiti (ANA).

Il Garante ha sanzionato anche l’Asl della Valle d’Aosta che, durante il periodo di emergenza sanitaria per la pandemia, aveva rimosso le misure poste a tutela dei dati dei pazienti presenti nel dossier sanitario aziendale. L’Autorità è intervenuta a seguito del reclamo di un’operatrice sanitaria, che, pur avendo negato espressamente il consenso al trattamento dei dati attraverso il dossier sanitario aziendale, lamentava ripetuti accessi allo stesso, da parte di una collega che non l’aveva mai avuta in cura.

Nel corso dell’istruttoria, è emerso che l’unica Azienda sanitaria presente in Val D’Aosta, nel tentativo di semplificare la gestione dei pazienti durante la pandemia Covid-19, aveva disposto con un atto amministrativo la rimozione dei filtri privacy per l’accesso al sistema informativo che gestisce il dossier sanitario aziendale.

In particolare, l’Asl aveva reso accessibili i dati di tutti gli assistiti della Regione, a qualunque operatore sanitario, a prescindere dal fatto che l’interessato avesse espresso o meno il proprio consenso, oppure che la prestazione riguardasse un paziente Covid-19 o che l’autore dell’accesso avesse in cura l’interessato.

Nel derogare alle limitazioni relative all’accesso al dossier sanitario, dettate dall’applicazione della disciplina sulla protezione dei dati personali, l’Asl non aveva neppure adottato misure organizzative e tecniche adeguate ad individuare accessi anomali al sistema informativo (per esempio tramite indicatori sul numero degli accessi eseguiti, sulla tipologia o sull’ambito temporale degli stessi).

Il Garante ha ribadito che, sebbene la disciplina introdotta a seguito dell’emergenza Covid abbia previsto alcune semplificazioni, ad esempio in tema di informativa, la stessa non ha derogato e non avrebbe potuto derogare, ai principi generali e alle regole sul trattamento dei dati sulla salute effettuato attraverso il dossier sanitario. Sanzionata per 40mila euro, quindi l’Asl Valle d’Aosta, che aveva reso accessibili i dossier degli assistiti anche senza consenso.

Nel definire l’ammontare della sanzione alla Asl, l’Autorità ha tenuto conto della gravità delle trasgressioni alle norme previste dal GDPR e dalle Linee guida sul dossier sanitario, nonché della circostanza che le violazioni si sono protratte per oltre due anni e hanno coinvolto i dati sulla salute di tutta la popolazione regionale assistita, senza che i pazienti ne fossero informati. In sintesi, la “Emergenza Covid non cancella le tutele”.

Sempre in correlazione con le scelte Covid regionali, si allineano le sanzioni a tutte le ASL friulane. Il Garante per la privacy ha sanzionato le tre ASL [doc. web n. 9844989, 9845156, 9845312] che, attraverso l’uso di algoritmi, avevano classificato gli assistiti in relazione al rischio di avere o meno complicanze in caso di infezione da Covid-19. Le Asl avevano elaborato i dati presenti nelle banche dati aziendali, allo scopo di attivare, nei confronti degli assistiti, opportuni interventi medici individuando per tempo i percorsi diagnostici e terapeutici più idonei.

L’Autorità, che si era mossa dopo la segnalazione di un medico, ha evidenziato che i dati degli assistiti erano stati trattati in assenza di una idonea base normativa, senza fornire agli interessati tutte le informazioni necessarie (in particolare sulle modalità e finalità del trattamento) e senza aver effettuato, preliminarmente, la valutazione d’impatto prevista dal GDPR. Accertate le violazioni e valutato che nel caso specifico le operazioni, attraverso l’uso di algoritmi, avevano riguardato un ingente numero di assistiti, il Garante ha ordinato a ognuna delle tre Aziende di pagare la sanzione di 55.000 euro e di procedere alla cancellazione dei dati elaborati

Ha quindi ribadito che la profilazione dell’utente del servizio sanitario, finalizzata ad un trattamento automatizzato per prevedere l’evoluzione sanitaria e l’eventuale correlazione con altri elementi di rischio clinico, può essere effettuata solo in presenza di un idoneo presupposto normativo, nel rispetto di requisiti specifici e di garanzie adeguate per i diritti e le libertà degli interessati.

Un francobollo per la Privacy. Quasi a sottolineare l’importanza acquisita dall’argomento, è stato realizzato un francobollo distribuito da Poste Italiane ed emesso dal Mise, per celebrare i 25 anni dell’introduzione della normativa sulla privacy e dell’istituzione del Garante per la protezione dei dati personali, entrato in funzione l’8 maggio 1997. Sul bozzetto del Garante, ottimizzato dall’Istituto Poligrafico e Zecca dello Stato, l’immagine raffigurata reca la stilizzazione grafica dell’uomo vitruviano di Leonardo che, idealmente, “si trasforma” in dati digitali.

BIBLIOWEB:

Ordinanza ingiunzione nei confronti di Regione Lazio – 15 settembre 2022 [9810028] (in PDF allegato) https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9810028
Provvedimento del 21 dicembre 2022 [9852611] (PDF)  https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9852611
Ordinanza ingiunzione nei confronti di Azienda Usl Valle d’Aosta – 10 novembre 2022 [9819792] (PDF) https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9819792
Procedimenti istruttori relativi al trattamento dei dati personali effettuato attraverso il dossier sanitario delle aziende sanitarie della Regione Friuli Venezia Giulia https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9791909
Provvedimento correttivo e sanzionatorio nei confronti dell’Azienda Universitaria Friuli Occidentale – 15 dicembre 2022 (PDF) https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9844989
Provvedimento correttivo e sanzionatorio nei confronti dell’Azienda Universitaria Friuli Centrale – 15 dicembre 2022 (allegato PDF)  file:///C:/Users/gioca/Downloads/GarantePrivacy-9845156-1.5%20(1).pdf
Provvedimento correttivo e sanzionatorio nei confronti dell’Azienda Universitaria Giuliano Isontina – 15 dicembre 2022 (PDF) https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9845312
Privacy e Congressi https://newmicro.altervista.org/?p=9562
Privacy, trasparenza della PA e dati sanitari https://newmicro.altervista.org/?p=9472
Violazione della Privacy e tipo di danno https://newmicro.altervista.org/?p=8845
Tre anni di GDPR https://newmicro.altervista.org/?p=8519
Il nuovo Garante Privacy https://newmicro.altervista.org/?p=7698
Un anno di Privacy https://newmicro.altervista.org/?p=7567
Covid, App e Privacy https://newmicro.altervista.org/?p=7264
Privacy: le sanzioni fanno male https://newmicro.altervista.org/?p=7027

 Ordinanza ingiunzione nei confronti di:  Regione Lazio,  Azienda Usl Valle d’Aosta,  Regione Friuli Venezia Giulia, Azienda Universitaria Friuli Occidentale, Friuli Centrale, Azienda Universitaria Giuliano Isontina  (PDF)

Un Click per Leggere