Accessibile solo per ragioni di cura Data Breach Regole deontologiche fini ricerca scientifica
Uno dei temi caldi della privacy riguarda la gestione dei data breach, specie se la violazione riguarda dati sanitari ed accessi impropri eseguiti da dipendenti. Sicuramente è un annoso problema che si trascina per le note carenze finanziarie delle Aziende Sanitarie e per l’obsolescenza di molti software dedicati: ma c’è anche una sorta di resistenza della Dirigenza Aziendale a destinare risorse per tali problematiche, reputate secondarie nella conduzione aziendale. Ciò porta inevitabilmente il Garante ad intervenire, applicando e revisionando (lui si) procedure da by Default a by Design.
Viene messa in evidenza l’insufficienza organizzativa dei software aziendali che gestiscono tali dati, paragonandoli alle Linee guida in materia di dossier sanitario (disponibili dal 2015, con infografica e allegato A) e mettendo a disposizione un Servizio Telematico per la segnalazione dei Data Breach (dal 1 luglio 2021). Difficile non prendere in considerazione tutta l’attività svolta nel campo dal Garante stesso. Citiamo per la loro valenza, il Provvedimento correttivo e sanzionatorio nei confronti dell’ Azienda Ospedaliero Universitaria Integrata di Verona (23 gennaio 2020 [9269629]) su accessi dalla stessa segnalati al Garante, come la Newsletter del 27/11/23 che tratta del Dossier sanitario, e che ribadisce che è accessibile solo per ragioni di cura. La news tratta anche altri temi correlati.
La Newsletter chiarisce che chi opera nel settore sanitario deve sempre mantenere il segreto professionale e rispettare la privacy dei propri assistiti, non rivelando all’esterno informazioni sulla salute acquisite nell’ambito del rapporto fiduciario medico – paziente. Lo ha ribadito il Garante Privacy nell’ammonire un’osteopata che aveva violato la disciplina privacy e anche il codice di deontologia medica, riportando informazioni sullo stato di salute di una paziente all’interno della tesi redatta a conclusione di un corso di formazione.
La violazione era stata segnalata all’Autorità dalla stessa paziente. Nella tesi, in particolare, era stato inserito un documento clinico contenente numerose informazioni sullo stato di salute dell’interessata, i cui dati anagrafici erano stati cancellati in modo approssimativo, tale da non impedire di risalire comunque al suo nome e cognome e di associare così le informazioni anagrafiche a quelle relative alla sua condizione fisica.
Al riguardo, il Garante privacy ha ricordato che la procedura di cancellazione manuale non è idonea a rendere anonimi i dati personali di un paziente e quindi a garantirne la riservatezza. La dottoressa avrebbe infatti dovuto mettere in atto misure tecniche adeguate a impedire l’identificazione, anche indiretta, dell’interessata. Dai riscontri del Garante è inoltre emerso che l’osteopata non aveva chiesto alla reclamante il consenso per poter utilizzare i suoi dati per finalità diverse da quelle di cura quali quelle didattiche.
Nell’informativa che l’osteopata forniva ai suoi pazienti si limitava infatti a indicare – in maniera generica e non trasparente – che i dati potevano essere diffusi per motivi di “ricerca scientifica”. Per questo il Garante per la protezione dei dati personali ha ingiunto alla dottoressa di modificare e integrare il modello di informativa sulla base degli elementi di criticità individuati nel provvedimento relativi alle basi giuridiche del trattamento, compreso l’eventuale trasferimento dei dati verso Paesi terzi e il periodo di conservazione.
La mancanza di tali misure ha comportato pertanto la comunicazione dei dati sulla salute della reclamante alla scuola di formazione in assenza di un idoneo presupposto giuridico. Considerato che i dati non sono stati oggetto di pubblicazione, il Garante ha qualificato la condotta come violazione minore e ha pertanto ammonito l’osteopata.
Ben diverso il trattamento nei confronti delle ASL. L’Autorità – intervenuta a seguito del reclamo di un’infermiera, che era al contempo paziente e dipendente della ASL – ha infatti accertato che le responsabili dell’organizzazione dei turni del reparto dove lavorava, durante il lockdown, avevano avuto liberamente accesso al dossier sanitario dei colleghi per verificare l’eventuale positività al Covid e pianificare le presenze in ospedale. Comminata sanzione di 40 mila euro.
Secondo la Asl la pratica si era resa necessaria per sapere su quali risorse umane poter contare, considerato che, nel periodo della pandemia, gran parte del personale era in malattia contagiato dal Covid. Nel suo provvedimento il Garante ha messo innanzitutto in evidenza come l’accesso al dossier sanitario sia consentito solo ai medici e al personale che hanno in cura un paziente, e non per esigenze organizzative e amministrative anche nell’ipotesi in cui, come nel caso specifico, la ASL assuma sia la veste di datore di lavoro che di autorità sanitaria che ha in cura l’interessata.
L’uso del dossier per organizzare i turni ospedalieri costituisce, peraltro, una modalità inefficace essendo tale strumento vincolato al consenso dell’interessato e risultando, per sua natura, incompleto tenuto conto del fatto che l’interessato può decidere di oscurare alcuni dati e documenti, compresi gli esiti dei test Covid. Nel corso dell’istruttoria l’Autorità ha inoltre accertato che gli accessi erano stati possibili perché la configurazione del dossier sanitario aziendale non prevedeva limiti all’accesso, né sistemi di alert e di monitoraggio finalizzati a segnalare eventuali condotte illecite dei dipendenti.
Oltre ad irrogare la sanzione, il Garante ha ordinato all’azienda ospedaliera di adottare nuove procedure e misure organizzative per garantire la tutela dei dati dei pazienti e dei dipendenti: in particolare, l’adozione di alert automatici per il rilevamento di eventuali anomalie e di procedure che prevedano la registrazione automatica in appositi file di log di tutti gli accessi e le operazioni compiute, compresa anche la semplice consultazione del dossier, in modo tale da impedire al personale autorizzato di visionare lo stato di salute dei colleghi per finalità ulteriori rispetto a quelle di cura.
Nel suo provvedimento il Garante ha messo innanzitutto in evidenza come l’accesso al dossier sanitario sia consentito solo ai medici e al personale che hanno in cura un paziente, e non per esigenze organizzative e amministrative anche nell’ipotesi in cui, come nel caso specifico, la Asl assuma sia la veste di datore di lavoro che di autorità sanitaria che ha in cura l’interessata. L’uso del dossier per organizzare i turni ospedalieri costituisce, peraltro, una modalità inefficace essendo tale strumento vincolato al consenso dell’interessato e risultando, per sua natura, incompleto tenuto conto del fatto che l’interessato può decidere di oscurare alcuni dati e documenti, compresi gli esiti dei test Covid.
Recentemente il Garante con le Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica ai sensi degli artt. 2-quater e 106 del Codice (delibera 9 maggio 2024), pubblicate in Gazzetta Ufficiale (n. 130 del 5 giugno 2024), ha definito il quadro riguardante la ricerca scientifica, rendendo esplicito il ricorso al Comitati Etici regionali e l’utilizzo dei dati ai sensi dell’art. 110 del Codice per i quali non è possibile contattare e con l’adozione di nuove Regole deontologiche. A integrazione dell’argomento è utile citare (e fare proprie) le indicazioni fornite dall’Associazione Italiana della Comunicazione Pubblica e Istituzionale nel suo Codice Deontologico e di Buona Condotta dei Comunicatori Pubblici.
BIBLIOWEB:
- Servizio telematico Garante Data Breach https://www.gpdp.it/web/guest/data-breach
- Linee guida in materia di dossier sanitario – Allegato A -(Allegato PDF)
- Garante Privacy Infografica Dossier sanitario-(Allegato PDF)
- Garante Privacy- Data Breach dipendenti aziendali 23-1-20-9269629-(Allegato PDF)
- Garante Privacy data breach 1-7-21-9126951 (Allegato PDF)
- Garante Privacy Newsletter 27-11-23 -(Allegato PDF)
- Garante Privacy dossier sanitario dipendente 9-5-24-10001279 (Allegato PDF)
- Garante Privacy Regole deontologiche fini statistici ricerca scientifica 9-5-24-10016146 (Allegato PDF)
- Regole deontologiche https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9069677
- GU https://www.gazzettaufficiale.it/eli/id/2019/01/14/19A00181/sg
- Codice Deontologico e di Buona Condotta dei Comunicatori Pubblici- Associazione Italiana della Comunicazione Pubblica e Istituzionale (Allegato PDF)
- Associazione Italiana della Comunicazione Pubblica e Istituzionale https://www.compubblica.unito.it/it/Associarsi
- I numeri e la nuova Guida al Gdpr 2023 https://newmicro.altervista.org/?p=10189
- Privacy e Congressi https://newmicro.altervista.org/?p=9562
- Privacy, trasparenza della PA e dati sanitari https://newmicro.altervista.org/?p=9472
- Violazione della Privacy e tipo di danno https://newmicro.altervista.org/?p=8845
- Tre anni di GDPR https://newmicro.altervista.org/?p=8519
- Data Breach di Referti online https://newmicro.altervista.org/?p=8134
- Privacy: le sanzioni fanno male https://newmicro.altervista.org/?p=7027
LINEE GUIDA IN MATERIA DI DOSSIER SANITARIO – Allegato A alla deliberazione del Garante del 4 giugno 2015 (PDF)
Provvedimento correttivo e sanzionatorio nei confronti di Azienda Ospedaliero Universitaria Integrata di Verona 2020 (PDF)
Provvedimento del Garante sulla notifica delle violazioni dei dati personali (data breach) – 30 luglio 2019 (PDF)
Newsletter 27/11/23 – Dossier sanitario, Garante privacy: accessibile solo per ragioni di cura (PDF)
Provvedimento del 22 febbraio 2024 (PDF)
Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica ai sensi degli artt. 2-quater e 106 del Codice – 9 maggio 2024 (PDF)
CODICE DEONTOLOGICO E DI BUONA CONDOTTA DEI COMUNICATORI PUBBLICI – 2003 (PDF)
Articoli correlati:
LUG
Per qualsiasi comunicazione tecnica riguardante il presente Sito Web, potete contattare il WEBMASTER inviando un messaggio di posta elettronica. Grazie.
About the Author
Email: [email protected]