Il Dossier Sanitario elettronico (Dse) dell'Azienda sanitaria dell'Alto Adige non era limitato al solo personale sanitario che interveniva sul paziente ma era accessibile anche agli operatori non coinvolti nel processo di cura. È quanto ha rilevato il Garante della Privacy dopo essersi attivato con opportune verifiche in seguito ad alcuni reclami e segnalazioni che lamentavano un trattamento illecito di dati personali effettuato tramite il sistema di archiviazione e refertazione delle prestazioni erogate dall'azienda sanitaria.
Dossier sanitario accessibile a operatori non coinvolti nel processo di cura
Si erano infatti registrati ripetuti accessi al dossier da parte di personale che non aveva nessuna ragione di consultarlo poiché non aveva in cura i pazienti di cui visionavano i documenti a loro insaputa.
Il garante della Privacy ha quindi rilevato la violazione delle “Linee Guida in materia di Dossier sanitario”, elaborate nel 2015 secondo le quali il titolare del trattamento dei dati deve porre particolare attenzione nell'individuazione dei profili di autorizzazione, adottando modalità tecniche di autenticazione al dossier.
Il sistema di gestione del Dse dell'Asl consentiva invece agli operatori sanitari di inserire manualmente, mediante autocertificazione, la motivazione per cui si rendeva necessario l'accesso al dossier sanitario. Tale accesso era altresì consentito, grazie ad una impostazione predefinita, a varie figure professionali che non avevano niente a che fare con il percorso di cura dei pazienti, compreso il personale amministrativo.
Dalle indagini è emerso che l'Asl non ha quindi garantito la riservatezza e la sicurezza dei dati in quanto non ha configurato correttamente le modalità di accesso al dossier. È stato inoltre accertato che manca la predisposizione di un sistema di alert per individuare comportamenti anomali relativi alle operazioni eseguite dagli incaricati al trattamento.
L'Autorità ha pertanto applicato una sanzione amministrativa a carico dell'Asl per 75mila euro con l'ordine altresì di adottare tutte le misure tecniche ed organizzative necessarie per impedire altri accessi abusivi.
Commento (0)
Devi fare il login per lasciare un commento. Non sei iscritto ?