25 Mag Accesso al Dossier sanitario e tutele nel trattamento dei dati sanitari

Autori: Chiara Zampaglione, Andrea Strippoli, Miriam Andrea Fadda

In tema di accesso e consultazione del DSE – Dossier Sanitario Elettronico l’Autorità Garante per la protezione dei dati personali si è recentemente espressa nel provvedimento del 22 febbraio 2024 [1] imponendo una sanzione pari a 75mila euro all’Azienda Sanitaria dell’Alto Adige per non aver proceduto ad una corretta e sicura configurazione delle relative modalità di accesso.

Il provvedimento in esame assume particolare importanza alla luce delle implicazioni che potrebbero sorgere nelle attività di trattamento aventi ad oggetto categorie particolari di dati personali ai sensi dell’art. 9 del GDPR [2], tra cui sono ricompresi i dati relativi alla salute. Il DSE costituisce, infatti, l’insieme dei dati personali generati da eventi clinici presenti e trascorsi riguardanti un interessato, messi in condivisione dai professionisti sanitari che l’hanno assistito, al fine di documentarne la storia clinica e di offrire un migliore processo di cura. Tale strumento è costituito presso un organismo sanitario (come un ospedale o una clinica privata), che assume il ruolo di unico titolare del trattamento, al cui interno operano più professionisti [3].

La vicenda

L’avvio del procedimento sanzionatorio prende le mosse da due reclami e due notifiche di violazione dei dati personali aventi ad oggetto l’accesso non autorizzato ai DSE relativi a tre interessati.

Nello specifico, nel primo dei due reclami l’interessato lamentava la presenza di ripetuti accessi al proprio dossier che non coincidevano con le date in cui era stato ricoverato. Nel secondo reclamo, invece, erano stati segnalati dall’interessato ben cinque accessi inappropriati al proprio DSE da parte di personale sanitario che non era stato coinvolto nel suo processo di cura. Nel contesto di tale secondo reclamo, l’Asl aveva deciso di notificare, ai sensi dell’art. 33 GDPR, la violazione di dati personali verificatasi a seguito degli accessi non autorizzati a tale dossier ed anche di  effettuare una comunicazione di violazione dei dati all’interessato ex art. 34 GDPR. In aggiunta, l’Asl aveva proceduto ad inviare una seconda notifica di violazione dei dati a seguito di un ulteriore accesso da parte di una professionista sanitaria al dossier sanitario del coniuge. Quest’ultimo, all’epoca dei fatti, risultava essere paziente presso la struttura, ma non affidato in cura alla professionista accusata della violazione, che, dunque, non era legittimata ad accedere a tale dossier. Attraverso tali accessi, la professionista aveva potuto visionare esami di laboratorio ed accertamenti relativi al marito al di fuori del suo percorso di cura e, soprattutto, ad insaputa dello stesso.

Le principali contestazioni

Dall’istruttoria condotta da parte dell’Autorità sono stati ravvisati diversi profili di non conformità alla disciplina in materia di protezione dati personali. In particolare, relativamente a:

• • • Profili di autorizzazione per l’accesso al DSE: in primo luogo, la configurazione del dossier sanitario adottata da parte dell’Asl ha reso possibile che il proprio personale sanitario potesse accedere senza restrizioni ai DSE di pazienti che non erano – all’atto dell’accesso – in cura presso i professionisti in forza, in violazione dei principi di liceità, correttezza e trasparenza e delle prescrizioni dell’Autorità già emanate in materia [4].
    • Sistemi per il controllo degli accessi al DSE: l’Asl non aveva presidiato la sicurezza degli accessi ai DSE con l’attivazione di specifici alert idonei ad individuare comportamenti anomali o a rischio, relativi alle operazioni eseguite dai soggetti autorizzati al trattamento (ad esempio, impostando alert relativi al numero degli accessi eseguiti, alla tipologia o all’ambito temporale degli stessi), in violazione dei principi di integrità e riservatezza oltre che di sicurezza del trattamento.
    • Finalità per l’accesso al DSE: lAsl aveva, inoltre, consentito al personale medico l’accesso ai DSE per il perseguimento di diverse finalità, ulteriori rispetto a quelle di cura, prevenzione, diagnosi e riabilitazione dell’assistito. Tra queste, vi era la possibilità di accedere ai dossier per adempimenti normativi/organizzativi e per la consultazione del Registro tumori. Sul punto, l’Autorità Garante ha ravvisato, in primis, la violazione delle disposizioni contenute nelle Linee guida in materia di Dossier sanitario [5] sulla base delle quali “il titolare è chiamato ad individuare, in relazione alle diverse funzioni a cui è adibito il personale, specifici profili per l’accesso al dossier” restringendo, così, le casistiche di accesso a quelle essenziali di cura del paziente e di prevenzione, diagnosi e riabilitazione. Inoltre, con riferimento al Registro tumori, l’Autorità ha, invece, osservato che le modalità di consultazione di tale Registro sono regolate dalla disciplina di settore e che le stesse non prevedono l’utilizzo del dossier sanitario [6].

Conclusioni

Quanto sancito nel provvedimento in esame fa trasparire una costante esigenza di tutela nelle attività di trattamento aventi ad oggetto dati relativi alla salute, come rappresentato dall’Autorità Garante nelle citate Linee Guida. L’adozione di tali accorgimenti si traduce per i titolari del trattamento coinvolti, quali Asl, ospedali, cliniche private, ecc., nella messa in atto di misure tecniche e organizzative idonee a garantire la sicurezza dei dati personali trattati, al fine di scongiurare il rischio di:

• accesso alle informazioni trattate mediante il dossier sanitario da parte di soggetti non autorizzati; e
• comunicazione dei dati contenuti nel dossier sanitario a soggetti terzi non legittimati a ricevere tali informazioni.

[1] Autorità Garante per la protezione dei dati personali, Provvedimento del 22 febbraio 2024, [doc. web n. 10001279], https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10001279

[2] Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)

[3] Autorità Garante per la protezione dei dati personali, Linee guida in tema di Fascicolo sanitario elettronico (Fse) e di dossier sanitario del 16 luglio 2009, [doc. web n. 1634116], https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1634116

[4] L’Autorità Garante per la protezione dei dati personali era già intervenuta sul trattamento dei dati in esame con il Provvedimento del 3 luglio 2014  [doc. web n. 3325808] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3325808 in cui era stato prescritto all’Asl di mettere in atto specifici accorgimenti che consentissero ai soli professionisti sanitari che hanno in quel momento in cura il paziente di accedere al suo dossier sanitario per il tempo in cui si articola il percorso di cura. Tali accorgimenti dovevano essere adottati entro il 31 ottobre 2014 come previsto dal Provvedimento di differimento dell’11 settembre 2014, [doc. web n. 3494478], https://garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3494478.

[5] Autorità Garante per la protezione dei dati personali, Linee guida in materia di Dossier sanitario del 4 giugno 2015, [doc. web n. 4084632], https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/4084632.

[6] Sul punto, l’Autorità Garante per la protezione dei dati personali ha reso il proprio parere su uno schema di decreto ai sensi dell’art. 12, comma 13 del d.l. 18 ottobre 2012, n. 179, convertito con modificazioni in legge 17 dicembre 2012, n. 221, per l’istituzione del Registro nazionale tumori – 7 aprile 2022, doc. web n. 9773977, https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/print/9773977.