IL CASO

Il Garante Privacy, all’esito di accertamenti ispettivi nei confronti dell'Azienda Usl 11 di Empoli, ha dettato una serie di misure per sanare gravi violazioni riscontrate nella gestione degli oltre 350 mila dossier sanitari, relativi a persone che si sono rivolte alla struttura. Le irregolarità emerse nel corso di accertamenti ispettivi riguardavano, in particolare:

  • l'informativa: carente e priva degli elementi essenziali per consentire una scelta consapevole sulla costituzione o meno del dossier;
  • il consenso: costituzione del dossier senza il consenso del paziente, acquisito solo a partire dal 2015, cinque anni dopo l'introduzione del documento elettronico nell'Azienda;
  • gli accessi indiscriminati al sistema informatico: ogni medico della struttura poteva consultare i referti sia dei propri pazienti sia di qualsiasi altra persona che avesse effettuato un esame clinico presso l'Azienda.

LA DECISIONE

Con Provvedimento doc. web n. 4449114 il Garante Privacy ha prescritto all'Azienda entro il 31 marzo 2016 di:

  • adottare opportuni accorgimenti, anche tecnici, affinché i documenti sanitari di un individuo, contenuti nel dossier sanitario, siano disponibili solo al professionista che lo ha in cura in quel momento e non siano più condivisi con gli operatori degli altri reparti. Il medico potrà consultare anche altri dossier, motivando la richiesta sulla base di una casistica predeterminata dall'Azienda (ad. es. trapianti, richiesta di consulenza, guardia medica). Il personale amministrativo potrà accedere solo ai dossier e ai dati indispensabili all'assolvimento delle sue funzioni;
  • modificare l'informativa, integrandola con tutti gli elementi previsti dalla normativa.

L'Autorità si è riservata di valutare, con separato provvedimento, gli estremi per contestare all'Azienda l'applicazione delle sanzioni amministrative previste dal Codice privacy.

http://www.garanteprivacy.it/ 
Autore: Matteo Colombo | Presidente di ASSO DPO | Amministratore Delegato di Labor Project srl