Il Garante per la protezione dei dati personali ha sanzionato un'Azienda Ospedaliero-Universitaria con una multa di 80mila euro per non aver configurato correttamente il dossier sanitario elettronico. Il provvedimento è stato adottato a seguito di un accertamento ispettivo svolto dall'Autorità, con l'obiettivo di verificare il rispetto della normativa in materia di privacy nei trattamenti effettuati tramite i sistemi informativi ospedalieri.
Dalle verifiche è emerso che l'Azienda utilizzava due distinti applicativi, dedicati rispettivamente alla cartella ambulatoriale e a quella di ricovero. Attraverso tali strumenti, tutto il personale sanitario era in grado di effettuare ricerche sulla storia clinica dei pazienti, anche in assenza di un coinvolgimento diretto nel percorso di cura. I sistemi adottati non prevedevano adeguate misure di profilazione degli accessi né strumenti di sicurezza come alert automatici o un tracciamento puntuale delle operazioni effettuate, attraverso file di log dedicati.
Un ulteriore elemento critico rilevato dal Garante riguarda la mancanza di trasparenza verso i pazienti, i quali non erano informati dell'esistenza dei trattamenti effettuati tramite il dossier. Di conseguenza, non avevano la possibilità di esprimere o negare il proprio consenso né di decidere se oscurare alcune informazioni cliniche soggette a particolari tutele.
Nel definire la sanzione, l'Autorità ha richiamato le Linee Guida del 2015, che stabiliscono chiaramente come al paziente debba essere garantita la possibilità di scegliere se le informazioni cliniche che lo riguardano alimentino o meno il dossier sanitario. Inoltre, l'accesso deve essere consentito esclusivamente al personale sanitario che segue direttamente la cura del paziente.
Per violazioni analoghe, il Garante ha sanzionato anche una casa di cura privata, alla quale è stata comminata una multa di 12mila euro.
Renault e droni militari, discussioni in corso: ipotesi produzione in Francia