L’Autorità Garante per La Protezione dei Dati Personali ha sanzionato un’azienda ospedaliera per aver permesso al proprio personale di poter accedere senza autorizzazione ai dossier sanitari dei propri pazienti; tra i dossier sanitari oggetto di accesso abusivo vi erano anche quelli dei dipendenti stessi dell’azienda.
L’attività istruttoria dell’Autorità è avvenuta a seguito di ben tre di violazioni di dati personali occorse all’azienda nel luglio 2019, ove, da periodici controlli interni aziendali, era emerso che vi erano stati accessi impropri da parte del personale sanitario ai dossier sanitari dei pazienti, senza alcuna motivazione medica.
L’attività istruttoria ha evidenziato come l’accesso abusivo dei dipendenti sia stato posto in essere per mera curiosità degli stessi, soprattutto con riguardo ai dossier dei propri colleghi, e non per finalità di cura. Infatti, come anche dichiarato dall’azienda, molti degli accessi abusivi sono stati posti in essere nei confronti dei dossier di dipendenti in maternità.
L’azienda ospedaliera si è difesa adducendo come le responsabilità in esame siano esclusivamente da ascrivere a condotte “infedeli” poste in essere dal proprio personale, che hanno agito altresì senza rispettare le indicazioni operative fornite dal titolare.
Il comportamento dell’azienda ospedaliera è stato ritenuto non conforme al GDPR in quanto le misure di sicurezza prescritte dal Garante nel 2015 (provvedimento n.331 del 4 giugno 2015) – ovvero volte a limitare l’accesso al dossier sanitario oltre che a salvaguardare i diritti dei pazienti – sono state implementate dal titolare solo successivamente alle violazioni in oggetto; tale comportamento – afferma l’Autorità – è in contrasto con l’art. 25 del Regolamento che sancisce il principio di protezione dei dati fin dalla progettazione e per impostazione predefinita.
Per le condotte sopra riportate, il Garante ha sanzionato l’azienda ospedaliera per 30.000,00 euro, ingiungendo altresì alla stessa di implementare entro 90 giorni specifiche misure di sicurezza volte a migliorare le procedure di accesso ai dossier sanitari aziendali da parte del personale.