Covid ed emergenza sanitaria: nessuna sospensione delle tutele in materia di privacy
Sanzionata un’Azienda sanitaria locale, colpevole di avere rimosso, durante la pandemia, tutte le misure poste a tutela dei dati dei pazienti presenti nel dossier sanitario aziendale
La pandemia causata dalla diffusione del Covid-19 e la conseguente emergenza sanitaria non possono cancellare o sospendere le tutele in materia di privacy. Proprio per questo, il Garante per la protezione dei dati personali ha sanzionato con una multa di 40.000 euro l’Azienda sanitaria locale della Valle d’Aosta che, durante il periodo di emergenza sanitaria, aveva rimosso le misure poste a tutela dei dati dei pazienti presenti nel dossier sanitario aziendale. Il Garante è intervenuto a seguito del reclamo di un’operatrice sanitaria, che, pur avendo negato espressamente il consenso al trattamento dei dati attraverso il dossier sanitario aziendale, lamentava ripetuti accessi al dossier da parte di una collega che non l’aveva mai avuta in cura. Nel corso dell’istruttoria è emerso che l’unica Azienda sanitaria presente in Valle D’Aosta, nel tentativo di semplificare la gestione dei pazienti durante la pandemia, aveva disposto con un atto amministrativo la rimozione dei filtri privacy per l’accesso al sistema che gestisce il dossier sanitario aziendale. In particolare, l’Azienda sanitaria aveva reso accessibili i dossier di tutti gli assistiti della Regione a qualunque operatore sanitario, a prescindere dal fatto che il soggetto avesse espresso o meno il proprio consenso al trattamento dei dati attraverso il dossier sanitario, oppure che la prestazione riguardasse un paziente Covid-19 o che l’autore dell’accesso avesse in cura quel soggetto. Inoltre, nel derogare alle limitazioni relative all’accesso al dossier sanitario dettate dall’applicazione della disciplina sulla protezione dei dati personali, l’Azienda sanitaria locale non aveva neppure adottato misure organizzative e tecniche adeguate ad individuare accessi anomali al sistema informativo (per esempio tramite indicatori sul numero degli accessi eseguiti, sulla tipologia o sull’ambito temporale degli stessi). Il Garante ha ribadito che, sebbene la disciplina introdotta a seguito dell’emergenza Covid abbia previsto alcune semplificazioni, ad esempio in tema di informativa, essa non ha derogato e non avrebbe potuto derogare ai principi generali e alle regole sul trattamento dei dati sulla salute effettuato attraverso il dossier sanitario. (Ordinanza del 10 novembre 2022 del Garante per la protezione dei dati personali)