Struttura sanzionata se lo stato di salute del dipendente è accessibile
Strutture sanitarie a rischio sanzione se non configurano il dossier aziendale in modo tale da impedire al personale autorizzato di visionare lo stato di salute dei colleghi per finalità ulteriori rispetto a quelle di cura
Esemplare il provvedimento con cui il ‘Garante per la privacy’ ha multato un’‘Azienda sanitaria locale’ della Lombardia. Nel caso specifico, il ‘Garante’, intervenuto a seguito del reclamo di un’infermiera, che era stata al contempo paziente e dipendente della ‘ASL’, ha accertato che le responsabili dell’organizzazione dei turni del reparto dove la donna lavorava avevano avuto liberamente accesso, durante il lockdown, al dossier sanitario dei colleghi per verificare l’eventuale positività al Covid-19 e pianificare le presenze in ospedale. Secondo la ‘ASL’ la pratica si era resa necessaria per sapere su quali risorse umane poter contare, considerato che, nel periodo della pandemia, gran parte del personale era in malattia contagiato dal Covid. Il ‘Garante’ ha replicato ponendo innanzitutto in evidenza come l’accesso al dossier sanitario sia consentito solo ai medici e al personale che hanno in cura un paziente, e non per esigenze organizzative e amministrative, anche nell’ipotesi in cui, come nel caso specifico, la struttura sanitaria assuma sia la veste di datore di lavoro che di autorità sanitaria che ha in cura il soggetto. Peraltro, l’uso del dossier per organizzare i turni ospedalieri costituisce, ha precisato il ‘Garante’, una modalità inefficace, essendo tale strumento vincolato al consenso del soggetto e risultando, per sua natura, incompleto, tenuto conto del fatto che il soggetto può decidere di oscurare alcuni dati e documenti, compresi gli esiti dei test Covid. Nel corso dell’istruttoria, poi, il ‘Garante’ ha anche accertato che gli accessi erano stati possibili perché la configurazione del dossier sanitario aziendale non prevedeva limiti all’accesso, né sistemi di alert e di monitoraggio finalizzati a segnalare eventuali condotte illecite dei dipendenti. Oltre ad irrogare la sanzione - 40.000 euro di multa -, il ‘Garante’ ha ordinato alla struttura di adottare nuove procedure e misure organizzative per garantire la tutela dei dati dei pazienti e dei dipendenti: in particolare, l’adozione di alert automatici per il rilevamento di eventuali anomalie e di procedure che prevedano la registrazione automatica in appositi file di log di tutti gli accessi e le operazioni compiute, compresa anche la semplice consultazione del dossier. (Provvedimento del 12 ottobre 2023 del Garante per la protezione dei dati personali)