Fascicolo sanitario elettronico: privacy e sanzioni
Il caso di alcune sanzioni emesse dal Garante Privacy alle aziende sanitarie per violazione dei dati personali in merito al fascicolo sanitario elettronico
.png)
Anche l’ambito sanitario si sta sempre più digitalizzando ed uno degli elementi cardine di questa transazione al digitale è rappresentato dal Fascicolo Sanitario Elettronico (FSE) che ormai già da diversi anni abbiamo imparato a conoscere.
Il Fascicolo Sanitario Elettronico è l'insieme dei dati e delle informazioni cliniche che costituiscono la storia sanitaria di un soggetto. All'interno del FSE si trovano quindi i documenti di tipo sanitario, amministrativo nonché le prescrizioni mediche e farmaceutiche; pertanto è strettamente personale.
Mediante il FSE è possibile compiere diverse operazioni: inserire e ricercare i documenti come anche la verifica degli accessi, utile per sapere chi prende visione delle nostre informazioni sanitarie. Nella pagina degli accessi infatti è possibile consultare l’elenco di tutte le operazioni che sono state compiute sul Fascicolo.
Dal punto di vista della sicurezza informatica, l'accesso è possibile solo attraverso l'uso di credenziali personali registrate (SPID o con smart card (TS_CNS e CIE)) ed i sistemi sono dotati dei più avanzati livelli di sicurezza e di monitoraggio.
Passando ora agli aspetti privacy va ricordato che la specifica informativa sul trattamento dati personali è consultabile all’interno della piattaforma che offre il servizio.
Altro aspetto estremamente importante è la gestione del consenso alla consultazione. Infatti, è direttamente il titolare del fascicolo a decidere se renderlo visibile a chi lo prenderà in cura (attraverso il consenso alla consultazione) e se rendere uno o più documenti in esso contenuti non visibili (attraverso l'oscuramento). Tenendo presente che il titolare del fascicolo potrà verificare in qualsiasi momento eventuali accessi ai propri dati effettuati da terze persone (ad esempio, il proprio Medico).
Ecco, quindi, che il singolo soggetto potrà decidere se autorizzare o meno il medico di medicina generale - medico di famiglia e/o ad altri professionisti della sanità a cui si rivolge per le sue cure, alla visione delle informazioni contenute nel suo FSE o solo ad una parte di esse.
Ferme queste premesse, assumono particolare rilevanza le sanzioni emesse dal Garante nei confronti di due aziende sanitarie (la Usl della Romagna e l’Azienda Provinciale per i Servizi Sanitari di Trento, rispettivamente per 120.000 e 150.000 euro) per il mancato rispetto della richiesta di oscuramento fatta dai pazienti.
Nello specifico è accaduto che l’Azienda Provinciale per i Servizi Sanitari di Trento, ha notificato al Garante una violazione dei dati personali dovuta al fatto di aver messo per errore a disposizione dei medici di famiglia, 293 referti di 175 pazienti, tra cui 2 minorenni e alcune donne sottoposte ad interruzione di gravidanza, nonostante queste persone avessero regolarmente esercitato il diritto di oscuramento nei confronti di tali documenti.
Caso molto simile a quanto accaduto all’Usl della Romagna, la quale ha trasmesso ad un medico di famiglia il referto di una paziente che, al momento del ricovero per interruzione farmacologica di gravidanza, ne aveva richiesto l’oscuramento con la compilazione di un apposito modulo.
L’istruttoria del Garante ha accertato che la comunicazione dei dati era avvenuta accidentalmente a causa di un bug nel software che gestiva l’accettazione, la dimissione e il trasferimento degli assistiti.
Il programma non aveva praticamente salvato la selezione del flag che indicava la volontà della paziente di non trasmettere il referto in questione al medico di medicina generale.
La comunicazione illecita di dati personali sulla salute, contro la volontà espressa dai pazienti, ha interessato 48 persone tra aprile 2018 e agosto 2019. Il Garante ha così emesso la sanzione di 120.000 euro alla Usl.
In entrambi i casi è quindi emerso che la violazione era stata generata da un problema del software che non ha registrato la richiesta di oscuramento delle informazioni, anche se correttamente inserita dagli operatori sanitari.
La diversa quantificazione delle sanzioni comminate dal Garante è frutto di diverse considerazioni quali: il numero e le caratteristiche delle persone interessate, il carattere non occasionale delle violazioni, le precedenti violazioni compiute, ma anche il comportamento collaborativo delle Aziende sanzionate.
Vuoi ricevere più dettagli sui nostri argomenti? Iscriviti ora!
Riceverai tanti informazioni utili per la sicurezza dei dati della tua impresa.
