Il Garante ha recentemente sanzionato un’Azienda Ospedaliera in seguito alla notifica di violazione di dati personali per accessi “impropri” ai dossier sanitari dei pazienti per ragioni non correlate alle prestazioni di cura e assistenza sanitaria, né per attacchi da parte di soggetti esterni bensì, stando alle dichiarazioni dell’Azienda, per la “mera curiosità” da parte del personale medico interno.
L’Autorità Garante ha valutato e contestato, di conseguenza, le violazioni del principio di integrità e riservatezza (art. 5 par. 1 lett. f GDPR) e di privacy by design e privacy by default (art. 25 GDPR) in ragione dell’inadeguatezza delle misure di protezione dei dati da trattamenti non autorizzati (quali sono gli accessi e le consultazioni) e della mancata predisposizione di misure adeguate per il controllo degli accessi al dossier sanitario, ingiungendo una sanzione amministrativa di trentamila euro e ordinando il completamento dell’implementazione delle misure indicate dalla stessa Azienda Ospedaliera sia nelle notificazioni che all’interno degli scritti difensivi.
La protezione dai trattamenti non autorizzati, evidenzia il Garante, deve essere intesa come un parametro per la valutazione di adeguatezza delle misure di sicurezza predisposte soprattutto in considerazione delle Linee guida in materia di dossier sanitario che disciplinano specificamente la materia della gestione e del controllo degli accessi. L’individuazione dei profili autorizzati deve tenere conto, di conseguenza, dell’adozione e del monitoraggio continuo dell’efficace funzionamento di tecniche di autenticazione che possano:
- identificare i soggetti coinvolti e differenziare i profili;
- limitare gli accessi al solo personale sanitario che interviene nel processo di cura;
- limitare il volume dei dati consultabili da ciascun profilo a quanto necessario per l’espletamento dei propri compiti;
- limitare l’accesso nel tempo a quanto necessario per l’intervento nel processo di cura dell’interessato.
La valutazione per cui un determinato accesso debba essere “indispensabile” in relazione agli interventi nel processo di cura da parte dei profili così individuati, inoltre, deve essere svolta in concreto. Di conseguenza, la creazione e differenziazione dei profili deve trovare un’adeguata motivazione ai sensi dell’art. 24 GDPR e deve di conseguenza indicare quanto meno la valutazione di necessità in ragione della quale è stato progettato un determinato profilo che abbia un determinato accesso (tanto sul piano dell’ampiezza della documentazione accessibile che sul piano temporale) al dossier sanitario di un paziente.
Di conseguenza, tutte le misure (prevalentemente di natura tecnica) che il titolare del trattamento deve attuare secondo un principio di legal design nella preventiva regolamentazione degli accessi al dossier sanitario devono necessariamente tenere conto almeno di parametri di autenticazione dei soggetti e di una differenziazione dei profili tanto per la profondità di accesso che per il filtro temporale. Ovviamente i privilegi di accesso devono seguire il parametro dell’indispensabilità all’interno del processo di cura, e dunque il titolare del trattamento deve essere in grado di attuare misure di monitoraggio continuo per l’adozione di interventi correttivi (quali ad esempio: la ridefinizione dei privilegi o le possibilità di cessazione/rinnovo degli accessi a seconda delle contingenze).
La mancata analisi preventiva per l’identificazione dei profili e dei relativi privilegi, così come una mancata piena implementazione tecnica degli stessi, provoca inevitabilmente le contestazioni sopra richiamate, in considerazione dell’impatto comunque elevato che la perdita di riservatezza dei dati contenuti all’interno del dossier sanitario comporta, potenzialmente, nei confronti dei diritti e delle libertà fondamentali degli interessati.
