Cartelle cliniche: Garante Privacy punisce due strutture sanitarie per accessi non autorizzati

lentepubblica.it

Cartelle cliniche sotto controllo: il Garante Privacy punisce due strutture sanitarie per accessi non autorizzati ai dati dei pazienti.

Il Garante per la protezione dei dati personali ha inflitto due sanzioni significative a un’Azienda ospedaliero-universitaria e a una clinica privata per violazioni delle norme sulla riservatezza dei dati sanitari. Al centro del provvedimento, del valore complessivo di 92mila euro, c’è una gestione inadeguata dei dossier sanitari elettronici, che avrebbe consentito a personale non coinvolto nelle cure dei pazienti di consultare informazioni mediche sensibili.

Accessi fuori controllo

L’indagine dell’Autorità è partita da una verifica ispettiva condotta presso un grande ospedale pubblico, con l’obiettivo di accertare il rispetto delle regole in materia di protezione dei dati personali nei sistemi informatici utilizzati per la gestione delle cartelle cliniche. Dalle verifiche è emerso che l’ente utilizzava due distinti software — uno per le attività ambulatoriali e un altro per i ricoveri — che, però, non limitavano adeguatamente l’accesso alle informazioni.

In pratica, qualsiasi operatore sanitario, anche se non direttamente impegnato nella cura di un determinato paziente, poteva consultare la sua storia clinica completa. Una prassi che viola il principio cardine di necessità nel trattamento dei dati, secondo il quale le informazioni sanitarie devono essere accessibili solo a chi ne ha realmente bisogno per motivi di assistenza.

Mancanza di controlli e consenso

L’analisi tecnica ha inoltre rivelato l’assenza di strumenti di sicurezza fondamentali, come sistemi di tracciamento delle operazioni compiute dagli utenti, registri dei log o alert che segnalassero accessi anomali. Ciò significa che non era possibile verificare chi avesse consultato un determinato dossier, né in quale momento.

A tutto questo si aggiunge un problema di trasparenza: i pazienti non erano informati dell’esistenza di un dossier sanitario elettronico né del fatto che i loro dati venissero trattati in questo modo. Di conseguenza, non avevano la possibilità di esprimere un consenso esplicito né di decidere se oscurare parti del proprio fascicolo, come previsto per le informazioni particolarmente delicate (ad esempio, quelle relative a malattie infettive o trattamenti psicologici).

La posizione del Garante

Alla luce delle violazioni riscontrate, il Garante ha imposto una sanzione di 80mila euro all’Azienda ospedaliero-universitaria, sottolineando che la gestione del dossier sanitario deve rispettare precise garanzie a tutela della riservatezza dei cittadini. L’Autorità ha richiamato le Linee guida del 2015, nelle quali è chiarito che il dossier sanitario è uno strumento utile per migliorare la continuità delle cure, ma il suo utilizzo deve basarsi su principi di proporzionalità e consapevolezza.

In particolare, il paziente deve poter decidere liberamente se i dati relativi alla propria salute possano essere raccolti in un archivio elettronico consultabile nel tempo, e tale archivio deve essere accessibile esclusivamente agli operatori che partecipano al suo trattamento terapeutico. Qualsiasi altro accesso — anche da parte di medici o infermieri appartenenti alla stessa struttura — è da considerarsi illecito se non giustificato da esigenze assistenziali concrete.

Sanzioni anche per una clinica privata

Il caso non riguarda solo il settore pubblico. Il Garante ha infatti accertato violazioni simili anche in una struttura sanitaria privata, sanzionata con 12mila euro. Anche in questo caso, le criticità riguardano la gestione dei profili di accesso e la mancanza di adeguate misure di sicurezza informatica.

L’Autorità ha ribadito che il rispetto della privacy dei pazienti non è una formalità burocratica, ma un obbligo essenziale per garantire fiducia nel sistema sanitario. Le strutture, pubbliche o private, sono tenute a configurare i propri sistemi informatici in modo da impedire ogni consultazione non autorizzata e a fornire ai cittadini informazioni chiare sul trattamento dei loro dati.

Diritto alla riservatezza e responsabilità delle strutture

Il provvedimento rappresenta un monito per tutte le realtà sanitarie italiane, chiamate a rafforzare i controlli interni e ad aggiornare le proprie procedure in linea con le normative europee sulla protezione dei dati. In ambito sanitario, la riservatezza assume un valore ancora più delicato: la gestione impropria di dati sensibili può avere conseguenze non solo legali, ma anche personali e sociali per i pazienti coinvolti.

Il Garante ha invitato le strutture a garantire che il personale sanitario acceda alle informazioni solo quando strettamente necessario per le cure, adottando strumenti di tracciamento e sistemi di allerta per prevenire abusi. Allo stesso tempo, è necessario che ogni cittadino sia informato in modo trasparente sul funzionamento del proprio dossier e possa esercitare pienamente i propri diritti, dal consenso all’oscuramento di dati particolarmente sensibili.

Un richiamo alla cultura della protezione dei dati

Le sanzioni comminate non hanno soltanto una funzione punitiva, ma mirano a promuovere una maggiore consapevolezza nel trattamento delle informazioni sanitarie. La digitalizzazione del sistema sanitario, infatti, offre grandi vantaggi in termini di efficienza e continuità assistenziale, ma comporta anche nuove responsabilità nella gestione della sicurezza dei dati personali.

Il messaggio dell’Autorità è chiaro: la tecnologia può migliorare l’assistenza sanitaria solo se usata nel rispetto della dignità e della privacy dei pazienti. In caso contrario, anche gli strumenti più avanzati rischiano di trasformarsi in una minaccia per i diritti fondamentali delle persone.

Il provvedimento del Garante

Qui il documento completo.

The post Cartelle cliniche: Garante Privacy punisce due strutture sanitarie per accessi non autorizzati appeared first on lentepubblica.it.