Provvedimento del 9 maggio 2024 [10027595]
Provvedimento del 9 maggio 2024 [10027595]
Condividi[doc. web n. 10027595]
Provvedimento del 9 maggio 2024
Registro dei provvedimenti
n. 295 del 9 maggio 2024
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il Cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n.9107633 (di seguito “Regolamento del Garante n. 1/2019”);
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n.1098801;
Relatore la prof.ssa Ginevra Cerrina Feroni;
PREMESSO
1. I reclami, le violazioni dei dati personali e l’attività istruttoria
L’Autorità ha ricevuto tra il mese di XX e il mese di XX un reclamo e quattro notifiche di violazione in merito ai trattamenti di dati personali effettuati attraverso il dossier sanitario dell’Azienda ospedale università di Padova (di seguito Azienda).
In relazione alla notifica di violazione del XX, dalla documentazione in atti, emerge che si sono verificati quattro accessi al dossier sanitario di un interessato, tra il mese di febbraio e il mese di XX, da parte di tre soggetti che “hanno effettuato l'accesso senza rispettare le indicazioni della Direzione Aziendale per l'accesso al DSE”. Tali accessi “non risultano essere stati fatti per finalità di diagnosi e cura anche se sono stati effettuati da operatori sanitari che avevano in un momento precedente in cura l'interessato o sono stati effettuati per un confronto clinico”. Al riguardo, con nota del XX, l’Azienda, nell’evidenziare di aver inviato una “segnalazione di violazione dei dati personali, per i provvedimenti di competenza” nei confronti dei soggetti che hanno effettuato “l’accesso improprio al DSE”, ha rappresentato che “le finalità dell'accesso al DSE sono state (…) di revisione clinica del percorso di cura relativo al soggetto interessato e correlata verifica dell'outcome del medesimo; analisi effettuata da parte di professionisti afferenti alla medesima Unità Operativa/Area dipartimentale nella quale l'interessato era stato precedentemente preso in carico, al solo scopo di verificare l'efficacia di tale processo di diagnosi e cura, e l'eventuale applicazione del medesimo percorso a casi riguardanti la medesima patologia”. È stato inoltre specificato che “Da verifiche effettuate non si può dire che si sia trattato di attività di ricerca clinica ma di verifica di outcome di precedenti casi clinici utile per la gestione di casi simili”.
L’Azienda con la notifica di violazione del XX ha poi rappresentato che si sono verificati ulteriori quattro accessi al dossier dello stesso interessato di cui agli accessi notificati il XX da parte di alcuni operatori sanitari, tra i quali figura anche uno di quelli che aveva già effettuato gli accessi oggetto di precedente notifica “che avevano avuto precedentemente in cura l'interessato o sono stati fatti ai fini di studio retrospettivo”. Secondo quanto dichiarato in atti, si tratta della medesima fattispecie di cui alla precedente notifica di violazione, ma riferita ad accessi avvenuti in un momento immediatamente successivo alla prima segnalazione formulata dall’interessato. Anche in questo caso, l’Azienda, con la citata nota del XX, nell’evidenziare di aver inviato una “segnalazione di violazione dei dati Personali, per i provvedimenti di competenza” nei confronti dei soggetti che hanno effettuato “l’accesso improprio al DSE”, ha rappresentato che “le finalità dell'accesso al DSE sono state (…) di revisione clinica del percorso di cura relativo al soggetto interessato e correlata verifica dell'outcome del medesimo; analisi effettuata da parte di professionisti afferenti alla medesima Unità Operativa/Area dipartimentale nella quale l'interessato era stato precedentemente preso in carico, al solo scopo di verificare l'efficacia di tale processo di diagnosi e cura, e l'eventuale applicazione del medesimo percorso a casi riguardanti la medesima patologia”. Anche in relazione a tale fattispecie è stato inoltre specificato che da “verifiche effettuate non si può dire che si sia trattato di attività di ricerca clinica ma di verifica di outcome di precedenti casi clinici utile per la gestione di casi simili”;
Con la notifica di violazione del XX, l’Azienda ha rappresentato che si sono verificati otto accessi al dossier sanitario di un’interessata che risulta sia assistita, che dipendente della stessa Azienda, “senza alcun legame con l'attività di diagnosi e cura erogata all'interessata. Si era, così, diffusa la voce sulle sue condizioni di salute”. Al riguardo, è stato rappresentato che “la violazione è stata segnalata all'Università quale datore di lavoro dell'operatore le cui credenziali sono state utilizzate per gli accessi abusivi”, che “dalle verifiche effettuate, gli accessi al DSE non sembrano aver avuto finalità documentate e giustificate”, che l’autore degli stessi è “un amministrativo” (“profilo amministrativo con la sola possibilità di consultazione dei documenti”) “dipendente dall’Università degli Studi” e che i fatti de quo sono stati segnalati alla Procura della Repubblica.
Nel mese di XX, la Sig.ra XX ha presentato un reclamo al Garante lamentando quattro accessi al suo dossier sanitario, in cui sono stati consultati 13 documenti sanitari. In merito a tale fattispecie, l’Azienda ha presentato una notifica di violazione il XX in cui è stato evidenziato che gli accessi sono stati determinati da “un comportamento di tre operatori consistito nel non aver presidiato la postazione al computer durante l'apertura della sessione, permettendo di fatto ad altri (non identificabili) di accedere al dossier dell'interessato. I tre operatori hanno agito senza rispettare le cautele più volte prescritte dalla Direzione Aziendale per l'accesso al DSE”. Al riguardo, l’Azienda ha inoltre rappresentato che per i suddetti accessi sono state utilizzate le seguenti motivazioni: “"Verifica per follow up", "Verifica in urgenza", "Consultazione cartelle cliniche"” e che “al fine di minimizzare i rischi, sta procedendo alla revisione delle autorizzazioni, limitandole allo stretto indispensabile”.
In merito alle predette notifiche di violazione e al suddetto reclamo l’Ufficio ha effettuato plurime richieste di informazioni (note del XX, prot. n. XX, del XX, prot. n. XX e del XX, prot. n. XX) a cui l’Azienda ha risposto (note del XX, prot. n. XX, del XX, prot. n. XX) rappresentando, in particolare, che:
“Attraverso il dossier sanitario aziendale, questa Azienda persegue finalità di diagnosi e cura”;
“Sono state riviste e comunicate a tutto il personale le norme di accesso al dossier sanitario”;
“Dei predetti accessi anomali l’Azienda è venuta a conoscenza a seguito di richiesta di accesso ai log al DSE degli stessi interessati”;
“È stato sviluppato un sistema di “alert” le cui funzionalità sono in fase di verifica e affinamento per la futura attivazione”;
“per quanto concerne sia la procedura di abilitazione che i livelli di accesso al dossier sanitario, in vigore al momento dei fatti oggetto delle notificazioni” è stato allegato un documento denominato “Modalità di rilascio e gestione nome utente e password dei programmi informatici aziendale S.S.II. e GALILEO” da cui si evince che può accedere al dossier sanitario sia l’area sanitaria, che amministrativa dell’Azienda (es. ufficio mobilità; punto di informazione, ufficio accettazione, operatori di cassa, controllo di gestione; ufficio assicurazioni/ convenzioni). Secondo quanto dichiarato in atti tale documento sarebbe “in fase avanzata di revisione”. Il documento inviato nel corso dell’istruttoria prevedeva ancora l’accesso al dossier da parte dell’area amministrativa dell’Azienda (es. punto di informazione, ufficio accettazione, operatori di cassa, controllo di gestione; ufficio assicurazioni/ convenzioni);
“In ogni caso occorre essere abilitati per poter accedere al dossier sanitario ed ogni accesso viene loggato. Se l’accesso avviene fuori del momento di cura dell’interessato, occorre motivare le ragioni della consultazione, scegliendo, nella procedura, una delle causali codificate tra quelle predefinite dall’Azienda (menu a tendina)”;
“il personale amministrativo di questa Azienda (dipendente o universitario in convenzione) accede al dossier sanitario per consultare le sole informazioni indispensabili per assolvere alle funzioni amministrative”” ad esempio “verifica la completezza della cartella DEA di Pronto Soccorso, stampando le eventuali consulenze erogate; verifica/sollecita i pagamenti eventualmente dovuti; supporta il Direttore della UOC nella verifica di eventuali esenzioni per patologia; gestisce gli addebiti delle prestazioni ai detenuti; stampa gli esiti degli esami per l’archiviazione in cartella clinica; consegna i referti ai pazienti; scarica dal gestionale e stampa la cartella clinica del paziente dimesso; scarica e stampa la documentazione per allestire il fascicolo pre-ricovero; reperisce e stampa la documentazione su richiesta dell’Autorità Giudiziaria; acquisisce a sistema della documentazione cartacea, referti esterni, ecc; organizza le prestazioni ambulatoriali in post-degenza”;
“E’ in atto una puntuale revisione delle utenze, al fine di limitare l’accesso al Dossier Sanitario Elettronico al solo personale che interviene nel processo di cura, ivi compreso, come previsto dalle Linee Guida dell’Autorità per la Protezione dei Dati del 2015, il Personale amministrativo, autorizzato ad accedere al DSE, per la consultazione delle informazioni indispensabili per assolvere alle funzioni amministrative cui è preposto”;
“il personale universitario in convenzione svolge le stesse funzioni ed utilizza gli stessi mezzi del personale ospedaliero ed è nominato autorizzato, analogamente a quanto accade per il personale dipendente”;
“In data 30/05 u.s. è stata attivata la funzione di alert sull’utilizzo della funzione “abilita accesso paziente”. Ogni volta che dal front-end di Galileo un operatore preme il pulsante denominato “Abilita Accesso Paziente” (funzione che permette di ampliare la visualizzazione della documentazione sanitaria al DSE di un paziente non in carico) viene scritto un record nel DB di Galileo, all’interno della tabella RELEASE_TRACE, con una serie di informazioni tra le quali: data e ora di quando è avvenuta l’operazione, id utente che ha eseguito l’operazione, id paziente sul quale è stata eseguita l’operazione etc.. Una volta al giorno (attualmente alle ore 15.29) si avvia un job specifico che esegue un count degli utenti che hanno utilizzato la funzione “Abilita Accesso Paziente” per un numero superiore a 10 volte nelle 24 ore precedenti. (…). Le verifiche, casuali, sono già state effettuate e verranno implementate con una frequenza di 2/3 volte a settimana al fine di meglio definire le tipologie di accessi e di valutarne la reale necessità. Qualora, all’esito dei controlli, la Direzione Medica dovesse ravvisare accessi impropri al DSE, la stessa provvederà a segnalare l’evento quale possibile Data Breach, all’Ufficio Procedimenti Disciplinari o ad altra Autorità competente, per gli adempimenti conseguenti”;
“Il numero di dossier sanitari attualmente presenti in Azienda è pari a 154.728”.
In relazione alle istruttorie sopra descritte, l’Ufficio, con riferimento ai profili di autorizzazione per l’accesso al dossier aziendale, ai sistemi di alert e alle garanzie adottate dall’Azienda per assicurare l’integrità e la riservatezza dei dati, con nota del XX (prot. n. XX) ha disposto la riunione dei procedimenti istruttori e ha notificato all’Azienda, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).
A seguito della predetta notifica, l’Azienda ha inviato le proprie memorie difensive con nota del XX (prot. n. XX), chiedendo di essere udita e rappresentando, in particolare, che:
in due dei casi oggetto di istruttoria (notifiche del XX e del XX) “gli operatori coinvolti hanno di fatto consentito a sconosciuti l’accesso al DSE mediante l’utilizzo delle loro credenziali di autenticazione, lasciando la propria postazione aperta o senza preoccuparsi di custodire la propria password, in violazione delle succitati Regolamenti e istruzioni operative impartite dal titolare, consentendo di fatto ad ignoti di acquisire dati di salute dei pazienti contenuti nel DSE, durante il breve lasso di tempo che intercorre fino alla chiusura automatica della sessione”;
“nelle altre ipotesi (notifiche di violazione del XX e del XX) si è trattato: di professionisti sanitari (medici) che hanno acceduto al DSE di persone di cui erano già stati i curanti e quindi semplicemente in aiuto alla propria memoria, avendo già trattato gli stessi dati, oppure di altri medici che cercavano di verificare l’outcome di precedenti casi clinici, accertamento utile per la gestione della medesima patologia rara in pazienti di cui si stavano occupando (talora impropriamente qualificato come “studio retrospettivo”)”;
le vicende oggetto di istruttoria hanno riguardato “un numero ristretto di persone” e che il “numero dei documenti visionati è decisamente limitato”;
l’Azienda si è attivata tempestivamente anche avviando “procedimenti disciplinari nei confronti degli operatori per aver contravvenuto a precise istruzioni aziendali impartite dal Titolare e alle regole stabilite per governare gli accessi all’archivio informatizzato dei dati di salute dei pazienti” e segnalando le condotte degli autori agli ordini professionali e in un caso alla Procura della Repubblica;
sono state intensificate le occasioni di formazione dei soggetti autorizzati al trattamento ed “è stata accentuata la verifica, da sempre svolta, della corretta attribuzione dei profili di autorizzazione per l’accesso al DSE, in considerazione delle mansioni svolte dal personale, tenuto conto del numero elevato del personale e del turn over dello stesso”, per giungere ad “eliminare completamente i profili amministrativi abilitati”;
“È ancora in fase di revisione la Procedura di abilitazione la cui riformulazione sulla base delle prescrizioni fornite dall’Autorità comporta un’analisi approfondita della complessa organizzazione aziendale e la valutazione, tenuto conto del contesto nel quale l’Azienda si trova ad operare, dell’adozione di misure e sistemi tecnologici alternativi per lo svolgimento di attività amministrative contabili per soddisfare debiti informativi obbligatori per legge. In particolare, si pone in evidenza che la revisione della Procedura in parola è correlata anche al nuovo Sistema Operativo (SIO) che sarà adottato da tutte le Aziende del Servizio Sanitario Regionale”.
Nel corso dell’audizione, svoltasi da remoto il XX, l’Azienda ha ulteriormente illustrato le azioni poste in essere in relazione ai casi oggetto di istruttoria (es. disclaimer -attivato a XX - che avvisa l’operatore sui limiti e le responsabilità connesse all’accesso; alert per accessi anomali introdotti il XX; implementazione attività di formazione) e ha descritto la configurazione dell’applicativo del dossier sanitario aziendale vigente a partire dal mese di XX.
Durante l’audizione, l’Azienda ha ribadito quanto affermato nelle memorie difensive in ordine all’intenzione di eliminare tutti i profili amministrativi abilitati ad accedere al dossier sanitario e comunicato che avrebbe inviato documentazione al riguardo, nonché in ordine alla configurazione del dossier al momento dei fatti oggetto di istruttoria, alle logiche previste attualmente e all’epoca dei fatti in esame per determinare i soggetti abilitati all’accesso, le diverse profondità di accesso al dossier, le motivazioni per l’accesso al dossier da parte del personale non coinvolto nel percorso di cura, con particolare riferimento alla voce “consultazione cartelle cliniche”, i tempi previsti per il blocco della postazione in caso di inattività e le motivazioni connesse a tali scelte.
Sulla base di quanto dichiarato nel corso dell’audizione, l’Azienda ha integrato la documentazione in atti con la nota del XX nella quale è stato rappresentato, in particolare, che:
“sia all’epoca dei fatti esaminati sia oggi le abilitazioni avvengono per scelta del Direttore/Responsabile dell’Unità Operativa o di un suo delegato”;
circa le diverse profondità di accesso al dossier, “coerentemente con le necessità operative di ciascun profilo (ad esempio il profilo medico) non ha limitazioni nelle funzioni utilizzabili mentre il profilo infermiere non può modificare anamnesi esame obiettivo, lettera di dimissione, prescrizione terapia). Per differenziare la profondità di accesso al dossier sanitario elettronico il gestionale “Galileo” consente, attualmente, a seguito degli interventi evolutivi effettuati, le seguenti configurazioni, attribuibili alle diverse figure professionali che concorrono al percorso di cura del paziente: accesso esclusivo all’episodio di cura corrente (ricovero) senza la possibilità di accedere alla storia clinica del paziente; accesso al DSE del paziente esclusivamente nel caso di eventi in corso (ricovero e ambulatoriale) senza la possibilità di accedere al DSE nel caso di eventi non in corso; accesso al DSE del paziente sia nel caso di eventi in corso (ricovero e ambulatoriale) sia nel caso di eventi che, pur comportando il contatto con il paziente (es.: consulenza telefonica, segnalazione da parte dell’interessato di eventi avversi, ecc.) non sono codificabili in modo automatico dal punto di vista informatico come episodi in corso, con la precisazione che tale accesso può avvenire solo previa specifica giustificazione del medesimo attraverso motivazioni codificate e dettagliate ulteriormente mediante un testo libero”;
“sulle motivazioni previste attualmente e all’epoca dei fatti in esame per l’accesso al dossier da parte del personale non coinvolto nel percorso di cura, con particolare riferimento alla voce “consultazione cartelle cliniche”: all'epoca dei fatti la motivazione "consultazione cartelle cliniche" è stata inserita come declinazione particolare della motivazione "Verifica per follow up" per specificare la tipologia di documentazione alla quale si faceva accesso; attualmente tale categoria è stata eliminata in quanto ricondotta alla voce predetta”;
“sia all'epoca dei fatti sia attualmente il tempo di inattività previsto dopo il quale avviene il blocco della postazione di lavoro è pari a 30 minuti. Tale tempistica è stata determinata in accordo con i direttori di Unità Operativa quale miglior contemperamento delle esigenze di tutela della sicurezza dell'accesso alla postazione di lavoro, da un lato, e garanzia di efficacia delle attività assistenziali dall’altro. Il tema è oggetto di una rivalutazione in relazione alle specifiche esigenze connesse ai differenti ambiti operativi, nell’intento di ridurre al minimo il tempo di latenza, anche differenziandolo senza tuttavia compromettere il requisito di efficacia del percorso di assistenza”;
“si ritiene infine doveroso considerare che, nell’ottica di una minimizzazione del rischio, è in atto una riorganizzazione delle attività di supporto amministrativo pre e post prestazione sanitaria che, sinora, ha portato a diminuire notevolmente il numero delle abilitazioni di accesso del personale di ruolo amministrativo al DSE. Tale attività, già in corso, sta procedendo con celerità e troverà completamento entro il XX, termine ultimo per la disattivazione di tutte le postazioni a disposizione di tale personale, anche se impiegate per attività complementari alla cura del paziente”;
in merito alle attività di controllo/azioni di miglioramento, “l’accesso al DSE di un paziente attualmente non in carico all’unità operativa genera un disclaimer che notifica all’operatore sanitario che tale accesso sarà tracciato e monitorato e se del caso sanzionato. Il disclaimer elenca le fattispecie per cui tale accesso è legittimo e può essere effettuato, chiedendo all’operatore di giustificare le motivazioni della sua azione; È attivo un sistema di alert e controllo, tramite e-mail inoltrata alla Direzione Medica nel caso di accessi multipli al DSE da parte di un singolo professionista nella stessa giornata. Sulla base di tali segnalazioni, la Direzione Medica procede al controllo, contattando gli operatori e verificando con essi le motivazioni degli accessi; Le postazioni di lavoro sono dotate di uno screen saver protetto con password che entra in funzione e blocca l’accesso al pc dopo un breve periodo di inattività”.
2. Esito dell’attività istruttoria.
In via preliminare, si rappresenta che il trattamento di dati personali deve avvenire nel rispetto della normativa applicabile in materia di protezione dei dati personali e, in particolare, delle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, il “Regolamento”) e del d.lgs. n. 196 del 30 giugno 2003 (Codice in materia di protezione dei dati personali – di seguito, il “Codice”).
Con particolare riferimento alla questione in esame, si evidenzia che i dati personali devono essere “trattati in modo lecito corretto e trasparente” (principio di “liceità, correttezza e trasparenza” e “in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti (principio di “integrità e riservatezza”)” (art. 5, par. 1, lett. a) e f) del Regolamento).
I dati inoltre devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (principio di minimizzazione dei dati) (art. 5, par. 1, lett. c) del Regolamento).
Il Regolamento prevede poi che il titolare del trattamento metta in atto “misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio”, tenendo conto, tra l’altro, “della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” (art. 32 del Regolamento).
Con riferimento ai trattamenti oggetto del presente provvedimento, il Garante ha adottato le “Linee guida in materia di Dossier sanitario - 4 giugno 2015” (Provvedimento del 4.6.2015, pubblicato in G.U. 164 del 17 luglio 2015, consultabile su www.gpdp.it doc web n. 4084632), che, al pari degli altri provvedimenti dell’Autorità, continuano ad applicarsi anche dopo la piena applicazione del Regolamento, in quanto compatibili con lo stesso (art. 22, comma 4, d.lgs n. 101/2018). Nelle Linee guida in materia di dossier sanitario state individuate un primo quadro di cautele, al fine di delineare specifiche garanzie e responsabilità, nonché misure e accorgimenti necessari ed opportuni da porre a garanzia dei cittadini, in relazione ai trattamenti di dati sanitari che li riguardano.
Nelle predette Linee guida il Garante, al fine di scongiurare il rischio di un accesso alle informazioni trattate mediante il dossier sanitario da parte di soggetti non autorizzati o di comunicazione a terzi di dati sanitari da parte di soggetti a ciò abilitati, ha specificamente chiesto al titolare del trattamento di porre particolare attenzione nell’individuazione dei profili di autorizzazione e nella formazione dei soggetti abilitati, dovendo essere limitato l’accesso al dossier al solo personale sanitario che interviene nel processo di cura del paziente ed essere adottate modalità tecniche di autenticazione al dossier che rispecchino le casistiche di accesso a tale strumento proprie di ciascuna struttura sanitaria. A tal fine, nelle predette Linee guida, il Garante ha indicato ai titolari del trattamento di effettuare un monitoraggio delle ipotesi in cui il relativo personale sanitario può avere necessità di consultare il dossier sanitario, per finalità di cura dell’interessato e, in base a tale ricognizione, individuare i diversi profili di autorizzazione all’accesso.
L’accesso al dossier deve essere, pertanto, limitato al solo personale sanitario che interviene nel tempo nel processo di cura del paziente e solo al tempo in cui si articola lo stesso, ferma restando la possibilità di accedere nuovamente al dossier qualora ciò si renda necessario in merito al tipo di trattamento medico da prestare all’interessato.
Come già rappresentato dall’Autorità nelle citate Linee guida e in altri provvedimenti, tenuto conto del diritto di oscuramento esercitabile dall’interessato ai dati accessibili mediante il dossier sanitario e quindi la possibile incompletezza di tale strumento informativo, il titolare deve individuare, in relazione alle diverse funzioni a cui è adibito il personale, soluzioni tecniche organizzative che consentano agli organi amministrativi, anche in caso di riscontro all’Autorità giudiziaria, di accedere, nei limiti delle attribuzioni previste per legge, a una base informativa più completa rispetto a quella presente nel dossier sanitario aziendale.
Analogamente, le attività di follow up o di consultazione delle cartelle cliniche non possono essere effettuate attraverso il dossier sanitario, atteso che tali trattamenti necessitano, nel rispetto della disciplina di settore, di una base informativa completa e non sono peraltro stati indicati nell’informativa resa all’interessato che non è stato messo nelle condizioni di esprimere il proprio consenso laddove previsto.
Anche in merito all’accessibilità al dossier da parte dei profili amministrativi per rispondere, ad esempio, ad istanze dell’Autorità giudiziaria o per il recupero dei crediti relativi a spese sanitarie non pagate, si evidenzia che la potenziale non completezza del dossier e la facoltatività dello stesso rendono tale base informativa inidonea al perseguimento delle suddette finalità in quanto potrebbero essere stati oscurati dati o documenti rilevanti o addirittura non essere presente nessun dossier sanitario dell’interessato in quanto lo stesso non ha prestato il proprio consenso alla sua costituzione. Si giungerebbe, così, al paradosso, ad esempio, di fornire informazioni parziali all’Autorità giudiziaria perché sono state oscurate dall’interessato o addirittura di non poterle fornire in assenza del consenso dell’interessato alla costituzione del dossier. Tale osservazione è alla base dell’impostazione seguita nelle citate Linee guida, secondo cui al dossier sanitario possono accedere solo i clinici coinvolti nel percorso di cura dell’interessato che devono essere in ogni caso edotti circa la potenziale incompletezza di tale strumento informativo.
Nelle predette Linee guida il Garante ha infatti evidenziato che l’accesso al dossier deve essere escluso a periti, compagnie di assicurazione, datori di lavoro, associazioni o organizzazioni scientifiche, organismi amministrativi anche operanti in ambito sanitario, nonché del personale medico nell’esercizio di attività medico-legale (ad es., visite per l’accertamento dell’idoneità lavorativa o per il rilascio di certificazioni necessarie al conferimento di permessi o abilitazioni) (cfr. punto 6 delle citate Linee guida).
Si rappresenta infine che nelle predette Linee guida l’Autorità ha ritenuto che “il titolare del trattamento deve mettere in opera sistemi per il controllo degli accessi anche al database e per il rilevamento di eventuali anomalie che possano configurare trattamenti illeciti, attraverso l’utilizzo di indicatori di anomalie (c.d. alert) utili per orientare successivi interventi di audit. Il titolare deve prefigurare, quindi, l’attivazione di specifici alert che individuino comportamenti anomali o a rischio relativi alle operazioni eseguite dagli incaricati del trattamento (es. relativi al numero degli accessi eseguiti, alla tipologia o all’ambito temporale degli stessi)” (cfr. punto 7 delle citate Linee guida).
Ciò premesso, preso atto di quanto rappresentato dall’Azienda nelle memorie difensive relative ai procedimenti indicati nei precedenti punti e nella documentazione successivamente trasmessa, si osserva che:
1. Profili di autorizzazione per l’accesso al dossier.
La configurazione del dossier sanitario presente nel momento in cui si sono verificati i fatti oggetto del reclamo e delle notifiche di violazione consentiva l’accesso a tale strumento informativo anche agli organi amministrativi aziendali per finalità distinte da quelle di cura della salute dell’interessato. Sebbene l’Azienda abbia dichiarato di perseguire attraverso il dossier sanitario esclusivamente finalità di cura dell’interessato, dalla documentazione in atti e dalle risultanze delle predette notifiche di violazione, emerge che la stessa ha perseguito attraverso il dossier sanitario anche finalità amministrative, contabili e legate all’adempimento di specifici obblighi normativi (es.: verifica della completezza della cartella di Pronto Soccorso; verifica/sollecito dei pagamenti eventualmente dovuti o di eventuali esenzioni per patologia; consegna di referti ai pazienti; stampa della cartella clinica del paziente dimesso; scarica e stampa della documentazione per allestire il fascicolo pre-ricovero; recupero e stampa della documentazione su richiesta dell’Autorità Giudiziaria; acquisizione a sistema della documentazione cartacea, referti esterni, ecc; organizzazione delle prestazioni ambulatoriali in post-degenza).
L’Azienda ha inoltre da ultimo dichiarato che l’accesso al dossier di personale sanitario non coinvolto nel percorso di cura dell’interessato può attualmente avvenire anche in caso di "Verifica per follow up”, ovvero per “verificare l’outcome di precedenti casi clinici, accertamento utile per la gestione della medesima patologia rara in pazienti di cui si stavano occupando”. Con riferimento a tali finalità, come sopra evidenziato, la completezza ed esattezza dei dati personali trattati è indispensabile per assicurare una corretta gestione del processo amministrativo e clinico, nonché il rispetto dei principi di qualità e d esattezza dei dati di cui all’art. 5 del Regolamento. L’utilizzo di un dossier sanitario incompleto, a causa dell’esercizio del diritto di oscuramento da parte dell’interessato (peraltro esercitato nei casi in esame), ovvero l’assenza del dossier stesso nel caso in cui l’interessato non presti il consenso alla sua costituzione, determina un trattamento non corretto dei dati con possibili conseguenze anche di ordine amministrativo. Si evidenzia inoltre che nel caso di accesso al dossier per "Verifica per follow up”, come indicato in atti, la finalità non è sempre quella di curare meglio l’interessato, ma di consultare il suo dossier (potenzialmente incompleto) come outcome di precedenti casi clinici utile per la gestione di casi simili relativi ad altri pazienti.
Con riferimento a quanto dichiarato in atti in merito alla possibilità di gestire attraverso il dossier anche gli “addebiti delle prestazioni ai detenuti”, oltre agli aspetti sopra evidenziati, si rileva che il dossier sanitario non può essere utilizzato per finalità di cura dei soggetti detenuti in strutture carcerarie afferenti all’Azienda, ma solo dei pazienti che si rivolgono agli ambulatori e reparti della stessa (cfr. provvedimento del 26 maggio 2022, doc. web n. 9791909).
In merito alla possibilità di accedere al dossier per consultare le cartelle cliniche si ricorda che sussiste una sostanziale differenza tra il dossier e la cartella clinica; mentre quest’ultima documenta fino a querela di falso quanto accaduto nell’ambito di un ricovero, il dossier non assume la natura di atto pubblico in quanto non certifica lo stato di salute di un individuo, bensì fornisce, in maniera potenzialmente incompleta, le informazioni sanitarie detenute dal titolare che possono agevolare il percorso di cura. A normativa vigente, infatti, mentre non è richiesto il consenso alla compilazione della cartella clinica, all’interessato è riconosciuto il diritto di non acconsentire all’utilizzo del dossier per finalità di cura. Analogamente, non è possibile richiedere l’oscuramento dei dati inseriti nella cartella clinica, mentre è previsto che l’interessato possa comunque decidere di non rendere consultabili taluni dati e documenti attraverso il dossier (diritto di oscuramento). Ciò rende evidente la già ribadita potenziale non completezza del dossier e la sua facoltatività per l’utilizzo dello stesso a fini di cura.
Tutto ciò premesso si rileva che la suddetta configurazione del dossier ha consentito di fatto e all’insaputa degli interessati:
i. otto accessi al dossier sanitario di un interessato, da parte di personale sanitario che non lo aveva in cura per verificare l’outcome di precedenti casi clinici (notifiche di violazione del XX e XX);
ii. otto accessi al dossier sanitario di un’interessata, sia assistita che dipendente dell’Azienda, da parte di sconosciuti, mediante l’utilizzo delle credenziali di autenticazione di personale amministrativo che aveva lasciato la propria postazione aperta o senza preoccuparsi di custodire la propria password (notifica di violazione del XX);
iii. quattro accessi al dossier sanitario della reclamante da parte di sconosciuti, mediante l’utilizzo delle credenziali di autenticazione di personale sanitario e amministrativo che aveva lasciato la propria postazione aperta o senza preoccuparsi di custodire la propria password, adducendo motivazioni legate anche alla verifica dell’outcome di precedenti casi clinici (notifica di violazione del XX e reclamo).
Oltre che in violazione del principio di liceità, tali trattamenti sono avvenuti anche in violazione dei principi di trasparenza, correttezza e di minimizzazione dei dati in quanto, il dossier aziendale è stato impostato in modo da poter essere utilizzato per finalità non note agli interessati e, nello specifico, da parte di personale non sanitario per finalità amministrative e di personale sanitario che non ha in cura l’interessato per finalità di cura di terzi (art. 5, par. 1, lett. a) e c) del Regolamento).
Pertanto, la configurazione del dossier risultante all’epoca dei fatti oggetto di istruttoria ha reso possibile che personale operante presso l’Azienda potesse accedere, anche per finalità diverse da quelle di cura, al dossier sanitario di pazienti che non erano -all’atto dell’accesso- in cura presso gli stessi in violazione dei principi di base del trattamento di cui agli artt. 5, par. 1, lett. a), c) e f) e 9 del Regolamento, nonché dei principi di protezione dei dati fin dalla progettazione (privacy by design) e per impostazione predefinita (privacy by default) di cui all’art. 25 del Regolamento.
Le modifiche che l’Azienda ha dichiarato di aver apportato al dossier sanitario superano solo in parte le criticità sopra rilevate, in quanto, se da un lato è stato affermato che “entro il XX” sarebbero state disattivate “tutte le postazioni a disposizione” del personale amministrativo “anche se impiegate per attività complementari alla cura del paziente”, dall’altro è ancora prevista la possibilità per il personale aziendale di accedere al dossier sanitario di pazienti non in cura con la causale “verifica follow up” e “consultazione cartelle cliniche”.
Si rileva inoltre che non è stata infine fornita assicurazione in merito al superamento della previsione secondo cui il dossier sanitario poteva essere acceduto anche per gestire “gli addebiti delle prestazioni ai detenuti”.
2. Alert per accessi anomali al dossier sanitario e garanzie per l’integrità e la riservatezza dei dati
L’Azienda, al tempo in cui si sono verificati i fatti oggetto di istruttoria, non aveva adottato, come richiesto dalle citate Linee guida, un sistema per il rilevamento di eventuali anomalie che possano configurare trattamenti illeciti, ovvero l’utilizzo di indicatori di anomalie (c.d. alert) volti ad individuare comportamenti anomali o a rischio relativi alle operazioni eseguite dai soggetti autorizzati al trattamento (es. numero degli accessi eseguiti, tipologia o ambito temporale degli stessi), utili per orientare successivi interventi di audit in violazione dei principi di integrità e riservatezza dei dati personali (artt. 5, par. 1, lett. f), e 32 del Regolamento).
A partire dal XX, solo a seguito dell’avvio dell’istruttoria da parte del Garante, l’Azienda ha attivato degli alert automatici in ordine al numero degli accessi effettuati dal personale autorizzato.
Si rileva inoltre che l’assenza di misure tecniche volte a bloccare automaticamente e tempestivamente i dispositivi in caso di inattività dell’utente ha consentito a soggetti non identificati di accedere al dossier della predetta reclamante e di un’altra interessata (notifiche di violazione del XX e del XX).
A ciò si aggiunge che l’Azienda ha dichiarato che “sia all'epoca dei fatti sia attualmente il tempo di inattività previsto dopo il quale avviene il blocco della postazione di lavoro è pari a 30 minuti”, che “tale tempistica è stata determinata in accordo con i direttori di Unità Operativa quale miglior contemperamento delle esigenze di tutela della sicurezza dell'accesso alla postazione di lavoro, da un lato, e garanzia di efficacia delle attività assistenziali dall’altro” e che tale scelta era oggetto “di una rivalutazione in relazione alle specifiche esigenze connesse ai differenti ambiti operativi, nell’intento di ridurre al minimo il tempo di latenza, anche differenziandolo senza tuttavia compromettere il requisito di efficacia del percorso di assistenza”. Sebbene l’Azienda abbia considerato la necessità di rivedere il tempo di inattività previsto superato il quale è previsto il blocco della postazione di lavoro, nelle comunicazioni da ultimo inviate si è limitata ad affermare che “le postazioni di lavoro sono dotate di uno screen saver protetto con password che entra in funzione e blocca l’accesso al pc dopo un breve periodo di inattività”.
In relazione a tali aspetti si ritiene pertanto che l’Azienda, con riferimento al dossier sanitario, abbia adottato misure tecniche e organizzative che si sono rivelate non conformi alle disposizioni di cui all’art. 5, par. 1, lett. f), e all’art. 32, par. 1, del Regolamento. L’adozione preventiva di tali misure, anche alla luce dei principi di protezione dei dati fin dalla progettazione (privacy by design) e per impostazione predefinita (privacy by default) contemplati all’art. 25 del Regolamento, avrebbe potuto impedire o quantomeno limitare i predetti accessi non autorizzati ai dossier sanitari aziendali.
3. Conclusioni.
Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive relative ai richiamati procedimenti non consentono di superare completamente i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Per tali ragioni si rileva l’illiceità del trattamento di dati personali effettuato dall’Azienda con riferimento ai predetti procedimenti avviati a seguito delle notifiche di violazione e del reclamo, nei termini di cui in motivazione, in particolare, per aver trattato dati personali in violazione degli artt. 5, par. 1, lett. a), c) e f), 9, 25 e 32 del Regolamento
In tale quadro, considerato quanto sopra, si ritiene di dover ingiungere alla predetta Azienda, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, come misura correttiva da adottarsi entro 90 giorni dall’adozione del presente provvedimento, la rimozione, tra le causali che consentono ai soggetti autorizzati all’accesso ai dossier sanitari di pazienti che non sono loro in cura, la “verifica follow up” e la “consultazione cartelle cliniche”.
Si ritiene inoltre necessario, ai sensi dell’art. 157 del Codice, chiedere all’Azienda di fornire, entro 30 giorni dall’adozione del presente provvedimento, informazioni in merito:
all’avvenuta rimozione, tra le causali che consentono ai soggetti autorizzati all’accesso al dossier sanitario di pazienti che non sono loro in cura, quella relativa a “gli addebiti delle prestazioni ai detenuti”;
alla quantificazione del “periodo di inattività” che è stato previsto nei “differenti ambiti operativi” superato il quale entra in funzione “uno screen saver protetto con password” che “blocca l’accesso al pc”, avendo cura di fornire specifiche e documentate valutazioni in ordine “alle specifiche esigenze connesse” all’individuazione di tali periodi.
4. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).
La violazione degli artt. 5, par. 2, lett. a), c) e f), 9, 25 e 32 del Regolamento, causata dalla condotta dell’Azienda, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par.4 e 5, del Regolamento.
In considerazione del fatto che i predetti procedimenti riguardano il medesimo titolare, trattamenti di dati personali analoghi, verificatesi nello stesso arco temporale e che l’Azienda nelle memorie difensive relative ai predetti procedimenti ha fornito i medesimi elementi difensivi, si ritiene opportuno adottare le rispettive sanzioni amministrative in un unico provvedimento (artt. 10, comma 4, e 19 del Regolamento del Garante n. 1/2019). Al riguardo, si rileva che nei casi di cui alle notifiche di violazione del XX e del XX, secondo quanto dichiarato in atti, si tratta della medesima fattispecie con la differenza che la seconda notifica è riferita ad accessi avvenuti in un momento immediatamente successivo alla prima segnalazione formulata dall’interessato.
Si consideri che il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).
La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 85, par. 2, del Regolamento in relazione ai quali per entrambi i procedimenti si osserva che:
- l’Autorità ha preso conoscenza dell’evento a seguito di quattro notifiche di violazione e di un reclamo (art. 83, par. 2, lett. h) del Regolamento);
- in particolare, si sono verificati: otto accessi al dossier sanitario di un interessato, da parte di personale sanitario che non lo aveva in cura per verificare l’outcome di precedenti casi clinici (notifiche di violazione del XX e XX); otto accessi al dossier sanitario di un’interessata, sia assistita che dipendente dell’Azienda, da parte di sconosciuti, mediante l’utilizzo delle credenziali di autenticazione di personale amministrativo che aveva lasciato la propria postazione aperta o senza preoccuparsi di custodire la propria password (notifica di violazione del XX); quattro accessi al dossier sanitario della reclamante da parte di sconosciuti, mediante l’utilizzo delle credenziali di autenticazione di personale sanitario e amministrativo che aveva lasciato la propria postazione aperta o senza preoccuparsi di custodire la propria password, adducendo motivazioni legate anche alla verifica dell’outcome di precedenti casi clinici (notifica di violazione del XX e reclamo) (art. 83, par. 2, lett. a), b) e g) del Regolamento);
- con riferimento a tutti gli eventi oggetto di notificazione e di reclamo, gli accessi illeciti hanno riguardato il dossier sanitario di tre pazienti da parte di sconosciuti, professionisti amministrativi e sanitari che non erano coinvolti nel processo di cura degli stessi e nei confronti dei quali è stato avviato un procedimento disciplinare, effettuata la segnalazione agli ordini competenti e, in un caso, una denuncia alla Procura della Repubblica (art. 83, par. 2, lett. a), b) e g) del Regolamento);
- i predetti accessi sono stati possibili in quanto le misure in essere con riferimento ai trattamenti dati idonei a rilevare informazioni sulla salute effettuati attraverso il dossier sanitario aziendale non erano pienamente proporzionate al fine di garantire un’adeguata sicurezza e integrità dei dati personali e di scongiurare accessi non consentiti, sebbene l’Autorità fosse già intervenuta in merito con le Linee guida del 2015 (art. 83, par. 2, lett. d) e e) del Regolamento);
- l’Azienda ha modificato le modalità e le fattispecie di accesso al dossier sanitario aziendale a seguito dell’avvio dell’istruttoria da parte dell’Autorità, nonché introdotto sistemi di alert, cooperando con l’Autorità a tal fine (art. 83, par. 2, lett. c) e f) del Regolamento);
- gli elementi di criticità relativi ai trattamenti di dati personali effettuati attraverso il dossier sanitario aziendale, rilevati dall’Ufficio e descritti in motivazione, sono stati solo parzialmente superati nel corso dell’istruttoria e riguardano tutti i dossier sanitari dell’Azienda che sono stati dalla stessa stimati in oltre 154.000 (art. 83, par. 2, lett. a) e g) del Regolamento).
In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, per la violazione degli artt. 5, par. 1, lett. a), c) e f), 9, 25 e 32 del Regolamento nella misura:
- di 25.000 (venticinquemila) per il procedimento avviato a seguito delle notifiche di violazione del XX e del XX, che, secondo quanto dichiarato in atti, riguardano la medesima fattispecie differenziata solo dal periodo temporale degli accessi; e
- di 25.000 (venticinquemila) per il procedimento avviato a seguito della notifica di violazione del XX; e
- di 25.000 (venticinquemila) per il procedimento avviato a seguito del reclamo presentato dal Sig.ra XX e della notifica di violazione XX;
quali sanzioni amministrative pecuniarie ritenute, ai sensi dell’art. 83, par. 1, del Regolamento, effettive, proporzionate e dissuasive.
Si ritiene, altresì, che debba applicarsi con riferimento a tutti i procedimenti esaminati la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
TUTTO CIÒ PREMESSO IL GARANTE
dichiara l’illiceità del trattamento di dati personali effettuato, in entrambi i procedimenti descritti, dall’Azienda ospedale università di Padova, per la violazione degli art. 5, par. 1, lett. a), c) e f), 9, 25 e 32 del Regolamento nei termini di cui in motivazione.
ORDINA
ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, all’Azienda ospedale università di Padova, Codice fiscale/partita iva n. 00349040287, di pagare:
la somma di euro 25.000 (venticinquemila) a titolo di sanzione amministrativa pecuniaria per le violazioni rilevate con le notifiche di violazione del XX e del XX, che, secondo quanto dichiarato in atti, riguardano la medesima fattispecie differenziata solo dal periodo temporale degli accessi;
la somma di euro 25.000 (venticinquemila) a titolo di sanzione amministrativa pecuniaria per le violazioni rilevate nell’ambito del procedimento avviato a seguito della notifica di violazione del XX;
la somma di euro 25.000 (venticinquemila) a titolo di sanzione amministrativa pecuniaria per le violazioni rilevate con la notifica di violazione del XX e con il reclamo presentato dalla Sig.ra XX, indicate nel presente provvedimento;
secondo le modalità indicate in allegato, entro 30 giorni dalla notifica in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà delle sanzioni comminate.
INGIUNGE
alla predetta Azienda:
1. in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare le somme di euro 25.000 (venticinquemila), 25.000 (venticinquemila) e di 25.000 (venticinquemila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981;
2. ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, entro il termine di giorni 90 dalla notifica del presente provvedimento, di rimuovere tra le causali che consentono ai soggetti autorizzati all’accesso al dossier sanitario di pazienti che non sono loro in cura la “verifica follow up” e la “consultazione cartelle cliniche”;
3. in merito al precedente punto 2, di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto sopra ingiunto con il presente provvedimento e di fornire comunque riscontro adeguatamente documentato, ai sensi dell’art. 157 del Codice, entro il termine di giorni 20 dalla scadenza del termine sopra indicato; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento;
4. di fornire informazioni, ai sensi dell’art. 157 del Codice, entro il termine di giorni 30 dalla dall’adozione del presente provvedimento, in merito:
a. all’avvenuta rimozione tra le causali che consentono ai soggetti autorizzati all’accesso al dossier sanitario di pazienti non in cura “gli addebiti delle prestazioni ai detenuti”;
b. alla quantificazione del “periodo di inattività” che è stato prevosto nei “differenti ambiti operativi” superato il quale entra in funzione “uno screen saver protetto con password” che “blocca l’accesso al pc”, avendo cura di fornire specifiche e documentate valutazioni in ordine “alle specifiche esigenze connesse” all’individuazione di tali periodi.
DISPONE
ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante;
ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 9 maggio 2024
IL PRESIDENTE
Stanzione
IL RELATORE
Cerrina Feroni
IL SEGRETARIO GENERALE
Mattei
Scheda
10027595
09/05/24