L’Autorità Garante per la protezione dei dati personali (“Garante Privacy”), con il Provvedimento n. 18 del 23 gennaio 2020, ha irrogato una sanzione pari a 30 mila Euro nei confronti dell’Azienda Ospedaliera Universitaria Integrata di Verona (l’”Azienda”) a seguito di tre episodi di violazione di dati personali avvenuti all’interno dell’Azienda e comunicati dalla stessa al Garante Privacy.

L’Azienda, nell’ambito di controlli periodici interni, aveva infatti riscontrato il verificarsi di condotte illegittime da parte di alcuni dipendenti i quali, in mancanza di necessaria autorizzazione, avevano avuto accesso ai dossier sanitari di colleghi/e che, al tempo stesso, erano anche pazienti in cura presso l’Azienda.

 

NOTIFICHE AL GARANTE PRIVACY

L’Azienda aveva prontamente notificato al Garante Privacy, ex art. 33 del Regolamento UE 679/2016 (“GDPR”), le condotte di cui sopra attraverso tre comunicazioni:

  • la prima, in data 6 maggio 2019, nella quale aveva denunciato “un accesso improprio a sei dossier di pazienti che sono al tempo stesso dipendenti aziendali nel ruolo di ostetriche”, risultando lo stesso ingiustificato dal momento che “non vi era motivo che un medico della (…) Unità Operativa di Ostetrica e Ginecologia (…) facesse accesso ai dati clinici di pazienti non in carico, alcune delle quali per di più a casa in congedo per maternità al tempo dell’episodio”, trattandosi dunque di “accesso improprio”. Tale accesso sarebbe stato effettuato “con le credenziali di un medico dell’UOC di Ostetricia e Ginecologia” che, durante il turno notturno, avrebbe lasciato incustodita e accessibile la postazione PC in uso;
  • la seconda, in data 9 maggio 2019, con la quale l’Azienda aveva comunicato di aver “riscontrato un accesso improprio al dossier di sette pazienti che sono al tempo stesso dipendenti aziendali”, effettuato da un tecnico sanitario di radiologia medica con finalità di mera curiosità. Anche in questo caso, l’accesso sarebbe avvenuto da una postazione incustodita e accessibile;
  • la terza, in data 22 maggio 2019, attraverso la quale l’Azienda aveva notificato al Garante Privacy la condotta illegittima di uno specializzando che, nuovamente per motivi di mera curiosità, aveva avuto accesso, in modo improprio, ai dossier sanitari di alcuni pazienti che erano, al tempo stesso, anche dipendenti aziendali. Come risulta dagli atti, infatti, l’accesso aveva riguardato i dossier sanitari di colleghi neurologi non in cura presso il reparto di afferenza dello specializzando che, come affermato dal Direttore dell’UOC di Neurologia, non avrebbe dovuto visionare tali documenti.

Nelle notifiche di cui sopra, l’Azienda aveva altresì dichiarato di:

  1. aver portato a conoscenza di tutto il personale alcune specifiche indicazioni in merito (i) ai presupposti di liceità degli accessi ai dossier sanitari aziendali (anche con chiaro riferimento ai dossier sanitari di colleghi) e (ii) alle misure relative all’impostazione di un intervallo di timeout per la sessione dell’applicativo utilizzato per il dossier;
  2. voler implementare, con particolare riferimento ai tecnici di radiologia, ulteriori tool che permettano agli stessi di consultare i soli dati utili per lo svolgimento dei loro compiti (e. le immagini);
  3. aver avviato procedimenti disciplinari nei confronti dei dipendenti responsabili di accessi non autorizzati;
  4. voler attivare, sull’applicativo che gestisce il dossier sanitario, un disclaimer che, ogni volta che un operatore sanitario si accinga ad accedere alla documentazione sanitaria di un paziente che non è in carico all’unità operativa di afferenza, avvisi l’operatore della circostanza che quell’accesso verrà tracciato e monitorato.

 

ATTIVITÀ ISTRUTTORIA DEL GARANTE PRIVACY

A seguito delle notifiche di cui sopra, il Garante Privacy ha avviato l’attività istruttoria disponendo la riunione dei procedimenti, ritenendo che le tre condotte sopra rappresentate rilevassero la sussistenza di elementi idonei a configurare, da parte dell’Azienda, la violazione degli artt. 5 e 9 del GDPR.

In particolare, il Garante Privacy ha evidenziato che:

  • con riferimento ai trattamenti oggetto di notifica, lo stesso ha adottato le “Linee guida in materia di dossier sanitario, 4 giugno 2015” (le “Linee Guida”) [metti link che rimanda alle linee guida], specificando che le stesse continuano ad applicarsi anche dopo la piena applicazione del GDPR;
  • nelle Linee Guida di cui sopra, il Garante Privacy ha chiesto al titolare del trattamento di prestare particolare attenzione nell’individuazione dei profili di autorizzazione e nella formazione dei soggetti abilitati, limitando l’accesso al dossier al solo personale sanitario che interviene nel processo di cura del paziente;
  • sulla base degli elementi acquisiti, gli accessi ai dossier sono illegittimi non esistendo alcun presupposto giuridico idoneo a sostenere la legittimità di tali condotte.

L’Azienda, nelle successive memorie difensive, ha dichiarato (i) di aver notificato le condotte illegittime di cui sopra al Garante Privacy e di averne data comunicazione agli interessati; (ii) di non ritenere che gli interessati abbiano subito danni di entità misurabile poiché le condotte sono state scoperte dall’Azienda durante controlli periodici e non a seguito di segnalazione da parte di soggetti interessati; (iii) di considerare dolosa la condotta dei dipendenti dell’Azienda coinvolti nella violazione dei dati personali ma non quella dell’Azienda che, al contrario, non ritiene di poter considerare il suo modus operandi come negligente e volto all’intenzionale lesione della riservatezza dei dati degli interessati; (iv) di aver adottato le misure opportune per ridurre il danno subito dagli interessati e, al contempo, di aver messo in atto misure correttive volte a ridurre la possibilità del verificarsi dello stesso evento dannoso in futuro; (v) di aver implementato le misure tecniche e organizzative reputate necessarie per adeguarsi alle indicazioni contenute nelle Linee Guida adottate dal Garante Privacy, assumendo oltretutto ulteriori iniziative in ambito informativo quali, ad esempio, l’invio a tutti i Direttori delle Unità Operative e ai coordinatori delle professioni sanitarie di apposite istruzioni circa gli adempimenti da porre in essere per adeguarsi alle Linee Guida.

 

ESITO DELL’ ATTIVITA’ ISTRUTTORIA

Al termine della fase istruttoria, il Garante Privacy ha riscontrato in particolare la violazione dell’art. 5, par. 1, lett. f), del GDPR, risultando dagli atti e dagli scritti difensivi che: (i) gli accessi ai dossier sanitari sono avvenuti per “mera curiosità”; (ii) le misure di sicurezza adottate dall’Azienda non hanno permesso né di evitare forme di trattamento illecito di dati personali né di garantire un’adeguata sicurezza a protezione dei dati da forme di trattamento non autorizzato, non rispettando così il principio di accountability; (iii) l’Azienda, solo a seguito della comunicazione del data breach del 9 maggio 2019, ha adottato misure volte a consentire l’accesso a dossier sanitari ai soli tecnici autorizzati, limitatamente ai documenti necessari per lo svolgimento delle attività loro attribuite (misure già prescritte dal Garante Privacy nel 2015 nelle Linee Guida).

MISURE CORRETTIVE E SANZIONE AMMINISTRATIVA

Il Garante Privacy, alla luce di quanto sopra, ha imposto all’Azienda, quali misura correttiva ex art 58, par. 2 lett d) del GDPR, di completare l’implementazione delle misure volte a migliorare le procedure di accesso ai dossier sanitari da parte del personale (i.e. accesso consentito previa autorizzazione, soggetta a verifica).

Il Garante Privacy ha altresì ritenuto opportuno irrogare una sanzione ex art. 83 par. 5 lett. a) del GDPR pari a 30 mila Euro. Il quantum della sanzione è stato stabilito tenendo in debito conto l’esistenza di interventi sul tema da parte del Garante Privacy, il livello di adeguatezza delle misure tecniche e organizzative adottate dall’Azienda, il numero degli interessati coinvolti, la tipologia di dati violati e il numero di accessi non autorizzati ai dossier sanitari – considerati come strumento informativo deputato, per sua natura, a documentare la storia clinica di una persona attraverso la raccolta di documenti come referti, cartelle cliniche o verbali di pronto soccorso. Il Garante Privacy ha, invece, considerato positivamente il fatto che (i) fosse stata la stessa Azienda a comunicare gli accessi non autorizzati, (ii) gli accessi autorizzati fossero stati individuati nell’ambito di controlli periodici effettuati dall’Azienda e infine (iii) fosse stata l’Azienda stessa ad aver avviato spontaneamente un processo di revisione delle misure tecniche e organizzative relative all’accesso ai dossier sanitari.