Il Garante Privacy su dossier sanitario, ricerca medica e pubblicazione di documenti online da parte della pubblica amministrazione

Questi i temi affrontati dal Garante Privacy nella newsletter del 26 luglio 2022, n. 493.

Il Garante privacy sanziona due Asl per accessi abusivi al dossier sanitario. Le aziende sanitarie devono adottare tutte le misure tecniche e organizzative per evitare l'accesso ai dati dei pazienti da parte di personale medico e infermieristico non coinvolto nel processo di cura. Questo quanto affermato dall'Autorità che ha sanzionato due Asl della Regione Friuli-Venezia Giulia e ha ordinato l'adozione di misure correttive alla società informatica che gestisce l'applicazione per la consultazione dei referti online. Molte segnalazioni e lamentele erano pervenute al Garante per il trattamento non autorizzato dei dati personali effettuato tramite il sistema informativo di archiviazione e refertazione delle prestazioni erogate dalle strutture oggetto del controllo. Dai controlli effettuati sono emerse diverse violazioni del Regolamento europeo e l'accesso al dossier sanitario avveniva attraverso sistemi che, non essendo stati correttamente configurati, consentivano a tutti coloro che prestavano servizio nelle due Asl di acquisire informazioni su qualsiasi paziente presente o non presente nelle due strutture sanitarie. È stato inoltre riscontrato dall'Autorità la presenza di ulteriori illeciti perpetrati dalla società che gestisce l'applicativo per la gestione del dossier sanitari, come la mancata predisposizione di un sistema di alert, proprio per individuare comportamenti anomali o a rischio relativi alle operazioni eseguite dai soggetti autorizzati al trattamento. Oltre a ingenti sanzioni, L'Autorità ha concesso 60 giorni di tempo alla società informatica per correggere le violazioni ed evitare ulteriori accessi non autorizzati. Ricerca medica via libera del Garante Privacy al consenso a fasi progressive. Il Garante privacy ha fornito un parere favorevole al trattamento dei dati da parte di un' Azienda Ospedaliera Universitaria italiana per lo studio dei pazienti affetti da patologie neoplastiche, infettive, degenerative e traumatiche del distretto toracico. Il progetto prevede la creazione di una banca dati e un'attività di ricerca che saranno oggetto di ulteriori specifici protocolli e sottoposti ai Comitati etici competenti per territorio. L'Autorità ha chiesto però ai ricercatori di fondare la raccolta - e il successivo trattamento di dati sulla salute per scopi di ricerca medica - sul consenso a fasi progressive e ha preso atto delle misure tecniche integrate dall'Azienda ospedaliera per eliminare il rischio di identificazione dei pazienti, ritenendole allo stato idonee ad assicurare l'anonimato dei dati trattati. Pubblica amministrazione attenzione a quando si pubblicano dati online. Quando pubblicano atti e documenti online , le Pubbliche amministrazioni devono porre la massima attenzione a non diffondere dati che non siano pertinenti rispetto alle finalità di trasparenza perseguite. Questo quanto stabilito dall'Autorità che ha sanzionato un Comune italiano che aveva diffuso alcuni dati personali contenuti all'interno di un Curriculum Vitae pubblicato sul sito web istituzionale di un Comune, con cui da tempo aveva cessato l'attività lavorativa, lamentando che la diffusione dei dati comportasse rischi per sé e per la sua famiglia. Il Garante dopo avere accertato la violazione, non ha apprezzato la tesi difensiva del Comune che incolpava il gestore della pagina Amministrazione Trasparente del sito, ricordando che spetta al titolare del trattamento impartire adeguate indicazioni ai fini della corretta gestione del ciclo di vita dei dati a chi li tratta per suo conto. Garanti Ue lo Spazio europeo dei dati sanitari deve rispettare le norme sulla privacy. Deve essere assicurato il totale rispetto delle norme poste a protezione dei dati dei pazienti europei, mirando la proposta a facilitare la creazione di un' Unione sanitaria europea e a consentire all'Ue di sfruttare appieno il potenziale offerto dallo scambio e di fornire una migliore assistenza sanitaria, anche transfrontaliera. Il Comitato e il Garante europeo ritengono che le finalità dell'uso secondario dei dati sanitari elettronici non siano adeguatamente definite dalla proposta e chiedono quindi ai co-legislatori di delimitare ulteriormente tali finalità. Riguardo ai dati sanitari generati dalle app, si chiede che tali informazioni personali non vengano messe a disposizione per l'uso secondario, perché producono un'enorme quantità di dati, che non sono della stessa qualità di quelli generati dai dispositivi medici e che possono essere trattati insieme ad ulteriori informazioni diverse da quelle sanitarie. Viene infine sottolineato che, per quanto riguarda il modello di governance introdotto dalla proposta, l'Autorità per la protezione dei dati sono le uniche autorità competenti per le questioni relative al trattamento dei dati personali e dovrebbero rimanere l'unico punto di contatto per le persone in merito a tali questioni.