Privacy e referti sanitari online: arrivano le prime sanzioni alle strutture sanitarie

Come avevamo anticipato in questo video, nel corso del 2016 l’Autorità Garante avrà modo di intensificare i controlli per monitorare e validare la conformità dei sistemi informativi delle aziende sanitarie pubbliche e private rispetto alle prescrizioni da essa fornite con i suoi provvedimenti in materia di referti on line, FSE e dossier sanitario. L’arrivo delle prime sanzioni conferma la nostra previsione.
In questi giorni il Garante Privacy ha notificato alla ASL di Vercelli una multa di ventimila euro per l’errata gestione dell’accesso ai referti online.
Un utente dell’ASL ha ricevuto allo sportello le credenziali di accesso ai referti online per visualizzare l’esito di alcuni esami, ma nel momento in cui ha inserito username e password, l’uomo si è ritrovato a leggere i risultati delle analisi di un altro utente.
È stato lo stesso paziente, incorso nell’incresciosa situazione, a segnalare l’accaduto all’Autorità Garante.
La ASL ha pagato la multa, ma ha tenuto a precisare che il sistema di referti online
rispetta i protocolli a tutela della riservatezza dei dati personali: il paziente comunica l’intenzione di consultare il referto online prima di aver eseguito l’esame, successivamente l’operatore consegna credenziali di accesso che sono univoche e utilizzabili solo per un accesso. Nel caso specifico quindi l’errore è imputabile all’operatore dello sportello, ma non per questo è da considerare meno grave.
Se da un lato l’utilizzo di piattaforme online consente di migliorare i processi di scambio di informazioni tra pazienti e aziende sanitarie, dall’altro può determinare, qualora non vengano adottate opportune precauzioni (quali la formazione e sensibilizzazione degli operatori sanitari che, si ricorda, rientrano tra le misure organizzative minime obbligatorie) e soddisfacenti misure di sicurezza, elevati rischi per la riservatezza dei dati personali degli assistiti.
Ricordiamo che le Aziende Sanitarie pubbliche o private che intendano costituire il dossier sanitario o il fascicolo sanitario elettronico devono rispettare obbligatoriamente le indicazioni contenute nelle “Linee guida in tema di fascicolo sanitario elettronico e di dossier sanitario” adottate dal Garante per la protezione dei dati personali il 16 luglio 2009, nelle “Linee guida in materia di Dossier sanitario” adottate dal Garante per la protezione dei dati personali il 4 giugno 2015 e, infine, nel DPCM del 29 settembre 2015, n. 178 “Regolamento in materia di fascicolo sanitario elettronico”.
Per evitare segnalazioni e conseguenti sanzioni da parte dell’Autorità Garante, sarebbe dunque opportuno che le Aziende Sanitarie sottoponessero a una scrupolosa attenzione (mediante audit) i propri processi organizzativi e di gestione dei dati e dei documenti sanitari su supporto informatico, a cui è necessario affiancare una adeguata formazione del personale interno.