L’Autorità Garante Privacy (“Autorità”), con il provvedimento n. 97 del 22 febbraio 2024, ha inflitto una multa di € 75.000,00 a un’ASL per irregolarità nel trattamento del dossier sanitario elettronico. Le indagini sono scaturite da alcune segnalazioni riguardanti l’accesso improprio ai dati personali tramite il sistema di archiviazione e refertazione dell’azienda sanitaria. In particolare, si sono verificati numerosi accessi al dossier da parte di personale non adibito alla cura dei pazienti, incluso il personale amministrativo. Un caso eclatante riguarda una professionista dell’ASL che ha visionato gli esami di laboratorio del suo ex marito senza autorizzazione.
Le verifiche dell’Autorità hanno rivelato che il sistema di gestione del dossier permetteva agli operatori sanitari di inserire manualmente la motivazione per l’accesso, violando le linee guida dell’Autorità del giugno 2015. Queste linee guida stabiliscono che l’accesso dovrebbe essere limitato al personale coinvolto direttamente nella cura del paziente.
Inoltre, l’ASL non ha implementato un sistema di alert per individuare comportamenti anomali o a rischio, relativi agli accessi al dossier. Oltre alla multa, l’Autorità ha ordinato all’ASL di adottare misure tecniche e organizzative per garantire la sicurezza dei dati e prevenire futuri accessi non autorizzati.