Il Garante Privacy ha pubblicato le Faq in materia di accesso ai dati personali della cartella clinica, il documento che contiene l’insieme di informazioni sanitarie e anagrafiche sul singolo ricovero.
I chiarimenti dell’Autorità Garante per la protezione dei dati personali giungono a seguito di alcuni reclami di utenti che lamentavano il mancato rilascio gratuito da parte di strutture sanitarie della prima copia cartacea della propria cartella clinica, diniego segnalato dopo la sentenza della Corte di Giustizia dell’Unione Europea C-307/22 del 26 ottobre 2023.
Nelle Faq l’Autorità chiarisce che la struttura sanitaria, titolare del trattamento, a seguito di una istanza presentata ai sensi dell’art. 15 del Regolamento, è tenuta a fornire al richiedente copia dei dati personali oggetto del trattamento. Inoltre, la prima copia di tali dati è rilasciata gratuitamente.
La struttura sanitaria valuta se fornire copia integrale di tutta o parte della documentazione contenuta nella cartella clinica, specifica il Garante, che aggiunge: la struttura è tenuta a fornire al richiedente, gratuitamente, copia integrale della propria documentazione sanitaria quando ciò sia necessario per consentirgli di verificare l’esattezza, la completezza e l’intelligibilità delle informazioni richieste, come stabilito dalla sentenza CGUE 307/22.
Il Garante ricorda, inoltre, ai titolari del trattamento (ospedali, aziende sanitarie, ecc.) che, in caso di ricezione di istanze generiche di accesso, le Linee guida della Commissione Europea sulla Protezione dei dati raccomandano di chiedere agli interessati di specificare l’oggetto della richiesta (dati personali o documentazione).
L’Autorità ha inoltre preso due decisioni in materia sanitaria. La prima riguarda i certificati per l’assenza dal lavoro: il Garante ha stabilito che le certificazioni che attestano la presenza in Ospedale, per giustificare un’assenza dal lavoro o l’impossibilità di partecipare ad un concorso, non devono riportare le indicazioni della struttura presso la quale è stata erogata la prestazione sanitaria, il timbro con la specializzazione del medico, o informazioni che possano far risalire allo stato di salute.
Il Garante lo ha ribadito sanzionando per 17mila euro un’Azienda Sanitaria Territoriale. L’Autorità è intervenuta sul tema a seguito del reclamo di una paziente che aveva chiesto alla struttura sanitaria un certificato per assenza dal lavoro. Il certificato rilasciato riportava l’indicazione del reparto che aveva erogato la prestazione sanitaria, violando gli obblighi in materia di sicurezza e il principio di minimizzazione dei dati personali.
I dati trattati, sottolinea infatti il Garante Privacy, devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.
Inoltre, l’Autorità ha accertato la violazione del principio di privacy by design in quanto l’Azienda, titolare del trattamento, ha omesso di mettere in atto, fin dalla progettazione, misure tecniche ed organizzative adeguate, volte ad attuare in modo efficace i principi di protezione dei dati e a tutelare i diritti degli interessati.
L’Azienda sanitaria dovrà quindi pagare una sanzione di 17mila euro perché, pur avendo, a seguito dell’intervento del Garante, modificato i moduli ed effettuato una specifica formazione del personale in materia di protezione dei dati personali, la violazione ha riguardato un numero di pazienti potenzialmente elevato per un lungo periodo. Nel definire la sanzione l’Autorità ha inoltre considerato che l’Azienda non ha fornito riscontro alla richiesta di informazioni del Garante, commettendo un’ulteriore violazione del Codice.
In un altro caso, il Garante Privacy ha sanzionato un’azienda ospedaliera. Con una sanzione di 25mila euro il Garante privacy ha definito il procedimento aperto nei confronti di un’Azienda ospedaliero-universitaria che aveva subito un attacco hacker ai sistemi informativi nel dicembre 2022. Il data breach – causato da un malware di tipo ransomware introdotto nei sistemi attraverso l’accesso a un PC aziendale con VPN aperta – aveva comportato la perdita di riservatezza, integrità e disponibilità dei dati personali di un numero elevato di interessati. Tra questi: dipendenti, consulenti e pazienti. La violazione non aveva però determinato il blocco dei servizi sanitari.
L’Autorità si era attivata a seguito di una notifica dell’Azienda. Dalla documentazione trasmessa dall’ispezione effettuata dal Garante sono emerse alcune carenze relative agli obblighi di sicurezza previsti dal Regolamento europeo, dovute all’adozione di sistemi non aggiornati e a misure inadeguate a rilevare tempestivamente le violazioni di dati e a garantire la sicurezza delle reti informatiche. In particolare, l’utilizzo di software obsoleti, per i quali non erano più previsti aggiornamenti di sicurezza e di alert non a copertura h24, hanno favorito il verificarsi dell’attacco hacker.
Nel corso dell’istruttoria, il Garante Privacy ha inoltre accertato ulteriori omissioni riguardanti le misure di sicurezza, tra cui la mancanza di una procedura di autenticazione informatica a più fattori per l’accesso da remoto alla VPN, che invece avveniva solo attraverso l’utilizzo di username e password; e l’assenza di un sistema per segmentare e segregare le reti delle postazioni dei dipendenti, nonché i server per i trattamenti, per evitare una propagazione di virus.
