Non aver impedito che alcuni dipendenti potessero "sbirciare" il dossier sanitario dei colleghi è costato 30.000 Euro ad una Azienda ospedaliera. Il Garante per la privacy ha individuato tre violazioni di dati personali, comunicate all'Autorità dallo stesso ospedale a conclusione di normali controlli periodici. Gli accessi indebiti hanno riguardato dati sanitari di dipendenti in cura presso lo stesso nosocomio. In un caso l'accesso era stato effettuato con le credenziali di un medico che aveva lasciato incustodita la propria postazione mentre negli altri due casi uno specializzando e un tecnico radiologo erano entrati nel dossier sanitario dei loro colleghi.
Per stessa ammissione dell'azienda ospedaliera, in tutti e tre gli episodi è stato accertato che gli accessi erano stati effettuati non per erogare prestazioni mediche, ma per esclusive ragioni personali, descritte dall'azienda come "mera curiosità".
Svolti gli accertamenti i risultati hanno evidenziato che le misure tecniche e organizzative adottate dall'ospedale, a tutela del dossier sanitario aziendale, non si erano idonee ad assicurare una adeguata tutela dei dati personali dei pazienti e a proteggerli da trattamenti non autorizzati, determinando così un trattamento illecito di dati.
La violazione avrebbe potuto essere evitata se l'azienda avesse semplicemente osservato le Linee guida in materia di dossier sanitario, emanate dal Garante nel 2015, prevedendo che l'accesso al dossier sanitario fosse limitato al solo personale sanitario che interviene nel processo di cura del paziente ed avesse prestato particolare attenzione nell’individuare i profili di autorizzazione e nella formazione del personale abilitato.
L'adozione preventiva delle Linee guida in materia di dossier sanitario del 2015, avrebbe evitato la violazione e, di conseguenza, la sanzione, anche alla luce dei principi di protezione dati fin dalla progettazione (privacy by design) e per impostazione predefinita (privacy by default), costituisce oggi, per effetto delle disposizioni contenute nel Regolamento Ue 679/2016, un preciso dovere per i titolari del trattamento.
