“Pur stigmatizzando i comportamenti illeciti dei singoli operatori, riteniamo assolutamente infondato il provvedimento notificato dal Garante”. Lo scrive oggi, martedì 29 novembre,, in una nota l’Unità Sanitaria Locale della Valle d’Aosta a proposito della sanzione, da 40mila euro, inflittale dall’autorità di garanzia per la violazione di diversi articoli del regolamento comunitario sul trattamento dei dati personali. La vicenda, originata dal reclamo di una donna, che aveva lamentato accessi non autorizzati al suo dossier sanitario online, è relativa all’allentamento dei filtri di riservatezza nel periodo dell’emergenza Covid.
Al riguardo, per l’Usl il provvedimento è “completamente inaspettato e di difficile comprensione, in quanto riferito ad un contesto di piena emergenza sanitaria”, nel quale “tutti gli sforzi profusi in ambito sanitario erano finalizzati a garantire le migliori ed efficienti cure possibili alla popolazione valdostana”. In quel periodo, “i responsabili sanitari hanno adottato ogni misura utile a salvaguardare la salute dei pazienti Covid e no-Covid in un ospedale ‘con gestione mista’”.
Nello specifico, spiega l’azienda, “l’accesso ai dati è stato consentito agli operatori sanitari di determinati reparti anche per i pazienti di altri reparti, dato che l’assetto di tutte le strutture era soggetto, a causa dell’emergenza, a continui e repentini cambiamenti sovvertendone spesso l’organizzazione”. Senza tale misura, “l’accesso ai dati di tutti i pazienti sarebbe stato impossibile, impedendo così le cure”. Per questo, l’Usl ritiene “che il giudizio del garante sia stato stilato astraendosi dalla drammatica contingenza del momento”.
L’azienda sottolinea come “la decisione inerente l’allentamento delle regole del Dossier sanitario aziendale sia stata assunta consapevolmente in seguito ad un’attenta analisi dei ‘filtri’ da disattivare e delle regole privacy da mantenere assolutamente attive”, nel rispetto “dei principi generali in materia di protezione dei dati personali (tant’è che le misure tecniche di protezione messe in atto hanno comunque impedito l’accesso a specifiche informazioni cliniche)”.
In sostanza, “di fronte ad un delicato bilanciamento degli interessi tra la salute e la riservatezza, l’azienda ha ritenuto doveroso – oltre che a ciò istituzionalmente tenuta – privilegiare la salute permettendo agli operatori di avere tutti gli strumenti necessari per curare e salvare la vita dei cittadini”. Per questo, l’Unità Sanitaria Locale ha già dato mandato ad uno studio legale, esperto in materia, al fine di predisporre ricorso al provvedimento.
Trattamento illecito dei dati, l’Usl sanzionata dal Garante per la privacy
Una sanzione da 40mila euro è stata comminata dal Garante per la privacy all’Usl della Valle d’Aosta, per la violazione di più articoli del regolamento sulla protezione delle persone con riguardo al trattamento dei dati personali. Il procedimento è relativo ad una serie di accessi al dossier sanitario di una donna, oggetto di un reclamo della stessa ed avvenuti da parte di un’operatrice sanitaria impiegata in una struttura di riabilitazione, dove la segnalante ha fatto presente di “non aver mai ricevuto assistenza” (oltre a sottolineare di aver negato il consenso al trattamento dei dati attraverso il fascicolo online).
Dall’ordinanza dello scorso 10 novembre, pubblicata sul sito dell’autorità di garanzia, emerge che l’Unità Sanitaria Locale ha autorizzato – dal 17 marzo 2020, a causa dell’emergenza Covid – “un allentamento delle regole di visibilità del dossier”. Nell’ambito dell’istruttoria svolta dall’ufficio del Garante, l’azienda sanitaria ha confermato che, fino alla modifica delle regole, “la volontà espressa dall’assistita è stata rispettata”, dopodiché una logopedista del Consultorio di Saint-Pierre (con rapporto di lavoro in somministrazione) “ha effettuato degli accessi dalla propria postazione di lavoro”, nel periodo dal 15 marzo al 6 dicembre 2021.
Le consultazioni per “mera curiosità”
Dalle comunicazioni tra l’azienda sanitaria e il Garante, menzionate nel provvedimento, si scopre anche che l’Usl ha richiesto all’operatrice le motivazioni del suo comportamento, che ha sottoscritto di aver “acceduto al dossier della reclamante, nonché sua collega, per ‘mera curiosità’”. L’Unità Sanitaria Locale ha anche segnalato, in sede difensiva, che i fatti sono stati segnalati all’agenzia di somministrazione che aveva fornito la lavoratrice, cui non è stato successivamente rinnovato il contratto. “Non risultano all’Azienda – ha dichiarato l’azienda – denunce alla Procura della Repubblica sui fatti oggetto del procedimento”.
L’allentamento esigenza emergenziale
Per spiegare l’allentamento delle regole di visibilità dei dossier, l’Unità Sanitaria Locale ha ricordato che “da un punto di vista clinico, il contesto emergenziale ha costretto (ed ancora oggi obbliga) l’ospedale ad accorpare la quasi totalità dei reparti non Covid e a realizzare reparti Covid dedicati”, con “tutte le conseguenze gestionali, cliniche ed organizzative derivanti”. Agli occhi dell’azienda sanitaria, la nuova configurazione del dossier sanitario era il modo per “permettere di accedere, secondo le esigenze del momento, alle informazioni sanitarie”.
In caso contrario, sanitari, medici e altri operatori “non avrebbero potuto, di fatto, accedere alla cartella clinica e ai dati sanitari di pazienti ricoverati in reparti Covid”, o “in reparti non Covid multi-specialistici” e dunque “non sarebbero stati in grado di assistere adeguatamente i pazienti”. L’Usl ha anche precisato che dal 22 aprile di quest’anno è “stato avviato il processo di ripristino del sistema di gestione del dossier sanitario secondo le regole pre-pandemiche che si è concluso il 10 maggio 2022”. Tale processo “ha reso necessario verificare la corretta profilazione degli utenti”.
Dossier resi accessibili di fatto
Nel complesso, l’ufficio del Garante constata che “la scelta effettuata dall’Azienda ha reso di fatto accessibili i dossier sanitari di tutti gli assistiti della stessa”, a “prescindere dalla volontà degli stessi, dal coinvolgimento nel percorso di cura dell’operatore sanitario e dalla circostanza che la prestazione sanitaria fosse effettivamente resa ad un paziente Covid-19”. In sostanza, “nel derogare alle limitazioni relative all’accesso” dettate dalla disciplina sulla protezione dei dati, l’Usl “non ha adottato un sistema per il rilevamento di eventuali anomalie che possano configurare trattamenti illeciti”. Da qui, la considerazione degli accessi segnalati quali illeciti e la sanzione.
Una risposta
Ottimo invece, era ora