La Nuova Ferrara

Ferrara Il Garante della privacy ha sanzionato l’ospedale Sant’Anna di Cona con una multa di 20mila euro per violazione delle norme sulla riservatezza dei dati personali sanitari riscontrata nei sistemi informatici usati per i dossier sanitari dei pazienti, fin dal 2011. La sanzione è del 25 settembre scorso e nasce da un reclamo al Garante presentato da una dipendente del Sant’Anna, che si è ritrovata suo malgrado a divenire paziente dell’ospedale e scoprire che la sua cartella clinica completa aveva circolato in una chat interna di lavoro, con disvelamento di informazioni sensibilissime.
Una vicenda che, peraltro, è stata di grandissimo dolore per la donna, perché legata a una interruzione spontanea di gravidanza dopo un difficile percorso di procreazione medicalmente assistita. Si era recata al pronto soccorso ginecologico dopo aver accusato dei forti dolori.
Da quanto si legge nel provvedimento del Garante della privacy, solo una collega era a conoscenza dello stato di gravidanza, per via del rapporto anche amicale. Ed è stata proprio la collega-amica a farle capire che qualcosa non andasse: il cordoglio per l’aborto e il dispiacere per non essere stata informata prima. È emerso così che quanto le era accaduto era divenuto di dominio di un gruppo di colleghi, con la circolazione della sua cartella clinica completa, estratta in maniera che si può definire abusiva dal sistema informatico del Sant’Anna e fatta circolare all’interno di una chat di lavoro.
Chi sia stato a estrarla e a farla circolare non si sa, la dipendente del Sant’Anna, assistita dallo studio legale Anselmo, ha però deciso di segnalare la vicenda al Garante della privacy, perché comunque spia di una grossa falla nella gestione dei dati personali dei pazienti, che poi l’Authority ha classificato come di media gravità.
E, in effetti, l’istruttoria compiuta dal Garante, che ha anche chiesto informazioni all’azienda ospedaliero-universitaria ferrarese sulle proprie procedure, ha riscontrato la presenza di molte carenze nella tutela della riservatezza sia in passato, con “buchi” che negli anni sono stati ripianati (anche dopo la segnalazione oggetto del reclamo) e che hanno riguardato, dal 2011-2012, ben 175.582 pazienti «i cui dati sono stati trattati tramite il dossier sanitario in violazione delle disposizioni» di legge. Violazioni che permangono anche dopo i correttivi: da segnalare, in particolare, l’uso di account generici che permettevano anche al personale non medico – radiologi e infermieri, ad esempio – del Sant’Anna di avere accesso completo alle cartelle cliniche dei pazienti.
Per questo il provvedimento del Garante non contiene solo una sanzione pecuniaria nei confronti dell’Azienda ospedaliera, ma stabilisce anche azioni specifiche da intraprendere a protezione dei dati sensibilissimi dei pazienti: «Eliminare l’accesso al dossier sanitario con la modalità denominata “farmacovigilanza”, consentendo ai profili indicati dalla specifica normativa di settore di accedere, nel rispetto del principio di liceità del trattamento, ad una base dati completa» e «limitare l’accesso al “profilo utenze infermieristiche che emettono attestazione di avvenuta prestazione specialistica” al solo elenco di prestazioni con riferimento alle quali sono autorizzati a rilasciare le previste attestazioni».
Il Sant’Anna ha 90 giorni di tempo per trasmettere al Garante «idonea documentazione volta a illustrare le misure adottate per adempiere a quanto ingiunto e a quelle poste in essere nell’ambito della adottanda procedura aziendale per disciplinare il trattamento dei dati attraverso il nuovo dossier sanitario aziendale ed in particolare l’accesso allo stesso da parte del personale sanitario dell’Azienda». 
© RIPRODUZIONE RISERVATA