asst-lodi-multa-garante

ASST Lodi sanzionata a seguito del reclamo di un’infermiera che era al contempo paziente e dipendente dell’Azienda Socio Sanitaria Territoriale di Lodi. Il Garante Privacy è infatti intervenuto poiché l’organizzazione non aveva configurato correttamente il dossier sanitario aziendale, sì da impedire al personale di visualizzare lo stato di salute di colleghi per finalità ulteriori rispetto a quelle di cura.

Il provvedimento del 12 ottobre 2023, n. 473 trae origine dal reclamo presentato da un’infermiera impiegata presso una struttura dell’Azienda Socio Sanitaria Territoriale di Lodi che lamentava ripetuti e illegittimi accessi al proprio dossier sanitario da parte delle colleghe di reparto per “sapere su quali risorse poter contare per svolgere il nostro lavoro e curare i pazienti nel migliore dei modi” in quanto “il metodo più rapido era conoscere l’esito del tampone naso faringeo per il Covid-19” visionabile attraverso l’accesso al dossier sanitario dei dipendenti. L’obiettivo di accesso, quindi, era verificare quali dipendenti fossero affetti da Covid-19 al fine di organizzare i turni presso la struttura.

A seguito dell’istruttoria condotta dal Garante emergevano una serie di evidenti violazioni delle Linee Guida del 4 giugno 2015 in materia di dossier sanitario, volte a delineare specifiche garanzie e responsabilità, nonché misure e accorgimenti necessari ed opportuni per tutelare gli utenti in relazione ai trattamenti dei dati sanitali. Ebbene, sulla scorta delle predette Linee Guida, il trattamento dei dati relativi alla salute dei dipendenti può essere legittimamente effettuato solo quando sia necessario per assolvere obblighi ed esercitare i diritti specifici del Titolare del trattamento o dell’interesse in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto deli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’Interessato. Come emergeva dall’istruttoria, invece, l’Azienda Sanitaria Territoriale di Lodi aveva utilizzato i dati per sapere su quali risorse poter contare considerato che, nel periodo pandemico, gran parte del personale sanitario risultava in malattia.

Il Garante, pertanto, evidenziava l’illegittimità di tale trattamento, esclusivamente finalizzato ad esigenze organizzativo-amministrative del Titolare, incompatibili con la normativa di settore.

La già grave situazione veniva, ulteriormente, inasprita dalla circostanza che emergeva in corso di istruttoria secondo cui gli accessi dei dipendenti erano stati resi possibili da una configurazione del dossier sanitario del tutto carente rispetto ai necessari limiti di accesso imposti dalla disciplina di legge, che nemmeno prevedeva sistemi di alert e/o di monitoraggio finalizzati ad evidenziare, eventuali, condotte illecite dei dipendenti.

Alla già sanzione pecuniaria, pertanto, il Garante riteneva di disporre un ulteriore provvedimento di adozione di ulteriori procedure e misure organizzative atte a tutelare i dati di dipendenti e pazienti. Nello specifico veniva richiesto all’Azienda Socio Sanitaria Territoriale di Lodi di adottare sistemi di comunicazione automatici delle anomalie, attraverso alert, nonché procedure specifiche di registrazione dei log di tutti gli accessi e di tutte le operazioni compiute dai dipendenti, anche con riferimento alla “semplice” comunicazione.

Ti serve una consulenza privacy?

Il nostro team sarà felice di trovare la soluzione perfetta per te!