Pianificavano i turni degli infermieri controllando il dossier sanitario. Multa da 40mila € alla Asl

Il Garante privacy ha inflitto una multa di 40.000 euro a un'ASL per la mancata configurazione adeguata del dossier sanitario aziendale. Tale omissione ha consentito al personale autorizzato di accedere alle informazioni sullo stato di salute dei colleghi a scopi non strettamente legati alla cura.

L'intervento dell'Autorità è stato innescato da un reclamo presentato da un'infermiere, sia paziente che dipendente della stessa ASL. L'indagine ha rivelato che le responsabili dell'organizzazione dei turni nel reparto della denunciante, durante il periodo di lockdown, hanno avuto libero accesso al dossier sanitario dei colleghi. Tale accesso è stato utilizzato per verificare la presenza di eventuali casi positivi al Covid-19 e per pianificare le attività ospedaliere.

La ASL ha giustificato questa pratica sostenendo la necessità di valutare le risorse umane disponibili, considerando il numero significativo di dipendenti in malattia a causa del Covid durante la pandemia.

Il provvedimento del Garante ha sottolineato che l'accesso al dossier sanitario dovrebbe essere consentito solo a medici e personale coinvolto direttamente nella cura del paziente. Non è ammissibile utilizzarlo per scopi organizzativi e amministrativi, anche quando l'ASL agisce sia come datore di lavoro che come autorità sanitaria.

L'utilizzo del dossier per la pianificazione dei turni ospedalieri è stato definito inefficace, poiché tale strumento richiede il consenso dell'interessato e può essere incompleto, considerando la possibilità per l'utente di oscurare determinati dati, inclusi gli esiti dei test Covid.

Durante l'istruttoria, è emerso che gli accessi erano possibili a causa della mancanza di limiti di accesso e di sistemi di alert e monitoraggio nel dossier sanitario aziendale. In risposta, il Garante, oltre a comminare la sanzione, ha ordinato all'azienda ospedaliera di implementare nuove procedure e misure organizzative. Queste devono assicurare la protezione dei dati dei pazienti e dei dipendenti, includendo l'adozione di alert automatici per individuare anomalie e la registrazione automatica di tutti gli accessi e le operazioni svolte, compresa la consultazione del dossier.

da Diritto + 24ore