Libero accesso ai dati sullo stato di salute dei colleghi, per fini diversi da quelli di cura: per non aver predisposto adeguate misure di tutela delle informazioni contenute nei dossier sanitari aziendali, il Garante privacy ha sanzionato l’Asl di Lodi per 40mila euro. Accessi abusivi infatti si sarebbero verificati durante la pandemia di Covid, come emerge dall’istruttoria dell’autorità garante, da parte delle responsabili dell’organizzazione dei turni e sono stati segnalati da un’infermiera che era al contempo sia paziente che dipendente dell’azienda sanitaria locale lodigiana.
L’indagine del Garante privacy svela una significativa violazione dei principi di riservatezza e integrità dei dati sanitari. Tale scenario solleva questioni cruciali sull’equilibrio tra le esigenze di gestione dell’emergenza sanitaria e la rigorosa tutela dei dati personali, nel rispetto del Regolamento (UE) 2016/679 e del Codice della privacy italiano. Questa analisi si focalizza sulle implicazioni legali ed etiche derivanti da tali azioni.
Perché il Garante privacy ha sanzionato l’Asl di Lodi
Il reclamo al centro dell’indagine del Garante della Privacy origina dalla segnalazione di una dipendente dell’Asl di Lodi. Il nucleo della questione riguarda l’accesso non autorizzato al suo dossier sanitario da parte di colleghi nel biennio 2019-2020. La documentazione fornita evidenzia come tali accessi siano stati giustificati dalle dottoresse coinvolte come necessari per valutare le risorse umane disponibili durante l’emergenza Covid-19, in particolare per conoscere gli esiti dei tamponi naso-faringei. Un ulteriore accesso, riconducibile al “programma Telecovid Zcare”, mirava a verificare la qualità del servizio erogato tramite rielaborazione statistica delle caratteristiche della popolazione assistita.
Privacy by design e ISO 31700: Le informazioni essenziali per aziende e consulenti
Tuttavia, emerge una discrepanza significativa tra le ragioni addotte per tali accessi e i principi di protezione dei dati personali. L’Azienda stessa ha ammesso la non tracciabilità degli accessi al dossier sanitario, sollevando serie preoccupazioni riguardo la conformità con i protocolli di sicurezza e privacy. Questo scenario pone in rilievo la tensione tra la necessità di una rapida gestione delle emergenze sanitarie e l’imprescindibile obbligo di salvaguardare la riservatezza e l’integrità dei dati personali dei dipendenti.
La replica dell’Asl
Nella sua difesa, l’Asl di Lodi ha argomentato che gli accessi al dossier sanitario della dipendente erano in parte obbligatori e in parte facoltativi, radicati nelle circostanze eccezionali dell’emergenza pandemica. Ha sostenuto che tali azioni erano giustificate dalle funzioni pubbliche esercitate e dall’urgenza dettata dal contesto emergenziale. L’Azienda ha enfatizzato il suo ruolo cruciale come punto di riferimento sanitario nella gestione della crisi Covid-19, sia a livello ospedaliero che territoriale, sottolineando l’importanza di conoscere in tempo reale lo stato di salute del personale per organizzare i turni e garantire la continuità dei servizi sanitari. Ha inoltre indicato che gli accessi ai dati erano necessari per assicurare la sicurezza e l’efficienza del personale in un periodo caratterizzato da elevati tassi di contagio tra gli operatori sanitari.
Cosa dice la normativa
L’indagine sulle pratiche dell’Asl di Lodi si inscrive in un rigoroso quadro normativo sulla protezione dei dati personali, delineato principalmente dal Regolamento (UE) 2016/679 (GDPR) e dal Codice della Privacy italiano (D.Lgs. 196/2003). Tali normative stabiliscono principi fondamentali come la liceità, correttezza e trasparenza nel trattamento dei dati personali, la limitazione della finalità, la minimizzazione dei dati, l’integrità e la riservatezza. Il GDPR impone inoltre che il titolare del trattamento adotti misure tecniche e organizzative adeguate per garantire un livello di sicurezza proporzionato al rischio.
Nel contesto specifico, il Garante ha riscontrato significative violazioni in relazione all’accesso e all’utilizzo dei dossier sanitari per finalità non strettamente legate al processo di cura. L’Azienda, agendo sia come datore di lavoro sia come autorità sanitaria, ha contravvenuto ai principi di limitazione della finalità e minimizzazione dei dati, utilizzando i dossier per la gestione organizzativa e amministrativa, in particolare per l’organizzazione dei turni ospedalieri e la valutazione della qualità dei servizi durante l’emergenza pandemica.
Infatti, il Garante ha evidenziato che, sebbene il datore di lavoro possa trattare dati personali, incluso quelli relativi alla salute, per esigenze legate al rapporto di lavoro, tali trattamenti devono avvenire nel rispetto dei principi del GDPR e delle disposizioni settoriali applicabili. Inoltre, in assenza di espresse previsioni normative, non è consentito al datore di lavoro raccogliere e trattare dati personali relativi allo stato di salute del lavoratore per finalità non previste dalla legge. Di conseguenza, l’accesso ai dossier sanitari per motivi organizzativi rappresenta una violazione delle norme sulla protezione dei dati personali.
Perché la decisione del Garante è innovativa
La decisione è innovativa e segna un punto di svolta importante. La risoluzione si fonda sulle violazioni degli articoli 5 e 9 del Regolamento (UE) 2016/679 e dell’articolo 32 del GDPR, che sanciscono i principi di liceità, correttezza, trasparenza, limitazione della finalità, minimizzazione dei dati e sicurezza dei trattamenti. Le sanzioni stabilite dal Garante rispecchiano l’obiettivo di garantire l’effettività, la proporzionalità e la dissuasività delle misure correttive, come stabilito dall’art. 83 del GDPR. In questo contesto, la gravità della violazione è stata valutata considerando la natura, la gravità e la durata dell’infrazione, l’impatto sui diritti e le libertà degli individui coinvolti e l’intenzionalità dell’azione dell’Azienda. Il Garante ha inoltre sottolineato l’importanza della consapevolezza del rischio associato a tali violazioni, specialmente in un contesto sanitario dove i dati personali sono particolarmente sensibili.
Si deriva infatti che la sanzione impone non solo una penalità pecuniaria, ma anche l’obbligo di pubblicazione dell’ordinanza ingiunzione sul sito web del Garante, come previsto dall’art. 166 del Codice della Privacy italiano. Questa decisione non solo punisce l’Azienda per la sua condotta, ma serve anche da monito per altre organizzazioni nel settore sanitario e oltre, sottolineando l’importanza di aderire scrupolosamente alle normative sulla privacy.
Conclusione
La decisione del Garante è foriera di due grandi implicazioni. In primo luogo, segnala alle organizzazioni sanitarie e non solo, l’importanza cruciale del rispetto delle normative sulla privacy, soprattutto in contesti di emergenza come una pandemia, dove la gestione dei dati sensibili deve essere bilanciata con necessità operative urgenti. La sentenza enfatizza la necessità di sistemi di tracciamento efficaci e di politiche di privacy chiare, evidenziando le conseguenze legali e finanziarie di eventuali inadempienze.
Inoltre, il caso potrebbe stimolare un rafforzamento delle politiche di formazione e consapevolezza sulla privacy all’interno delle organizzazioni sanitarie, per garantire che tutti i dipendenti comprendano i limiti e le responsabilità legati all’accesso ai dati personali. Infine, la decisione del Garante potrebbe guidare futuri sviluppi legislativi e normativi nel settore sanitario, orientati a un equilibrio più efficace tra esigenze operative e tutela dei diritti dei dipendenti e dei pazienti.
@RIPRODUZIONE RISERVATA