NEWSLETTER N. 514 del 27 novembre 2023

• Dossier sanitario, Garante privacy: accessibile solo per ragioni di cura
• Assicurazioni: gli eredi possono conoscere i beneficiari delle polizze
• Certificati anagrafici alle Poste, ok del Garante privacy
• Garante privacy ammonisce osteopata: nella tesi i dati sanitari di una paziente

Dossier sanitario, Garante privacy: accessibile solo per ragioni di cura
Sanzionata una Asl per 40mila euro

Sanzione di 40mila euro del Garante privacy ad una Asl per non aver configurato il dossier sanitario aziendale in modo tale da impedire al personale autorizzato di visionare lo stato di salute dei colleghi per finalità ulteriori rispetto a quelle di cura.

L’Autorità – intervenuta a seguito del reclamo di un’infermiera, che era al contempo paziente e dipendente della Asl – ha infatti accertato che le responsabili dell’organizzazione dei turni del reparto dove lavorava, durante il lockdown, avevano avuto liberamente accesso al dossier sanitario dei colleghi per verificare l’eventuale positività al Covid-19 e pianificare le presenze in ospedale.

Secondo la Asl la pratica si era resa necessaria per sapere su quali risorse umane poter contare, considerato che, nel periodo della pandemia, gran parte del personale era in malattia contagiato dal Covid.

Nel suo provvedimento il Garante ha messo innanzitutto in evidenza come l’accesso al dossier sanitario sia consentito solo ai medici e al personale che hanno in cura un paziente, e non per esigenze organizzative e amministrative anche nell’ipotesi in cui, come nel caso specifico, la Asl assuma sia la veste di datore di lavoro che di autorità sanitaria che ha in cura l’interessata. L’uso del dossier per organizzare i turni ospedalieri costituisce, peraltro, una modalità inefficace essendo tale strumento vincolato al consenso dell’interessato e risultando, per sua natura, incompleto tenuto conto del fatto che l’interessato può decidere di oscurare alcuni dati e documenti, compresi gli esiti dei test Covid.

Nel corso dell’istruttoria l’Autorità ha inoltre accertato che gli accessi erano stati possibili perché la configurazione del dossier sanitario aziendale non prevedeva limiti all’accesso, né sistemi di alert e di monitoraggio finalizzati a segnalare eventuali condotte illecite dei dipendenti.

Oltre ad irrogare la sanzione, il Garante ha ordinato all’azienda ospedaliera di adottare nuove procedure e misure organizzative per garantire la tutela dei dati dei pazienti e dei dipendenti: in particolare, l’adozione di alert automatici per il rilevamento di eventuali anomalie e di procedure che prevedano la registrazione automatica in appositi file di log di tutti gli accessi e le operazioni compiute, compresa anche la semplice consultazione del dossier.

Assicurazioni: gli eredi possono conoscere i beneficiari delle polizze
Le compagnie devono prima verificare una serie di requisiti

Le compagnie assicurative devono consentire agli eredi, che ne fanno richiesta, l’accesso ai nominativi dei beneficiari indicati nelle polizze stipulate in vita da persone defunte.    

Lo ha chiarito il Garante privacy, con un provvedimento in corso di pubblicazione nella Gazzetta Ufficiale, dopo le numerose istanze (segnalazioni, reclami e richieste di parere) ricevute a seguito delle decisioni contrastanti assunte dalla giurisprudenza di merito. Tali decisioni hanno infatti generato, nel corso del tempo, diversi dubbi interpretativi.

Prima di trasmettere i nominativi le compagnie dovranno comunque verificare che sussistano una serie di condizioni. In primo luogo, dovranno accertare che il richiedente sia stato effettivamente indicato come erede, o “chiamato all’eredità”, ossia legittimato ad accettare l’eredità e pertanto a divenire erede. In secondo luogo, dovranno verificare che l’interesse perseguito dal richiedente sia concreto e attuale (cioè esistente al momento dell’accesso ai dati), precedente o funzionale alla propria difesa in giudizio.

L’Autorità, nell’esprimere il proprio orientamento, ha affermato che il diritto alla riservatezza va sempre bilanciato con altri diritti fondamentali, (come quello di difesa in giudizio), così come sancito dalla Carta dei diritti fondamentali dell’Unione europea, dalle Linee Guida in tema di “esercizio del diritto di accesso” del Comitato che raccoglie tutte le Autorità Garanti Ue (Edpb) e dalla stessa giurisprudenza di legittimità.

Certificati anagrafici alle Poste, ok del Garante privacy
Il servizio interesserà i Comuni con meno di 15mila abitanti.

Via libera del Garante privacy allo schema di decreto del Ministro dell’Interno che, nell’ambito del progetto “Polis – case di servizi di cittadinanza digitale” -, prevede il rilascio dei certificati disponibili nell’Anagrafe nazionale della popolazione residente (ANPR) anche presso gli sportelli di Poste Italiane ai cittadini dei Comuni con meno di 15mila abitanti.

Lo schema di decreto è stato predisposto tenendo conto delle indicazioni fornite dall’Autorità nel corso delle interlocuzioni con il Ministero dell’Interno, volte a garantire il rispetto della disciplina in materia di protezione dei dati personali.

Il testo prevede, in particolare, che i certificati anagrafici degli iscritti nell’ANPR, riguardanti il richiedente e i componenti della propria famiglia anagrafica, possano essere richiesti in modalità telematica attraverso i servizi di Poste Italiane, ed erogati esclusivamente dai dipendenti di Poste abilitati ad accedere alla “Piattaforma Polis”. Al riguardo, gli operatori preposti al rilascio dei certificati dovranno rispettare specifici processi di identificazione e autenticazione, anche mediante l’utilizzo di smart card crittografiche. Gli accessi alla piattaforma saranno, inoltre, registrati e conservati per la durata di 36 mesi, garantendo la tracciabilità delle operazioni effettuate.

Per richiedere il certificato, i cittadini dovranno recarsi di persona presso gli sportelli dedicati di Poste Italiane e saranno identificati presentando il proprio codice fiscale e un documento di riconoscimento. Una volta verificata l’identità del richiedente, l’operatore di Poste potrà procedere alla stampa del certificato.

Nel dare il proprio parere favorevole, l’Autorità ha ritenuto adeguate le misure tecniche, organizzative e di sicurezza sulla protezione dei dati personali previste nello schema di decreto e individuate nella valutazione di impatto.

Garante privacy ammonisce osteopata: nella tesi i dati sanitari di una paziente

Chi opera nel settore sanitario deve sempre mantenere il segreto professionale e rispettare la privacy dei propri assistiti non rivelando all’esterno informazioni sulla salute acquisite nell’ambito del rapporto fiduciario medico - paziente. Lo ha ribadito il Garante privacy nell’ammonire un’osteopata che aveva violato la disciplina privacy e anche il codice di deontologia medica, riportando informazioni sullo stato di salute di una paziente all’interno della tesi redatta a conclusione di un corso di formazione.

La violazione era stata segnalata all’Autorità dalla stessa paziente. Nella tesi, in particolare, era stato inserito un documento clinico contenente numerose informazioni sullo stato di salute dell’interessata, i cui dati anagrafici erano stati cancellati in modo approssimativo, tale da non impedire di risalire comunque al suo nome e cognome e di associare così le informazioni anagrafiche a quelle relative alla sua condizione fisica.

Al riguardo, il Garante privacy ha ricordato che la procedura di cancellazione manuale non è idonea a rendere anonimi i dati personali di un paziente e quindi a garantirne la riservatezza. La dottoressa avrebbe infatti dovuto mettere in atto misure tecniche adeguate a impedire l'identificazione, anche indiretta, dell'interessata.

Dai riscontri del Garante è inoltre emerso che l’osteopata non aveva chiesto alla reclamante il consenso per poter utilizzare i suoi dati per finalità diverse da quelle di cura quali quelle didattiche. Nell’informativa che l’osteopata forniva ai suoi pazienti si limitava infatti a indicare – in maniera generica e non trasparente – che i dati potevano essere diffusi per motivi di “ricerca scientifica”. Per questo il Garante per la protezione dei dati personali ha ingiunto alla dottoressa di modificare e integrare il modello di informativa sulla base degli elementi di criticità individuati nel provvedimento relativi alle basi giuridiche del trattamento, compreso l’eventuale trasferimento dei dati verso Paesi terzi e il periodo di conservazione.

La mancanza di tali misure ha comportato pertanto la comunicazione dei dati sulla salute della reclamante alla scuola di formazione in assenza di un idoneo presupposto giuridico.

Considerato che i dati non sono stati oggetto di pubblicazione, il Garante ha qualificato la condotta come violazione minore e ha pertanto ammonito l’osteopata.

L'ATTIVITÀ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall'Autorità

• Intelligenza artificiale: Garante privacy apre un’indagine sulla raccolta di dati personali on line per addestrare gli algoritmi. L’iniziativa è volta a verificare l’adozione di misure di sicurezza da parte di siti pubblici e privati – Comunicato del 22 novembre 2023

   

   

NEWSLETTER del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza Venezia, n. 11 - 00187 Roma.
Tel: 06.69677.2751- Fax: 06.69677.3785
Newsletter è consultabile sul sito Internet www.gpdp.it