La trasformazione digitale della sanità promette maggiore efficienza, rapidità e continuità delle cure. Eppure, quando i sistemi informativi non sono configurati in maniera corretta, possono emergere rischi significativi. Ciò soprattutto per la privacy dei pazienti. Un recente intervento del Garante per la protezione dei dati personali lo dimostra chiaramente. Un’Azienda Ospedaliero-Universitaria è stata sanzionata con una multa di 80mila euro. Ciò a causa della gestione irregolare del dossier sanitario elettronico. L’Autorità ha avviato un’ispezione dettagliata. Il tutto per verificare il rispetto delle regole sui trattamenti dei dati clinici.
Vulnerabilità riscontrata riguardo il dossier sanitario
Durante i controlli è emerso che l’ospedale faceva uso di due diversi applicativi. Uno dedicato alle cartelle ambulatoriali e l’altro ai ricoveri. Proprio tale impostazione ha reso possibile a tutto il personale sanitario l’accesso alla storia clinica dei pazienti. Ciò anche in assenza di un coinvolgimento diretto nel percorso di cura. Non si trattava quindi di una violazione episodica, ma di una debolezza strutturale del sistema.
Il dossier elettronico, così come era stato configurato, mancava di strumenti di sicurezza fondamentali. Non erano previsti alert automatici in caso di accessi impropri. Né un tracciamento dettagliato delle operazioni effettuate, che solitamente avviene tramite file di log specifici. Ciò significa che l’uso dei dati non poteva essere monitorato con precisione. Rendendo difficile individuare eventuali abusi o consultazioni non autorizzate.
Altrettanto rilevante è la questione della trasparenza. I pazienti non erano stati informati del fatto che i loro dati alimentassero un dossier elettronico. Né erano stati messi in condizione di esprimere un consenso o di esercitare opzioni di scelta. Come l’oscuramento di determinate informazioni cliniche sottoposte a particolari tutele. In tal modo veniva meno uno dei principi cardine della normativa europea e nazionale sulla protezione dei dati personali. Ovvero il diritto a decidere come vengano trattate le proprie informazioni sensibili.
Nel motivare la decisione, il Garante ha richiamato le Linee Guida del 2015, che stabiliscono due punti fondamentali. Da un lato, la possibilità per ogni paziente di stabilire se le informazioni cliniche possano confluire o meno nel proprio dossier. Dall’altro, il limite di accesso riservato esclusivamente agli operatori che seguono direttamente il percorso di cura. La vicenda apre a una riflessione più ampia: la digitalizzazione in sanità non può prescindere dalla fiducia dei cittadini.
