Una ‘fuga’ di delicatissime informazioni sanitarie circolate su una chat di Whatsapp è costata all’azienda ospedaliero-universitaria una sanzione da parte del Garante per la protezione dei dati personali. La vicenda risale al 2024, ma è arrivata a una svolta solo nei giorni scorsi con il provvedimento dell’Autorità che impone al Sant’Anna di versare ventimila euro e di applicare alcuni correttivi a seguito dell’accertamento dell’irregolarità nel trattamento dei dati da parte dell’azienda. Ma veniamo ai fatti che hanno dato origine al procedimento. Tutto comincia con il reclamo di una 46enne dipendente della stessa azienda sanitaria. A gennaio dell’anno scorso la donna, rimasta incinta nell’ambito di un percorso di procreazione assistita, si reca al pronto soccorso ginecologico dell’ospedale di Cona per un malore. Nel corso dell’accesso viene refertato un aborto. Un paio di giorni più tardi apprende da una collega (l’unica a sapere del suo stato) che in un gruppo Whatsapp di lavoro circolava "notizia dettagliata" della gravidanza e dell’aborto, circostanza quest’ultima della quale la 46enne non aveva parlato a nessuno, nemmeno all’amica. Decide quindi di sporgere un reclamo per la violazione della disciplina sul trattamento dei dati. La donna, assistita dagli avvocati Fabio Anselmo e Bernardo Gentile, lamenta in particolare come l’informazione potesse "essere stata estrapolata esclusivamente dal sistema informatico dell’ospedale", al quale i medici hanno accesso con credenziali personali per "richiedere esami o visualizzare cartelle cliniche". Tuttavia, aggiunge, nel reparto in cui lavora "alcuni tecnici, quindi non medici, lo usano in maniera impropria accedendo con username e password generico, che a oggi non dovrebbe più esistere". Una situazione ritenuta anomala, in quanto tale ‘falla’ renderebbe accessibili a terzi i dati trattati tramite il dossier sanitario aziendale.

Al reclamo segue una approfondita istruttoria da parte del Garante, con diverse richieste di chiarimenti nel merito. La decisione è della fine di settembre e rileva "l’illiceità del trattamento dei dati personali" da parte dell’azienda ospedaliero-universitaria. L’autorità, pur tenendo conto del fatto che sono state "tempestivamente" messe in atto azioni correttive "temporanee e parziali per conformare il trattamento dati in vista di ulteriori e più robuste misure", ordina al Sant’Anna di pagare una sanzione amministrativa e indica altri provvedimenti finalizzati a sanare quel ‘buco’ nella tutela della privacy. Tra le pieghe del verdetto, l’Autorità quantifica anche il grado di gravità della violazione, che si attesterebbe sul livello "medio". Tale valutazione, si legge nell’atto, si basa sulla "categoria di dati, particolarmente sensibili sotto il profilo dei diritti e delle libertà", sul "numero di soggetti interessati (175.582 pazienti)" i cui dati "sono stati trattati tramite il dossier sanitario in violazione delle disposizioni" e sulla "durata della violazione, dal 2011/12". Ora l’azienda potrà impugnare il provvedimento.