Accertamento dei fatti: trattamento dei dati in seno al servizio dei medici di fiducia della CSS Assicurazione

Berna, 27.04.2007 - Nell'ambito della sua funzione di organo di sorveglianza sulla protezione dei dati, l'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) ha disposto un accertamento dei fatti presso il servizio dei medici di fiducia della CSS Assicurazione. Viste le irregolarità emerse, il 17 aprile 2007 ha emanato all'attenzione della CSS sei raccomandazioni che la cassa malati dovrà accettare o respingere entro 30 giorni.

All'inizio del 2006 la stampa aveva riferito di possibili violazioni della protezione dei dati in seno alla CSS e in particolare nell'ambito del servizio dei medici di fiducia. Si affermava, in sostanza, che un numero spropositato di collaboratori – circa 400 – avessero accesso a dati sensibili concernenti gli assicurati. Nel maggio dello stesso anno, l'IFPDT aveva pertanto deciso di provvedere ad un accertamento dei fatti conformemente a quanto sancito dall'articolo 27 della legge sulla protezione dei dati (LPD).  

Gli accertamenti hanno confermato che la protezione dei dati in seno al servizio dei medici di fiducia della CSS presentava e presenta tuttora lacune. In assenza di una procedura standardizzata relativa al conferimento dei diritti di accesso a determinate informazioni, non è tuttavia possibile stabilire se in passato anche persone non autorizzate hanno potuto accedere a dati sensibili del servizio in questione. Questo aspetto verrà chiarito nell'ambito dell'azione penale promossa dall'Ufficio federale della sanità pubblica (UFSP). Al termine si saprà forse anche se le persone aventi accesso ai dati del servizio dei medici di fiducia erano effettivamente 400.  

Secondo i dati forniti dalla CSS le persone autorizzate ad accedere a dati sensibili del sistema erano circa 150. Dopo gli articoli comparsi sulla stampa, tuttavia, la stessa CSS ha ridimensionato il dato abbassandolo a 120.  

Il 17 aprile 2007, sulla scorta dei risultati degli accertamenti effettuati, l'IFPDT ha emanato all'indirizzo della CSS sei raccomandazioni volte a garantire la protezione dei dati in seno al servizio dei medici di fiducia della CSS.  

La prima raccomandazione intende garantire una migliore protezione degli incartamenti dei clienti. Ancora oggi, si tratta principalmente di fascicoli cartacei conservati in locali non adibiti all'uso esclusivo dei collaboratori del servizio dei medici di fiducia, bensì utilizzati anche da altri collaboratori. Manca quindi un controllo sistematico delle persone che accedono ai locali e ai documenti. L'IFPDT raccomanda pertanto di riservare al servizio dei medici di fiducia locali, infrastrutture e strumenti separati e di trattare i dati di tale servizio in modo confidenziale sia nei confronti di terzi che di altri collaboratori e servizi della società.  

Scopo della seconda raccomandazione è rafforzare l'indipendenza del servizio dei medici di fiducia il quale non interviene solo nell'ambito della copertura assicurativa di base, secondo quanto sancito dalla legge federale sull'assicurazione contro le malattie (LAMal), ma anche, conformemente alla legge federale sul contratto d'assicurazione (LCA), nei casi riguardanti le assicurazioni complementari in qualità di servizio medico della società. Questo conflitto d'interessi può pregiudicare l'indipendenza prescritta nell'ambito dell'assicurazione di base. L'IFPDT ritiene pertanto indispensabile una rigorosa distinzione fra la figura del medico di fiducia competente per il settore LAMal e quella del medico della società preposto al settore disciplinato dalla LCA. 

Anche la terza raccomandazione mira a garantire una maggiore indipendenza del servizio dei medici di fiducia. Il responsabile del servizio non deve più sottostare al responsabile del servizio Prestazioni bensì direttamente alla direzione generale

La quarta e quinta raccomandazione riguardano il conferimento dei diritti d'accesso al sistema elettronico di gestione delle richieste utilizzato dal servizio dei medici di fiducia. Scopo della quarta raccomandazione è garantire che nel caso in cui sia stato deciso il rifiuto di una prestazione, i collaboratori dei servizi amministrativi non abbiano la possibilità di accedere a informazioni sensibili riguardanti gli assicurati.  

Obiettivo della quinta raccomandazione è far sì che i compiti e i doveri degli esperti medici che possono accedere a settori sensibili, siano descritti dettagliatamente. Inoltre, il numero dei collaboratori cui sono riconosciuti diritti d'accesso molto ampi deve essere minimo e costantemente verificato. 

Nell'ambito della sesta raccomandazione l'IFPDT invita la CSS a far verificare da un organismo esterno l'adeguatezza della sua prassi in materia di protezione dei dati ("audit"). Ad avviso dell'IFPDT, il numero delle persone autorizzate ad accedere a informazioni sensibili del servizio dei medici di fiducia, pari a circa 120, è troppo elevato. Il numero esatto in termini di proporzionalità e di opportunità deve essere definito sulla base di un'analisi approfondita e affidabile dei processi interni. Durante l'accertamento dei fatti, la stessa CSS non è stata in grado di fornire dati precisi riguardo al numero effettivo o necessario di persone autorizzate ad accedere a certe informazioni. Da ciò emerge chiaramente la necessità di una verifica esterna indipendente e sistematica. Verifica che sarà bene ripetere a scadenze regolari vista la complessità della situazione, i possibili cambiamenti e i rischi cui è esposta la protezione dei dati.  

Ricevute le raccomandazioni, la CSS ha trenta giorni per comunicare all'IFPDT se le accetta o le respinge. Nel caso in cui le raccomandazioni venissero respinte o non venissero osservate, l'IFPDT ha la possibilità di sottoporre il caso per decisione al Dipartimento federale dell'interno.

 


Pubblicato da

Incaricato federale della protezione dei dati e per la trasparenza
https://www.edoeb.admin.ch/edoeb/it/home.html

https://www.admin.ch/content/gov/it/start/dokumentation/medienmitteilungen.msg-id-12273.html