Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 80 000 euro mot Azienda Ospedaliero-Universitaria Careggi för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att universitetssjukhuset sedan 2011 drivit ett journalsystem som gjorde det möjligt för läkare att komma åt journaler från andra avdelningar genom att i systemet påstå att de inhämtat muntligt samtycke från patienten, trots att patienterna inte var medvetna om systemets existens. Systemet saknade även möjlighet för patienter att dölja enskilda känsliga dokument och hade inga automatiska varningssystem för att upptäcka obehörig åtkomst.
Garante konstaterade att behandlingen av personuppgifter var olaglig då universitetssjukhuset i 14 år drivit journalsystemet utan att informera patienterna eller inhämta deras samtycke, samt tillåtit alltför vida åtkomstbehörigheter och saknat adekvata säkerhetsåtgärder. Överträdelserna gällde principerna om laglighet, korrekthet och öppenhet enligt artikel 5.1 (a) GDPR och integritet och konfidentialitet enligt artikel 5.1 (f) GDPR, kravet på samtycke för behandling av känsliga hälsouppgifter enligt artikel 9 GDPR, skyldigheten att bygga in dataskydd från början i systemutformningen enligt artikel 25 GDPR, och kravet på adekvata säkerhetsåtgärder inklusive loggning och varningssystem enligt artikel 32 GDPR.
Garante utfärdade en sanktionsavgift på 80 000 euro. Sanktionsavgiften motiverades av överträdelsernas höga allvarlighetsgrad, det stora antalet berörda patienter och den långa varaktigheten.