Richiesta dati sensibili via mail: intervento del Garante

Scarica PDF Stampa Allegati

La richiesta di informazioni relative allo stato di salute e agli orientamenti sessuali mediante un questionario inviato per email è illecita.
Per approfondimenti si consiglia: Compendio breve sulla privacy

Garante privacy -provvedimento n. 289 del 6-07-2023

GarantePrivacy-9920292-1.0.pdf 50 KB

Iscriviti alla newsletter per poter scaricare gli allegati

Grazie per esserti iscritto alla newsletter. Ora puoi scaricare il tuo contenuto.

Indice

1. I fatti: mail con richiesta di questionario


Il Garante per la protezione dei dati personali aveva ricevuto numerose segnalazioni e reclami provenienti da varie persone, la quali sosteneva che un istituto sanitario del Lazio, che si occupava di malattie infettive, aveva inviato un questionario, alle persone che si erano dichiarate interessate e ricevere la vaccinazione contro il vaiolo delle scimmie, con la richiesta di compilazione del medesimo affinché l’istituto potesse effettuare una valutazione sul rischio per il programma vaccinale.
In particolare, nel suddetto questionario, veniva richiesto agli interessati, che erano identificati con dati anagrafici e di contatto, di rispondere ad alcuna domande selezionando una o più risposte predefinite, come ad esempio: se si ““Rientra in una delle seguenti definizioni: gay – transgender – bisessuale – uomo che ha rapporti sessuali con uomini (MSM)”; se si “ha avuto una storia recente (ultimi 3 mesi) con più partner sessuali?” o si “Ha partecipato a eventi di sesso di gruppo? a incontri sessuali in locali/club/cruising/saune?”; se si “Ha avuto una recente infezione sessualmente trasmessa (sifilide, gonorrea, clamidia) con almeno un episodio nell’ultimo anno?” o se si “Ha abitudine con la pratica di associare gli atti sessuali al consumo di droghe chimiche (Chemsex)?“.
A seguito delle predette segnalazioni, il Garante, prima chiedeva informazioni all’istituto in questione e, dopo, ritenendo che ci fossero delle possibili violazioni della normativa privacy, gli comunicava l’apertura del procedimento e lo invitava a depositare eventuali memorie difensive.
In primo luogo, l’istituto si è difeso sostenendo che nel periodo iniziale della campagna vaccinale contro il vaiolo delle scimmie le richieste di prenotazione erano superiori rispetto alle disponibilità di vaccino nella disponibilità dell’istituto e che quest’ultimo era l’unico centro vaccinale per l’intera regione Lazio.
Infatti, l’istituto era stato fornito di sole 1.200 dosi, che permettevano la vaccinazione di sole 600 persone (perché ogni vaccino comporta l’inoculazione di due dosi), mentre le richieste di prenotazione nel primo giorno erano state ben 300 e ulteriori 400 richieste erano giunte nei tre giorni successivi.
Pertanto, l’istituto è stato costretto a raccogliere informazioni relative allo stato di salute e alla vita sessuale delle persone che avevano richiesto la prenotazione del vaccino, in modo da poter selezionare più velocemente possibile i soggetti da vaccinare per primi in base al rischio di contrarre la malattia.
In particolare, la procedura di prenotazione prevedeva che ogni persona interessata a vaccinarsi inviasse una email all’indirizzo messo a disposizione dall’istituto e, tramite un sistema di risposta automatica, quest’ultimo inviava informazioni sulla vaccinazione, invitando l’interessato a rivolgersi ai centri di malattie infettive se era già seguito da questi oppure, in caso contrario, invitando l’interessato a compilare la sceda di valutazione contenente il questionario – oggetto di segnalazione al Garante – redatto in base ai criteri della circolare ministeriale (la quale identificava come persone a rischio malattia, quelle con particolari comportamenti sessuali o che erano già affette da altre patologie a trasmissione sessuale, e individuava nei centri vaccinali i soggetti deputati a valutare nel caso concreto la sussistenza dei criteri di rischio). Infine, la richiesta di vaccinazione, con il predetto questionario compilato, veniva valutata dal personale medico per verificare se la persona che richiedeva il vaccino rispondesse ai criteri individuati nella circolare ministeriale legati al suo comportamento sessuale e quindi se vaccinare o meno l’interessato e, in caso positivo, se assegnargli uno status prioritario.
In secondo luogo, l’istituto sosteneva che, per mero errore materiale, non era stata allegata alla predetta scheda di valutazione l’informativa privacy, ma che comunque detta informativa era presente in sede di vaccinazione ed era acclusa al fascicolo di ogni interessato che si era vaccinato.
Inoltre, l’istituto precisava che, dopo il primo periodo emergenziale di inizio della campagna vaccinale (e quindi riequilibratosi il rapporto tra le dosi di vaccino e il numero di richiedenti la vaccinazione), aveva modificato il procedimento di richiesta della vaccinazione, prevedendo che non fossero più raccolti i dati sulle condizioni che rendono la persona come eleggibile al vaccino. In particolare, a seguito della richiesta di vaccinazione inviata dall’interessato, quest’ultimo riceve una risposta automatica sui criteri di eleggibilità, con allegata l’informativa privacy e con la indicazione di inviare la richiesta di vaccinazione ad un altro indirizzo email specifico.  
Infine, l’istituto ha assicurato che le email di prenotazione attualmente sono cancellate entro le 24 ore dalla loro ricezione e che le email ricevute nella prima fase della campagna vaccinale sono state cancellate e non è mai stata creata alcuna banca dati contenenti le informazioni contenute nei questionari.


Potrebbero interessarti anche:

2. Le valutazioni del Garante


Preliminarmente, il Garante ha ricordato che i dati personali devono essere trattati in modo lecito, corretto e trasparente, fornendo preventivamente agli interessati le informazioni di cui all’art. 13 del Regolamento europeo per la protezione dei dati personali (GDPR) e che tale informativa privacy deve essere resa in una forma concisa, trasparente, intelligibile e facilmente accessibile all’interessato, con un linguaggio semplice e chiaro.
Inoltre, in base ai principi di integrità e riservatezza, i dati personali devono essere trattati in maniera da garantire un’adeguata sicurezza, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.
Posto che, nel caso di specie, i soggetti che rientrano nelle categorie considerate ad alto rischio di contagio sono individuati in base alle loro abitudini sessuali e alle loro particolari condizioni di salute, le suddette informazioni godono di una tutela rafforzata, in quanto il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali.
Infatti, per detti dati – poiché sono inquadrabili nella categoria dei dati relativi alla salute, alla vita sessuale e all’orientamento sessuale – il GDPR prevede un generale divieto di trattamento.
Inoltre, il titolare del trattamento deve tenere conto dei potenziali rischi esistenti per gli interessi e diritti dell’interessato, impedendo effetti discriminatori nei confronti di quest’ultimo sulla base dell’orientamento sessuale.
Nel caso di specie, la circolare del ministero della salute ha individuato i soggetti a più alto rischio di contrarre il vaiolo delle scimmie, coloro che hanno delle malattie sessualmente trasmissibili e che hanno comportamenti sessuali ad alto rischio. Tuttavia, il Ministero ha chiarito che non è prevista l’identificazione preventiva della platea dei soggetti da vaccinare e che, nel rispetto del principio di minimizzazione dei dati, non è prevista l’indicazione di una categoria a rischio. Anzi, la circolare chiarisce che le informazioni circa lo stato di salute e l’orientamento sessuale degli interessati siano raccolte nell’ambito del rapporto medico-paziente e nel rispetto degli obblighi di riservatezza, anche di tipo deontologico, cui il professionista sanitario è tenuto.
In considerazione di ciò, la raccolta delle suddette informazioni delle persone che erano interessate alla vaccinazione già al momento della prenotazione e non invece nel successivo momento del colloquio tra il medico e l’interessato, nonché il non aver fornito agli interessati l’informativa privacy già al momento in cui è stato inviato il questionario, comporti una violazione dei principi di liceità, correttezza, trasparenza e integrità nonché di riservatezza previsti dal GDRP.
In altri termini, la raccolta di tali dati sulla salute e sulla vita sessuale degli interessati avrebbe dovuto essere effettuata nell’ambito del rapporto medico – paziente e non in fase di prenotazione del vaccino attraverso la raccolta delle email contenenti le risposte al questionario inviate all’indirizzo email indicato dall’istituto.
Inoltre, l’informativa privacy avrebbe dovuto essere resa dal titolare del trattamento nel momento in cui i dati sono stati raccolti e quindi unitamente all’invio del questionario (e non successivamente, cioè al momento della vaccinazione).

3. La decisione del Garante


In considerazione di quanto sopra, il Garante ha ritenuto che i trattamenti effettuati dall’istituto sanitario in questione fossero illeciti.
Tuttavia, tenuto conto che il vaiolo delle scimmie è stata dichiarata emergenza sanitaria globale e che l’istituto in questione era l’unico a somministrare il vaccino per tutte la regione Lazio, nonché che la circolare ministeriale faceva riferimento proprio alle condizioni di salute e all’orientamento sessuale per valutare l’eleggibilità del richiedente alla somministrazione del vaccino e che i dati personali in questione sono stai cancellati e mai raccolti in una banca dati, il Garante ha considerato la suddetta violazione della normativa privacy come “minore” e ha ritenuto sufficiente ammonire il titolare del trattamento.

Volume consigliato

FORMATO CARTACEO + ILIBRO

Compendio breve sulla privacy

L’obiettivo del libro è quello di illustrare la disciplina privacy in maniera informale, ma non per questo meno puntuale. Spesso, il tenore giuridico rende difficilmente comprensibile il senso, ovvero il contenuto e la ratio legis, ai non specialisti. Parafrasarne il testo, con l’ausilio di esempi e casi concreti, invece, consente di entrare immediatamente in argomento senza alcuna anticamera, pur restando imprescindibile la consultazione della disposizione ufficiale. Nello specifico, in questa monografia, la lettura della disciplina sulla protezione dei dati personali è guidata dall’articolazione del GDPR, integrato dai provvedimenti dell’Autorità Garante ed esplicato attraverso le pronunce della giurisprudenza su fattispecie particolari. In tal modo, da un lato viene facilitata la comprensione del dettato normativo, dall’altro il dato normativo assume la propria peculiare sostanza attraverso l’applicazione concreta. Questo manuale, grazie al suo taglio editoriale, intende rivolgersi non soltanto a professionisti e cultori della disciplina, ma anche a coloro che, nelle Pubbliche Amministrazioni e nelle imprese, si trovano a dover affrontare la materia e, altresì, a coloro che devono sostenere prove concorsuali. Jean Louis a Beccara Avvocato, certificato Responsabile della protezione dei dati (DPO) – Cepas Srl (Gruppo Bureau Veritas Italia Spa). Direttore dell’Ufficio Organizzazione e gestione della privacy della Provincia autonoma di Trento. Docente in corsi di formazione, relatore in convegni, nonché autore di numerose monografie e pubblicazioni in materia su riviste scientifiche e specialistiche.

Jean Louis a Beccara | Maggioli Editore 2021

Avv. Muia’ Pier Paolo

Scrivi un commento

Accedi per poter inserire un commento