Indice
1. I fatti
Un reclamante comunicava al Garante per la protezione dei dati personali di aver ricevuto da parte di un medico presso il quale era (o era stato) in cura una email al proprio indirizzo email personale, che egli aveva rilasciato al medico al fine di ricevere comunicazioni per scopi legati al rapporto medico-paziente, avente ad oggetto un messaggio promozionale su di una iniziativa di carattere legale da parte di uno studio legale relativamente al Green Pass.
Il Garante apriva il procedimento nei confronti del medico e lo invitava ad esporre la propria posizione sugli addebiti mossi dal reclamante.
Il medico riconosceva di aver inviato la comunicazione email oggetto di reclamo e precisava di averne inviata soltanto una a 1.282 suoi pazienti, utilizzando gli indirizzi email di questi ultimi che aveva ottenuto per finalità di comunicazioni relative al rapporto medico-paziente. Tuttavia, il medico evidenziava, in primo luogo, che nell’informativa comunicata ai suddetti pazienti e nel conseguente consenso da questi rilasciati era specificato che i dati non sarebbero mai stati usati per fini pubblicitari o per attività commerciali o promozionali o per vendite dirette. La comunicazione contestata, infatti, non aveva avuto ad oggetto la proposta di vendita di prodotti o servizi, ma semplicemente una informazione di un’iniziativa legale, alla quale egli era tra l’altro totalmente estraneo, che era stata utilizzata solo per suscitare una reazione del paziente destinatario della email e così indurlo a parlare al medico delle proprie vicende e dei propri problemi, in modo che il medico potesse dargli un consiglio professionale.
In secondo luogo, il medico faceva presente di aver utilizzato soltanto il dato relativo all’indirizzo email dei propri pazienti, senza alcun trattamento di altri dati personali o relativi alla salute, e che – ricevute le lamentele del reclamante – aveva recepito la sua volontà, scrivendogli immediatamente e scusandosi per l’invio della email e garantendo che non avrebbe più fatto invii di comunicazioni simili.
Potrebbero interessarti anche
- Il parere del Garante privacy sul decreto per l’attuazione del processo amministrativo telematico
- La privacy nella Pubblica Amministrazione e la sua tutela
- Il Modello 231, lo smart working e information security in tempo di covid
2. Le valutazioni del garante
Preliminarmente, il Garante ha ribadito le principali disposizioni in materia di protezione dei dati personali, evidenziando che per dato personale si intende qualsiasi informazioni che riguarda una persona fisica identificata o identificabile (cioè l’interessato). Inoltre, il Regolamento europeo per la protezione dei dati personali (GDPR) stabilisce che il trattamento dei dati personali può essere considerato lecito soltanto se è fondato sul consenso dell’interessato o su un’altra base legittima prevista dal GDPR o dal diritto dell’Unione. Per quanto riguarda il consenso, questo è identificato in qualsiasi manifestazione di volontà dell’interessato che sia libera, specifica, informata e inequivocabile e con la quale egli acconsenta a che i propri dati vengano trattati. Spetta, quindi, al titolare del trattamento dimostrare che l’interessato abbia manifestato il proprio consenso.
In secondo luogo, il Garante ha ribadito che, anche in caso di consenso dell’interessato, il titolare del trattamento deve comunque rispettare i principi fondamentali in materia di protezione dei dati personali. Precisamente i principi di liceità, correttezza e trasparenza, secondo cui i dati devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato, nonché il principio di limitazione delle finalità del trattamento, secondo cui i dati devono essere raccolti per delle finalità determinate, esplicite e legittime e successivamente devono essere trattati in modo che il trattamento non sia incompatibile con tali finalità. Pertanto, il titolare può trattare i dati raccolti per delle finalità diverse da quelle inizialmente previste, soltanto se l’ulteriore trattamento è compatibile con la originaria finalità per cui i dati sono stati raccolti.
Per quanto riguarda l’uso del medico di un dato relativo al proprio paziente, per una finalità ulteriore rispetto a quella di fornire la propria prestazione sanitaria (finalità per cui il dato era stato rilasciato dal paziente), il Garante ha evidenziato che dei trattamenti ulteriori, anche se attinenti in senso lato alla cura del paziente, ma non strettamente necessari, richiedono una distinta base giuridica. In altri termini, il paziente deve rilasciare un apposito consenso oppure deve sussistere una diversa base giuridica di legittimità prevista dal GDPR.
Nel caso di specie, il medico ha usato l’indirizzo di posta elettronica del paziente per inviare una comunicazione non necessaria per la cura del medesimo per cui il dato era stato rilasciato dal paziente medesimo.
Tra l’altro, il Garante ha ricordato che l’uso di email per inviare materiale pubblicitario o per la vendita diretta di prodotti o servizi nonché per il compimento di ricerche di mercato o comunicazioni commerciali è consentito solo con il consenso dell’utente.
3. La decisione del Garante
In considerazione di quanto sopra, il Garante ha ritenuto che l’invio da parte del medico ai propri pazienti di un’email contenente un messaggio di promozione di un’iniziativa a parte di uno studio legale inerente al Green Pass, in quanto non compatibile con la finalità per cui detti pazienti avevano rilasciato il proprio consenso al trattamento del dato al medico, costituisce una violazione della normativa privacy e dei principi sopra richiamati.
Tuttavia, in considerazione del fatto che l’email è stata inviata dal medico nascondendo gli indirizzi di tutti i destinatari e che al Garante è pervenuto il reclamo di un solo paziente, nonché del fatto che il medico in questione non aveva alcun precedente in ordine alla violazione della normativa privacy e si è immediatamente scusato con il paziente, assicurandolo che l’accaduto non si sarebbe più verificato, il Garante ha ritenuto la violazione de quo come una violazione minore e pertanto lo ha sanzionato con una semplice ammonizione.
Volume consigliato
GDPR: ISPEZIONI E SANZIONI DEL GARANTE
L’ebook analizza quelli che sono i compiti e i poteri dell’Autorità di controllo e del Garante italiano per la protezione dei dati personali, trattando dei mezzi di tutela dei diritti dell’interessato, nonché della procedura istruttoria e delle conseguenze delle violazioni accertate, in termini di risarcimento.Particolare attenzione viene data ai poteri ispettivi e di controllo, nonché ai profili sanzionatori.Completa il testo, l’analisi dei Regolamenti 2019 del Garante.
Stefano Comellini | 2020 Maggioli Editore
Scrivi un commento
Accedi per poter inserire un commento