Premessa
Il 1 marzo 2019 l’Azienda sanitaria della Romagna riceveva una richiesta da parte di una propria paziente di risarcimento dei danni dalla medesima subiti a seguito della violazione dei suoi dati personali relativi alla salute compiuti dall’azienda sanitaria.
In particolare, emergeva che la paziente era stata ricoverata presso il reparto di ginecologia dell’Ospedale per eseguire un intervento di interruzione volontaria di gravidanza e, in tale ricovero, la stessa aveva espresso la volontà di non fornire informazioni sul proprio stato di salute a qualunque soggetto terzo, avendo fornito all’azienda il proprio personale numero di telefono per ricevere qualsiasi successivo contatto da parte della struttura sanitaria.
Durante le dimissioni della paziente, a seguito dell’intervento, l’infermiera della struttura sanitaria che stava consegnando alla stessa la relativa lettera di dimissioni e le stava altresì fornendo le ultime informazioni sulle terapie da effettuare, era costretta ad allontanarsi temporaneamente per assistere un’altra paziente del reparto in presenza di una situazione di emergenza. Quando l’infermiera faceva ritorno presso la stanza dove stava ultimando le dimissioni della paziente di cui si discute, quest’ultima era già andata via. In considerazione di ciò, l’infermiera per completare la comunicazione alla paziente delle informazioni sulle terapie da seguire, tentava di contattarla telefonicamente, utilizzando a tal fine il numero che era stato scritto sul frontespizio della cartella clinica dell’interessata (registrato altresì nell’anagrafica informatizzata della Azienda sanitaria), che la paziente aveva fornito durante un precedente ricovero presso la struttura sanitaria (per altre questioni) e tuttavia diverso rispetto a quello che la paziente stessa aveva indicato in occasione del ricovero per interruzione volontaria della gravidanza di cui si discute (che invece era stato annotato in una scheda all’interno della cartella clinica). Alla suddetta telefonata rispondeva un soggetto diverso dalla paziente (che, poi, è risultato essere il di lei marito) e quindi l’infermiera si presentava allo stesso dicendo di essere l’ “infermiera della ginecologia di Faenza” e chiedendo di poter parlare con la paziente per una terapia, senza fare alcun esplicito riferimento ai motivi del ricovero della paziente né all’intervento eseguito.
L’azienda sanitaria, appresa la lamentata violazione, comunicava la circostanza al Garante privacy, il quale apriva quindi l’istruttoria preliminare, da cui emergevano le circostanze di cui sopra, e conseguentemente notificava alla struttura sanitaria l’avvio del provvedimento per l’adozione delle misure correttive, invitando la ASL a fornire memorie difensive in merito.
Dall’istruttoria e dalla difese formulate dalla struttura sanitaria era emerso che:
- La ASL aveva definito i ruoli attribuiti ai soggetti abilitati al trattamento dei dati personali all’interno dell’Azienda e l’infermiera era stata designata come incaricata e all’interno del suo incarico era precisato che la stessa non poteva comunicare i dati che trattava ad alcuna persona terza (salvo che non vi fosse il consenso dell’interessato);
- Erano state adottate delle misure organizzative interne che prevedevano la redazione e sottoscrizione di un apposito modulo da parte dei pazienti con il diniego di fornire informazioni a soggetti terzi circa il proprio stato di salute e che tale modulo era stato sottoscritto dalla paziente nel caso di specie ed inserito all’interno della cartella clinica;
- L’azienda sanitaria non aveva comunicato alla interessata la violazione dei dati personali in quanto le informazioni date dall’infermiera al marito avevano riguardato soltanto il reparto in cui la paziente era stata ricoverata e non i motivi del ricovero;
- L’azienda sanitaria riteneva che la violazione non fosse attribuibile né a dolo né a colpa della ASL stessa, ma al fatto che la paziente si era allontanata al momento delle dimissioni e l’infermiera, non potendo completare le informazioni da rendere circa le terapie, era stata costretta a telefonare alla stessa e aveva usato un numero fornito dalla paziente, comunque non rivelando al terzo alcuna informazione connessa al motivo del ricovero.
La decisione del Garante
Preliminarmente il Garante ha ricordato che il Regolamento europeo (GDPR) prevede un generico divieto di trattare i dati rientranti fra le “particolari categorie” indicate dal regolamento medesimo, fra cui appunto i dati relativi allo stato di salute dell’interessato. Tali dati, infatti, possono essere trattati soltanto se sussiste una dalle condizioni previste dall’art. 9, par. 2, del GDPR.
In secondo luogo, anche qualora il trattamento sia ammissibile, il titolare deve attuare delle misure tecniche e organizzative idonee a garantire un livello di sicurezza dei dati che sia adeguato rispetto al rischio di violazione dei medesimi, anche tenendo conto del contesto e delle finalità del trattamento nonché della probabilità e della gravità della lesione di diritti e delle libertà dell’interessato.
Infine, il Garante ha ricordato che la normativa privacy stabilisce che le informazioni sullo stato di salute possono essere riferite solo all’interessato e possono invece essere comunicate a terzi soltanto se sussiste una idonea base giuridica o se vi è stato il consenso dell’interessato e previa sua delega scritta.
In particolare, per quanto concerne le strutture sanitarie, queste devono adottare delle misure di protezione dei dati, fra cui la messa in atto di procedure, anche di formazione del personale, dirette a prevenire che soggetti diversi dall’interessato possano fare una correlazione esplicita fra l’interessato stesso e il reparto o la struttura da cui poter ricavare l’esistenza di un particolare stato di salute dell’interessato.
In considerazione di quanto sopra, secondo il Garante, nel caso di specie è emerso che:
- L’infermiera ha usato un numero di telefono diverso da quello indicato dall’interessata per eventuali contatti;
- L’informazione resa dall’infermiera al terzo (cioè di essere un’infermiera del reparto di ginecologia di Faenza) ha fatto sì che il terzo abbia potuto effettuare una esplicita correlazione tra l’interessata e un reparto della struttura sanitaria, idoneo ad indicare uno specifico stato di salute;
- Le circostanze di cui sopra hanno quindi sostanziato una comunicazione di dati al terzo idonea a rivelare lo stato di salute dall’interessata, senza che sussistesse una idonea base giuridica e addirittura in violazione dell’espresso diniego di comunicazione dei dati a terzi rilasciato dall’interessata stessa;
- Ciò ha comportato un trattamento di dati personali in violazione del principio di correttezza, in quanto trattasi di condotta lesiva della fiducia e dell’affidamento che l’interessata aveva riposto nella struttura sanitaria cui si era rivolta.
Secondo il Garante, infine, tali violazioni sono state determinate dalla inefficacia delle misure tecniche e organizzative che erano state adottate dalla struttura sanitaria, mentre – nel caso specie – la condotta posta in essere dall’interessata (che si era allontanata volontariamente allorquando l’infermiera stava fornendole le informazioni terapeutiche) non è rilevante per valutare l’illeicità del trattamento dei dati da parte della struttura sanitaria.
Conseguentemente, il Garante ha confermato che il trattamento dati posto in essere dalla ASL risulta illecito e pertanto l’ha condannata al pagamento di una sanzione pecuniaria pari a Euro 50.000.
Volume consigliato
Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali
Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder. Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.
Monica Mandico | 2019 Maggioli Editore
32.00 € 25.60 €
Scrivi un commento
Accedi per poter inserire un commento