Provvedimento Garante Privacy n. 176 del 1° ottobre 2020
Fatto
Il Garante per la privacy ha ricevuto una notifica da parte dell’ Azienda Usl di Bologna, con cui quest’ultima ha denunciato all’ autorità un evento costituente violazione di dati personali connesso all’invio da parte della stessa struttura sanitaria di una segnalazione di malattia infettiva per un caso di scabbia di un minorenne.
In particolare, l’ operatore della struttura sanitaria che si era occupato della procedura di segnalazione della malattia infettiva, a seguito degli esiti dell’intervista epidemiologica effettuata con i genitori del minore, non aveva utilizzato il modello ordinario di comunicazione messo a disposizione dall’ Azienda (il quale “contiene unicamente le informazioni adeguate, pertinenti e limitate alle finalità di profilassi, senza alcuna informazione/dato che consenta l’identificazione del caso indice“), ma aveva modificato il suddetto modello di lettera aziendale contenente le raccomandazioni sanitarie da rispettare, inserendo due distinti destinatari: l’istituto scolastico e l’Associazione locale frequentata dal minore (la quale promuove l’autonomia, la partecipazione e l’integrazione di persone con Disturbi Specifici dell’Apprendimento). Dopo di che, l’operatore aveva proceduto ad inviare la lettera congiuntamente ai due destinatari e pertanto aveva permesso a questi ultimi di venire a conoscenza di quale fosse stato l’altro destinatario. In altri termini, l’operatore non aveva predisposto due lettere separate per ognuno dei due destinatari, con l’indicazione in ognuna di esse del solo destinatario della comunicazione; ma aveva invece inserito i nominativi di entrambi i destinatari in un’ unica lettera che poi era stata spedita sia alla scuola che all’associazione locale frequentata dal minore. A causa di tale modifica da parte dell’operatore, è stato possibile l’identificazione indiretta del minore attraverso l’incrocio dei due dati: frequentazione dell’ istituto scolastico destinatario della lettera e frequentazione dell’associazione locale destinataria anch’essa della lettera. Conseguentemente il minore ha dovuto subire un iniziale isolamento da parte dei compagni di scuola.
L’Azienda sanitaria, nella propria segnalazione al Garante per la protezione dei dati personali, ha anche dichiarato di aver avviato degli approfondimenti disciplinari nei confronti dell’operatore che aveva modificato il modello aziendale e inviato le lettere nonchè di aver organizzato una giornata formativa per tutti gli operatori impegnati nel processo sanitario di sorveglianza, al fine di garantire il corretto e sicuro trattamento dei dati personali dei pazienti. Infine, l’a ASL bolognese ha altresì dichiarato di aver subito dopo la presa di conoscenza dell’ evento, instaurato un rapporto di fiducia con i genitori del minore, concretizzato attraverso un contatto immediato e continuativo e una contestuale offerta di supporto psicologico al bambino, che ha permesso di eliminare le conseguenze negative della illecita diffusione dei dati dell’interessato.
Una volta ricevuta la segnalazione, l’Autorità Garante ha ritenuto di avviare un procedimento per l’adozione dei provvedimenti sanzionatori a carico dell’Azienda, convenendo con quest’ultima sul fatto che la procedura utilizzata dall’operatore, nell’ambito delle comunicazioni previste dalla disciplina sulla sorveglianza sanitaria delle malattie infettive, avesse consentito ai destinatari della stessa di identificare l’interessato. Infatti, mediante l’utilizzo improprio e ingiustificato di un dato sensibile riguardante lo stato di salute, quale la partecipazione del minore alle attività di una specifica Associazione locale per i ragazzi con Disturbi Specifici dell’Apprendimento, è stato facile per la scuola e per i compagni di classe capire chi fosse il bambino.
A seguito della comunicazione dell’avvio del procedimento sanzionatorio, l’Azienda ha esercitato il proprio diritto di difesa, presentando le sue memorie difensive nelle quali ha sostenuto che:
- dal procedimento disciplinare attivato e concluso nei confronti dell’operatore, la struttura sanitaria titolare del trattamento ha potuto riscontrare quest’ultimo aveva agito in buona fede, con l’unico scopo di applicare correttamente le misure di profilassi previste per le esigenze di sanità pubblica;
- la tempestiva presa in carico del problema da parte dei professionisti del reparto di Pediatria della struttura sanitaria, l’instaurazione di un rapporto di fiducia con la famiglia, l’attenzione della ASL all’iniziale disagio del bambino, hanno determinato la eliminazione dei possibili effetti negativi sul minore.;
- proprio per evitare che l’ episodio di illecita comunicazione dei dati sanitari possa nuovamente capitare, la struttura sanitaria ha organizzato una giornata di formazione per tutti i propri operatori.
Infine, nel corso della propria audizione dinanzi al Garante, l’Azienda sanitaria ha anche precisato che, a conferma della insussistenza di conseguenze dannose a carico dell’interessato, i genitori del minore non hanno avviato nessuna procedura di risarcimento danni nei suoi confronti.
La decisione del Garante
Il Garante per la protezione dei dati personali, al termine dell’istruttoria, ha confermato le valutazioni effettuate all’avvio del procedimento sanzionatorio, rilevando nella condotta dell’operatore sanitario descritta in premessa un trattamento illecito di dati sensibili riguardanti la salute del minore. Infatti, secondo l’Autorità, se pur è vero che l’operatore sanitario ha avuto l’obbligo di notificare la presenza di una persona con una malattia infettiva negli istituti da quest’ultimo frequentati, per motivi di interesse pubblico, ciò non autorizza a diffondere, anche se indirettamente, ulteriori dati sulla salute del minore, per di più atti a identificarlo. Nel caso in questione, l’operatore avrebbe potuto scongiurare il trattamento illecito dei dati mediante la spedizione ai due destinatari di due comunicazioni distinte, che non avrebbero permesso ai destinatari di conoscere gli altri destinatari e così di incrociare i dati relativi alle frequentazioni scolastiche e associative del minore e così risalire all’identità dello stesso.
Per questi motivi, il Garante ha ritenuto che l’Azienda abbia violato i principi di base del trattamento dei dati di cui all’art. 5, del Regolamento europeo 2016/679, poiché non è stata garantita un’adeguata sicurezza delle informazioni personali, nonché la violazione dell’art. 9 del Regolamento medesimo, in quanto sono stati comunicati dati relativi alla salute di un minore in assenza di un idoneo presupposto giuridico.
Nonostante l’accertata violazione, il Garante non ha comminato nessuna sanzione pecuniaria, ritenendo sufficiente una mera ammonizione, in considerazione dei seguenti elementi del caso concreto: l’episodio risulta essere isolato, l’Azienda ha notificato all’autorità garante l’accaduto, non sono giunte al Garante reclami o segnalazioni sull’accaduto e il fatto che la stessa struttura sanitaria abbia dottato delle misure per accertare la responsabilità disciplinare dell’operatore interessato, per aiutare il minore e i suoi genitori e per evitare il ripetersi di simili episodi.
Volume consigliato
Scrivi un commento
Accedi per poter inserire un commento