In considerazione di ciò, il Garante richiedeva informazioni alla Dottoressa interessata, la quale forniva risposta affermando che, innanzitutto, i fatti oggetto di segnalazioni avevano carattere episodico legato alla situazione di emergenza pandemica, tenuto conto sia “dell’importanza del corretto trattamento del dato personale” sia del fatto che le prescrizioni non venivano lasciate incustodite; poi, la stessa specificava che, data la situazione emergenziale, era importante fare ricorso alla ricetta dematerializzata, nonostante il regime di non obbligatorietà.
L’Autorità inviava alla stessa una nota per comunicarle l’avvio del procedimento a suo carico e per invitarla a far pervenir scritti difensivi ovvero per richiedere di essere sentita dalla stessa Autorità. Nello stesso atto, il Garante specificava che ai sensi dell’art. 5, par.1, lett. f) i dati personali, in virtù del principio di integrità e riservatezza, devono essere trattati in modo da garantire un’adeguata riservatezza, anche al fine di impedire l’accesso o l’utilizzo non autorizzato di dati e dei mezzi impiegati per la procedura di trattamento stessa.
Inoltre, per lo specifico ambito sanitario, l’art. 83 del Codice privacy prevede che i soggetti di cui agli artt. 78, 79 e 80 dello stesso (ossia, rispettivamente: il medico di medicina generale o il pediatra; le strutture pubbliche o private operanti in ambito sanitario; i soggetti competenti di servizi o strutture di altri soggetti pubblici, diversi da quelli ex art. 79, operanti in ambito sanitario o della protezione e sicurezza sociale) devono adottare “misure idonee a garantire il rispetto dei diritti, delle libertà fondamentali e della dignità degli interessati, nonché del segreto professionale, fermo restando quanto previsto dalle leggi e dai regolamenti in materia di modalità di trattamento dei dati sensibili e di misure minime di sicurezza”.
Infine il Garante affermava che, ai sensi dell’art. 9 del GDPR e dell’art. 84 del Codice privacy, le informazioni relative allo stato di salute di un soggetto possono essere comunicate a terzi solo in presenza di un idoneo presupposto giuridico o previa delega dell’interessato e indicazione dello stesso.
In considerazione di tutto ciò, il Garante accertava che la dottoressa aveva attuato un trattamento dei dati personali non conforme alle disposizioni dettate in materia, violando in particolare sia il disposto degli artt. 5 e 9 sia l’art. 32 del GDPR, in virtù del quale il titolare del trattamento deve adottare misure adeguate al fine di garantire e dimostrare la conformità del trattamento alle disposizioni del Regolamento.
Leggi l’Ordinanza ingiunzione del 28 ottobre 2021 del Garante per la protezione dei dati personali
Le memorie difensive
Negli scritti difensivi fatti pervenire al Garante e durante l’audizione innanzi all’Autorità, la dottoressa specificava quanto segue:
- dichiarava, innanzitutto, che le prescrizioni mediche venivano apposte in buste chiuse custodite da lei stessa, in quanto sempre presente presso il suo ambulatorio;
- dichiarava che la modalità adottata era richiesta in forza della situazione sanitaria emergenziale, che non sarebbe stata adottata in una situazione di normalità;
- specificava che per mezzo della modalità contestata poteva garantire ingressi contingentati nel proprio ambulatorio (limitazione che era stata incoraggiata da un’ordinanza della protezione civile);
- specificava, inoltre, durante l’audizione, che le buste contenevano non ricette mediche, bensì avvisi sulle corrette modalità di contenimento del contagio da Covid-19;
- precisava, poi, che nessuno dei suoi pazienti aveva reclamato a fronte delle modalità contestate.
Conclusioni del Garante
A seguito dell’esame degli scritti difensivi e dall’audizione della stessa, il Garante ha accertato che la stessa aveva violato quanto disposto negli artt. 5, 9 e 32 del GDPR.
In particolare, il Garante ha ricordato che l’art. 5 del GDPR stabilisce i principi in materia di trattamento dei dati personali i quali devono essere posti a fondamento della procedura attuata: si tratta dei principi di liceità, correttezza, trasparenza, di minimizzazione, conservazione, integrità dei dati.
L’art. 9, invece, formalizza il divieto generale di trattamento dei dati definiti “sensibili”, in riferimento a categorie particolari di dati personali, tra i quali vi rientrano i dati idonei a fornire informazioni, anche indirettamente, sulla salute dell’interessato.
Infine, l’art. 32, come sopra detto, dispone che il titolare del trattamento è obbligato a predisporre misure organizzative e tecniche, da aggiornare periodicamente, idonee a garantire e dimostrare la conformità del trattamento stesso alle norme del GDPR.
Il Garante, ha ritenuto insufficienti le deduzioni riportate dalla dottoressa al fine di consentire l’archiviazione del caso. Infatti, l’Autorità ha ritenuto che le ragioni addotte dalla stessa per giustificare l’adozione delle modalità contestate non sono avvalorate da idonee valutazioni di carattere tecnico e giuridico.
Inoltre, il Garante ha precisato che, grazie alla documentazione fotografica allegata alla segnalazione, è stato possibile accertare che le prescrizioni mediche apposte sul davanzale della finestra erano liberamente visibili e accessibili a chiunque si trovasse a transitare nei pressi della finestra dello studio medico, in quanto non erano contenuti in una busta chiusa, come, invece, affermato dalla dottoressa nelle memorie e durante l’audizione.
Pertanto, l’Autorità ha concluso che la dottoressa aveva attuato un trattamento dei dati personali non conforme delle disposizioni in materia di trattamento dei dati personali, violando il disposto degli artt. 5, 9 e 32 del GDPR.
In considerazione di ciò, il Garante per la protezione dei dati personali ha adottato l’ordinanza ingiunzione in commento, ordinando alla dottoressa di pagare, a titolo di sanzione amministrava pecuniaria, la somma di €.10.000, oltre ad infliggere la sanzione accessoria di pubblicazione del provvedimento in questione sul sito web del Garante.
Volume consigliato
Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali
Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder. Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.
Monica Mandico | 2019 Maggioli Editore
Scrivi un commento
Accedi per poter inserire un commento