06.5921743
consulenza@legislazionetecnica.it
Garante Privacy

Divulgazione dei dati da parte di un medico convenzionato e sanzioni all’azienda sanitaria: il ruolo della formazione

Con provvedimento del 12 dicembre u.s. il Garante Privacy, in esito ad un procedimento ispettivo, ha sanzionato un’Azienda sanitaria per aver diffuso dati sulla salute in assenza di un idoneo presupposto giuridico, in violazione degli artt. 5, par. 1, lett. c) e f) e 9 del Regolamento (UE) 2016/679 e degli obblighi in materia di sicurezza del trattamento, di cui all’art. 32 del medesimo Regolamento.

Il caso è interessante perché proviene da una segnalazione ex art. 33 GDPR svolta dalla stessa Azienda, con cui l’ente riportava che un medico convenzionato, operante presso gli ambulatori della stessa struttura, aveva inoltrato una comunicazione sia a personale interno sia a soggetti esterni (in particolare l’ordine dei medici di appartenenza) alla quale era allegata la lista dei pazienti visitati; tale comunicazione e tale lista erano state inviate in chiaro rendendo pertanto leggibili una serie di dati quali nome, cognome, data di nascita, residenza del paziente, sede di erogazione prestazione, prestazione erogata, indicazione su paziente pagante, esente (con indicazione del codice di esenzione), CF e numero di cellulare.

Il Garante rispetto al trattamento svolto dal medico, ripercorrendo gli obblighi a tutela dei dati sulla salute dei pazienti, ha ribadito che:

  • le informazioni sullo stato di salute possono essere comunicate solo all’interessato e possono essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico;
  • per “dati relativi alla salute” si intendono i dati riguardanti lo stato di salute fisica o mentale passata, presente o futura dell’interessato nonché le informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere i servizi di assistenza sanitaria o della prestazione di cui alla direttiva 2011/24/UE (concernente l’applicazione dei diritti dei pazienti relativi all’assistenza sanitaria transfrontaliera che definisce le condizioni per cui un paziente può recarsi in un altro paese dell’UE per ricevere cure mediche e le condizioni per il rimborso delle spese);
  • per comunicazione si intende la possibilità di far conoscere i dati personali a uno o più soggetti determinati diversi dall’interessato;
  • attiene ad un dato sulla salute anche la comunicazione della sola esigenza di un trattamento sanitario che sottende pertanto l’esistenza di una malattia, non essendo necessaria la specificazione del trattamento o della malattia in questione (cfr. Corte di Cassazione, Sentenza n. 28417/2023)

Rispetto, invece, all’obbligo del titolare del trattamento di agire in conformità ai principi di minimizzazione, integrità e riservatezza nel trattamento dei dati, l’Autorità ha rappresentato che l’Azienda avrebbe dovuto fornire specifiche istruzioni agli operatori sanitari che trattano dati sulla salute di pazienti dell’Azienda e avrebbe dovuto richiamare l’attenzione degli operatori sanitari sulla disciplina in materia di protezione dei dati personali e sulla maggiore protezione che meritano i dati sulla salute che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, considerato che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali.

L’Autorità, pertanto, segnalando l’importanza prima della formazione da erogare ai sanitari e poi anche di istruzioni e vademecum che l’Azienda dovrebbe fornire in maniera proattiva, nonché controllarne il rispetto, ha concluso che il sanitario avrebbe agito correttamente solo se -pur rispondendo alla richiesta sul proprio orario di lavoro con comunicazione e allegazione elenco pazienti-  avesse operato in osservanza del principio di minimizzazione, ovvero omettendo di comunicare le informazioni relative ai pazienti, alla tipologia e sede di erogazione della prestazione e al codice di esenzione.

Alla luce della ricostruzione dei fatti, il Garante ha ritenuto che la comunicazione effettuata dal professionista sanitario dei dati personali e relativi alla salute di 13 pazienti concretizza un trattamento illecito, avvenuto in violazione dei principi di liceità, finalità e di minimizzazione dei dati ed in assenza di una base giuridica e, per l’effetto, ha comminato all’Azienda la sanzione di € 5.000,00 per la violazione degli artt. 5 lett. c) e f), 9 e 32 del Regolamento UE 2016/679.

L’Autorità, inoltre, pur ritenendo che la violazione, stante la tipologia di dati oggetto dell’incidente, abbia un livello di gravità “alto”, nella valutazione della sanzione da comminare ha comunque tenuto in debita considerazione le seguenti circostanze:

  1. il Garante ha preso conoscenza dell’evento a seguito della notifica svolta dall’Azienda ai sensi dell’art. 33 del Regolamento e non sono pervenuti reclami o segnalazioni in ordine alla violazione da parte di terzi;
  2. il titolare, al fine di prevenire l’accadimento di incidenti analoghi, ha attivato una robusta attività formativa verso il personale, pianificandone una più specifica per i soli professionisti sanitari, e ha cooperato con l’Autorità in ogni fase dell’istruttoria, al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi, anche chiedendo ai destinatari della mail la cancellazione dei dati impropriamente ricevuti;
  3. il titolare è stato già destinatario di un provvedimento sanzionatorio del Garante per precedenti violazioni pertinenti (provv. 22 febbraio 2024, n. 97, doc. web n. 10001279).

Da ultimo, l’Autorità ha disposto la pubblicazione dell’ordinanza di ingiunzione e del provvedimento sul proprio sito nonché l’annotazione delle violazioni e delle misure adottate nel registro interno.

Allegati

Provvedimento Garante Privacy n. 10102444 del 12 dicembre 2024

Back To Top