La comunicazione a terzi del reparto in cui è stato ricoverato il paziente costituisce trattamento illecito di dati relativi alla salute

Garant de la protection des données personnelles: Ordinanza ingiunzione nei confronti di Azienda USL della Romagna – 27 Janvier 2021
prémisse
Il 1 mars 2019 l’Azienda sanitaria della Romagna riceveva una richiesta da parte di una propria paziente di risarcimento dei danni dalla medesima subiti a seguito della violazione dei suoi dati personali relativi alla salute compiuti dall’azienda sanitaria.
En particulier, emergeva che la paziente era stata ricoverata presso il reparto di ginecologia dell’Ospedale per eseguire un intervento di interruzione volontaria di gravidanza e, in tale ricovero, la stessa aveva espresso la volontà di non fornire informazioni sul proprio stato di salute a qualunque soggetto terzo, avendo fornito all’azienda il proprio personale numero di telefono per ricevere qualsiasi successivo contatto da parte della struttura sanitaria.
Durante le dimissioni della paziente, a seguito dell’intervento, l’infermiera della struttura sanitaria che stava consegnando alla stessa la relativa lettera di dimissioni e le stava altresì fornendo le ultime informazioni sulle terapie da effettuare, era costretta ad allontanarsi temporaneamente per assistere un’altra paziente del reparto in presenza di una situazione di emergenza. Quando l’infermiera faceva ritorno presso la stanza dove stava ultimando le dimissioni della paziente di cui si discute, quest’ultima era già andata via. In considerazione di ciò, l’infermiera per completare la comunicazione alla paziente delle informazioni sulle terapie da seguire, tentava di contattarla telefonicamente, utilizzando a tal fine il numero che era stato scritto sul frontespizio della cartella clinica dell’interessata (registrato altresì nell’anagrafica informatizzata della Azienda sanitaria), che la paziente aveva fornito durante un precedente ricovero presso la struttura sanitaria (per altre questioni) e tuttavia diverso rispetto a quello che la paziente stessa aveva indicato in occasione del ricovero per interruzione volontaria della gravidanza di cui si discute (che invece era stato annotato in una scheda all’interno della cartella clinica). Alla suddetta telefonata rispondeva un soggetto diverso dalla paziente (que, puis, è risultato essere il di lei marito) e quindi l’infermiera si presentava allo stesso dicendo di essere l’ “infermiera della ginecologia di Faenza” e chiedendo di poter parlare con la paziente per una terapia, senza fare alcun esplicito riferimento ai motivi del ricovero della paziente né all’intervento eseguito.
L’azienda sanitaria, appresa la lamentata violazione, comunicava la circostanza al Garante privacy, il quale apriva quindi l’istruttoria preliminare, da cui emergevano le circostanze di cui sopra, e conseguentemente notificava alla struttura sanitaria l’avvio del provvedimento per l’adozione delle misure correttive, invitando la ASL a fornire memorie difensive in merito.
Dall’istruttoria e dalla difese formulate dalla struttura sanitaria era emerso che:

La ASL aveva definito i ruoli attribuiti ai soggetti abilitati al trattamento dei dati personali all’interno dell’Azienda e l’infermiera era stata designata come incaricata e all’interno del suo incarico era precisato che la stessa non poteva comunicare i dati che trattava ad alcuna persona terza (salvo che non vi fosse il consenso dell’interessato);
Erano state adottate delle misure organizzative interne che prevedevano la redazione e sottoscrizione di un apposito modulo da parte dei pazienti con il diniego di fornire informazioni a soggetti terzi circa il proprio stato di salute e che tale modulo era stato sottoscritto dalla paziente nel caso di specie ed inserito all’interno della cartella clinica;
L’azienda sanitaria non aveva comunicato alla interessata la violazione dei dati personali in quanto le informazioni date dall’infermiera al marito avevano riguardato soltanto il reparto in cui la paziente era stata ricoverata e non i motivi del ricovero;
L’azienda sanitaria riteneva che la violazione non fosse attribuibile né a dolo né a colpa della ASL stessa, ma al fatto che la paziente si era allontanata al momento delle dimissioni e l’infermiera, non potendo completare le informazioni da rendere circa le terapie, era stata costretta a telefonare alla stessa e aveva usato un numero fornito dalla paziente, comunque non rivelando al terzo alcuna informazione connessa al motivo del ricovero.


La decisione del Garante
Preliminarmente il Garante ha ricordato che il Regolamento europeo (GDPR) prevede un generico divieto di trattare i dati rientranti fra le “particolari categorie” indicate dal regolamento medesimo, fra cui appunto i dati relativi allo stato di salute dell’interessato. Tali dati, en fait, possono essere trattati soltanto se sussiste una dalle condizioni previste dall’art. 9, par. 2, del GDPR.
In secondo luogo, anche qualora il trattamento sia ammissibile, il titolare deve attuare delle misure tecniche e organizzative idonee a garantire un livello di sicurezza dei dati che sia adeguato rispetto al rischio di violazione dei medesimi, anche tenendo conto del contesto e delle finalità del trattamento nonché della probabilità e della gravità della lesione di diritti e delle libertà dell’interessato.
Enfin, il Garante ha ricordato che la normativa privacy stabilisce che le informazioni sullo stato di salute possono essere riferite solo all’interessato e possono invece essere comunicate a terzi soltanto se sussiste una idonea base giuridica o se vi è stato il consenso dell’interessato e previa sua delega scritta.
En particulier, per quanto concerne le strutture sanitarie, queste devono adottare delle misure di protezione dei dati, fra cui la messa in atto di procedure, anche di formazione del personale, dirette a prevenire che soggetti diversi dall’interessato possano fare una correlazione esplicita fra l’interessato stesso e il reparto o la struttura da cui poter ricavare l’esistenza di un particolare stato di salute dell’interessato.
In considerazione di quanto sopra, secondo il Garante, nel caso di specie è emerso che:

L’infermiera ha usato un numero di telefono diverso da quello indicato dall’interessata per eventuali contatti;
L’informazione resa dall’infermiera al terzo (cioè di essere un’infermiera del reparto di ginecologia di Faenza) ha fatto sì che il terzo abbia potuto effettuare una esplicita correlazione tra l’interessata e un reparto della struttura sanitaria, idoneo ad indicare uno specifico stato di salute;
Le circostanze di cui sopra hanno quindi sostanziato una comunicazione di dati al terzo idonea a rivelare lo stato di salute dall’interessata, senza che sussistesse una idonea base giuridica e addirittura in violazione dell’espresso diniego di comunicazione dei dati a terzi rilasciato dall’interessata stessa;
Ciò ha comportato un trattamento di dati personali in violazione del principio di correttezza, in quanto trattasi di condotta lesiva della fiducia e dell’affidamento che l’interessata aveva riposto nella struttura sanitaria cui si era rivolta.

Secondo il Garante, enfin, tali violazioni sono state determinate dalla inefficacia delle misure tecniche e organizzative che erano state adottate dalla struttura sanitaria, mentre – nel caso specie – la condotta posta in essere dall’interessata (che si era allontanata volontariamente allorquando l’infermiera stava fornendole le informazioni terapeutiche) non è rilevante per valutare l’illeicità del trattamento dei dati da parte della struttura sanitaria.
Conseguentemente, il Garante ha confermato che il trattamento dati posto in essere dalla ASL risulta illecito e pertanto l’ha condannata al pagamento di una sanzione pecuniaria pari a Euro 50.000.
Volume recommandé

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali
Monica Mandico, 2019, Editeur Maggs
Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad

32,00 € 30,40 € acheter

son www.maggiolieditore.it

 

Devenez auteur de Diritto.it
En savoir plus!

Vous pourriez aussi être intéressé

Il Garante privacy sanziona nuovamente TIM per il marketing indesiderato

di MuiaPier Paolo
20 février 2020

La comunicazione da fornire agli utenti in caso di data breach consistente nel furto delle password di un account email

di MuiaPier Paolo
4 juillet 2019

Una piattaforma internet di e-voting è rispettosa delle norme privacy solo se garantisce l’integrità, l’autenticità e la segretezza delle espressioni di voto

di MuiaPier Paolo
27 mai 2019

Il diritto all’oblio non si estende fino alla rimozione della notizia dopo un lungo tempo dalla verificazione dei fatti, se questa è di rilevante interesse pubblico, ma impone soltanto che essa sia aggiornata

di MuiaPier Paolo
25 novembre 2019

The post La comunicazione a terzi del reparto in cui è stato ricoverato il paziente costituisce trattamento illecito di dati relativi alla salute appeared first on Diritto.it.
La source: Diritto.it