a cura dell’avv. Maria Antonella Mascaro
Il trattamento dei dati personali e sulla salute, in ambito sanitario è un argomento sempre piuttosto insidioso, poiché, indipendentemente dalla volontà dell’operatore, è molto facile adottare comportamenti che possono essere sottoposti a sanzione, o, comunque a correttivi, pur in assenza di segnalazione da parte del diretto interessato.
Fra i vari casi si segnala quello di un’unità di cardiochirurgia che ha inviato una mail, in copia conoscenza, a tutti i pazienti in attesa di trapianto cardiaco, nell’ambito dell’acquisizione dei consensi informati per l’adesione a uno studio clinico, attraverso modelli da compilare e sottoscrivere.
In questo caso l’Autorità Garante ha ricordato che gli indirizzi e-mail sono riconducibili alla nozione di dato personale, anche se privi di nome e cognome o di altre informazioni direttamente identificative degli interessati. L’invio della mail, di fatto e in assenza di volontarietà, aveva, senza giustificato motivo e in assenza di presupposto giuridico, realizzato una comunicazione di dati personali e dati relativi alla salute degli interessati (cui afferiscono gli indirizzi e-mail), in violazione dei principi base di cui agli artt. 5, par. 1, lett. f) e 9 del RGDP.
La violazione, causata senza dolo da una dipendente, sussiste già di per sé a causa dell’inserimento nel campo della e-mail di tutti i destinatari nell’ambito di una procedura temporanea, adottata nel periodo pandemico per evitare, per la consegna della documentazione, la convocazione in presenza dei pazienti fragili destinatari della e-mail.
In un altro caso, sempre per mero errore di un dipendente, un’altra azienda è incorsa in un provvedimento sanzionatorio a causa dell’invio di una mail ad un destinatario sbagliato, mail che conteneva un allegato per un ricovero extra regione di una paziente che aveva fatto reclamo.
Anche in questo caso si tratta di violazione di dati personali per violazione degli artt. 5 e 9 del RGDP.
In un altro caso, un’azienda socio-sanitaria territoriale ha notificato all’Autorità tre comunicazioni di dati sulla salute a soggetti non autorizzati a riceverla, avvenuta in distinte occasioni. In particolare nel primo caso, la comunicazione oltre che all’interessato veniva data ad altri due soggetti estranei e conteneva una convocazione a visita da parte della commissione aziendale per la valutazione dell’invalidità civile; nel secondo caso, era stato inserito, nel campo denominato copia conoscenza, l’indirizzo di 198 destinatari, nel periodo Covid e riguardante tutti pazienti fragili, in quanto affetti da sclerosi multipla; nel terzo caso, era stata consegnata ad un paziente documentazione sanitaria contenente anche l’esito di un esame effettuato da un soggetto terzo. Nell’adottare il provvedimento correttivo, l’Autorità ha tenuto conto del numero di interessati coinvolti (circa 200) e del fatto che non fossero pervenuti reclami o segnalazioni sull’accaduto.
Attenzione particolare viene conferita alle comunicazioni via web.
Riguardo, ad esempio, ad un’azienda che ha divulgato una nota del servizio di assistenza farmaceutica territoriale, avente a oggetto la richiesta di acquisto di un medicinale, unitamente a un certificato con il quale si accertava la patologia di cui il reclamante era affetto e i farmaci di cui lo stesso aveva bisogno, il Garante ha ritenuto di non dover adottare misure correttive, in quanto l’azienda aveva provveduto alla immediata deindicizzazione dei dati personali erroneamente diffusi, rimuovendoli dai contenuti dell’indice dei motori di ricerca.