Data privacy: no del Garante all’uso illecito dei dati degli accertamenti medici

Va considerato illecito il trattamento di dati personali effettuato da un’azienda sanitaria che mette le immagini dei pazienti, sottopostisi ad accertamenti medici, a disposizione di una società fornitrice di apparecchiature per la diagnostica, ponendo così in essere una “comunicazione” di informazioni sulla salute dei pazienti in assenza di un’adeguata base normativa.

Trovate qui di seguito il mio nuovo articolo scritto per la sezione “Aspetti Legali in Dermatologia” del sito Internet dell’ISPLAD – International-Italian Society of Plastic – Regenerative and Oncologic Dermatology, che risulta tuttavia di interesse generale per professionisti e strutture sanitarie.

Buona lettura!

Questa settimana torno sul tema del trattamento dei dati sanitari in un’ottica di data privacy per segnalarvi un caso particolare di trattamento oggetto di provvedimento sanzionatorio da parte dell’Autorità Garante della Privacy, reso noto mediante la newsletter della stessa Autorità dello scorso 23 settembre.

Il caso

Una società fornisce apparecchiature per l’alta diagnostica ad un’azienda sanitaria, la quale ultima nomina la stessa società in qualità di “responsabile del trattamento” dei dati dei pazienti e le comunica, in due occasioni ed attraverso l’uso di un software, le immagini delle TAC contenenti informazioni sulla salute di alcuni pazienti.
Una volta ricevute le immagini, la società in questione effettua operazioni di estrazione, anonimizzazione e pseudonimizzazione dei dati dei pazienti, ed allega copia delle immagini rielaborate alla documentazione necessaria per partecipare a una gara d’appalto, in seguito depositandola anche nell’ambito di un proprio contenzioso giudiziario.

L’intervento del Garante

Intervenuto nella vicenda a seguito di una segnalazione, il Garante della Privacy ha ritenuto illecito:

1) sia il trattamento dei dati effettuato dall’azienda sanitaria, consistente nel mettere a disposizione della società le immagini estratte della macchina e attuando così una “comunicazione” di informazioni concernenti la salute di pazienti identificati, in assenza di un’adeguata base normativa;

2) sia il trattamento dei dati svolto dalla società fornitrice per finalità estranee a quelle che avevano giustificato la sua nomina in qualità di “responsabile del trattamento dei dati” da parte dell’azienda sanitaria.

La nomina in qualità di responsabile del trattamento non esime da responsabilità se i trattamenti effettuati sono diversi da quelli indicati nel provvedimento di nomina

Secondo l’Autorità Garante, la designazione dell’azienda fornitrice nella sua qualità di “responsabile del trattamento” non giustifica l’acquisizione da parte della stessa delle immagini dei pazienti.
Le operazioni eseguite dalla fornitrice perseguivano infatti finalità proprie della società stessa (la partecipazione ad una gara e la difesa in giudizio), estranee a quelle per le quali le era stata conferita la nomina in qualità di responsabile del trattamento (che includevano, per esempio, le attività di manutenzione per garantire l’efficienza dell’apparecchiatura e la qualità delle immagini della TAC).

La conclusione del procedimento

L’Ufficio del Garante Privacy, in una nota a conclusione dell’istruttoria, ha dunque ritenuto che

“Le società che forniscono apparecchiature per l’alta diagnostica non possono utilizzare per i propri scopi i dati dei pazienti sottoposti agli accertamenti medici.

Le aziende sanitarie da parte loro possono comunicare i dati sanitari a terzi solo in presenza di un adeguato presupposto normativo.

Giudicati pertanto come illeciti i trattamenti svolti dall’azienda sanitaria e dalla società, il Garante ha avviato i relativi procedimenti sanzionatori.

Poiché i fatti risalgono al periodo antecedente la piena applicazione del Regolamento europeo (GDPR), i trattamenti sono stati valutati alla luce del Codice Privacy previgente.

Il caso è interessante perché accende un faro sia sull’attenzione e rigore che vanno prestati in relazione ai trattamenti effettuati sui dati dei pazienti e, in generale, sull’applicazione della normativa sulla data privacy anche da parte dei singoli operatori sanitari, sia sul fatto che l’Autorità italiana, dopo un periodo di “pausa” a seguito dell’entrata in vigore del GDPR, ha reiniziato a svolgere investigazioni ed accertamenti anche su singole situazioni particolari per verificare l’effettiva implementazione della normativa di settore, che possono portare all’irrogazione di sanzioni anche importanti.

Per maggiori informazioni sull’attività del Garante, visita il sito dell’Autorità all’indirizzo https://www.gpdp.it/web/guest

Ci aggiorniamo la prossima settimana con un nuovo, interessante argomento!

A presto!

Avv. Elena Bassan

Data privacy: no del Garante all’uso illecito dei dati degli accertamenti medici