I dati relativi alla salute godono di una tutela rafforzata e, fatte salve le eccezioni previste dalle norme in materia, ne è vietata la diffusione. Anche il principio di trasparenza nell’azione amministrativa non può violare la privacy delle persone.
Oggi vi segnalo una recente ordinanza-ingiunzione dell’Autorità Garante per la protezione dei dati personali (n. 199 del 26 maggio 2022) che ha sanzionato una ASL per illecito trattamento dei dati dei pazienti.
Vediamo i motivi del provvedimento per evitare di commettere gli stessi errori.
Il caso
Un’Azienda sanitaria locale pubblica, in chiaro sul proprio sito web istituzionale, tutti i nominativi ed i dati relativi alla salute dei soggetti che hanno fatto richiesta di accesso civico ai propri documenti in due annate precedenti. Nella maggior parte dei casi gli atti riguardano la documentazione sanitaria degli interessati – fra cui cartelle cliniche, accertamenti di invalidità, test, relazioni tecniche, ecc. – che rendono identificabile la tipologia di trattamento medico, esame diagnostico e/o stato fisico o mentale concernente l’interessato.
Nello specifico, i documenti contengono:
– nel campo mittente, dati e informazioni personali, con specifica indicazione del nominativo del soggetto interessato o del proprio rappresentate legale, oppure di entrambi
– in un numero molto rilevante di casi, dati relativi alla salute dei soggetti interessati, considerato che la tipologia di atti richiesti alla ASL, nella maggior parte degli accessi, è inerente a documentazione sanitaria (fra cui cartelle cliniche, accertamenti di invalidità, test, relazioni tecniche, ecc.)
– nel campo oggetto, dettagliate descrizioni di quanto richiesto, con chiare indicazioni sempre a dati sulla salute dei soggetti interessati (per esempio: «visita del XX presso la commissione di prima istanza per l’accertamento degli stati di invalidità»; «Richiesta acquisizione visione analisi tossicologiche»; «copia conforme all’originale esami clinici, visita psichiatrica e test psicodiagnostici»; «Richiesta di copia in carta semplice dei test funzioni attentive»; «[…] consegna della documentazione ecografica comprensiva di ecografie – radiografie e referti di tutti gli esami effettuati dal 2009 al 2010», ecc.)
L’Autorità Garante, nello svolgimento delle sue attività di controllo, rileva l’anomala pubblicazione di dati da parte della ASL e si attiva dunque d’ufficio – cioè senza necessità di una segnalazione da parte degli interessati – aprendo un’istruttoria al riguardo. Vediamone i motivi e l’esito.
I motivi dell’istruttoria dell’Autorità Garante
Le violazioni rilevate dall’Autorità sono state le seguenti:
- diffusione dei dati sulla salute dei soggetti interessati, informazioni relative sia allo stato fisico che mentale, compresa la prestazione di servizi di assistenza sanitaria
- violazione del principio di “minimizzazione” dei dati, in base al quale i dati personali devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. c, del RGPD): nel caso concreto, per la finalità di trasparenza amministrativa
- violazione della disciplina in materia di trasparenza (e, in particolare, il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati») e delle Linee guida Anac sull’accesso civico, che stabiliscono di oscurare i dati personali eventualmente presenti.
Le difese dell’amministrazione
All’esito della ricezione della comunicazione di apertura dell’istruttoria, l’Ente ha, in particolare, replicato:
– che i file in questione erano stati caricati sul sito istituzionale per mero errore materiale
– che nessuna segnalazione o lamentatela da parte di eventuali interessati era pervenuta all’Azienda
– di aver comunque tempestivamente posto in essere numerose azioni di analisi e rimedio
– di aver in particolare realizzato, con il supporto del DPO aziendale, apposite linee guida per la corretta pubblicazione dei file nel rispetto della normativa in materia di trattamenti dei dati personali.
L’esito dell’istruttoria
Alla luce di tutto quanto precede, il Garante ha irrogato all’ASL in questione una sanzione di Euro 46.000,00.
Nel determinare l’importo della sanzione, il Garante ha tenuto conto di alcuni elementi attenuanti come, in particolare, il carattere del tutto accidentale della condotta, l’assenza di segnalazioni o lamentele dei soggetti interessati, il tempestivo intervento della Asl per porre rimedio alla violazione, la collaborazione con l’Autorità e le misure tecniche e organizzative messe poi in atto a garanzia dei dati personali.
Il provvedimento richiama ancora una volta l’attenzione sulla delicatezza della materia della tutela della riservatezza dei dati personali e, in particolare, dei dati afferenti alla salute dei pazienti e sull’importanza di attuare tutte le misure necessarie ed appropriate per prevenire eventuali violazioni.
Per maggiori informazioni sul tema, vedi anche i miei precedenti post, tra i quali “Trattamento dei dati in ambito sanitario: tutti gli errori da evitare” e “GDPR e trattamento dei dati in ambito sanitario: i chiarimenti del Garante”.
Ci aggiorniamo la prossima settimana con un altro, interessante argomento!
Nel frattempo, resta collegato o iscriviti alla newsletter per non perdere i prossimi aggiornamenti.
A presto!
LEGGI IL DOCUMENTO