Oggi vi segnalo un recente provvedimento con cui l’Autorità Garante per la Protezione dei Dati Personali (Ordinanza n. 392 del 28.10.2021) ha sanzionato un medico di medicina generale per le modalità – a dir poco disinvolte – adottate nella gestione dei documenti dei pazienti.
Il caso
La questione nasce da una segnalazione del locale Comando dei Carabinieri (NAS) all’Autorità Garante per la Protezione dei Dati Personali in merito alle modalità con le quali un medico di medicina generale consegnava agli assistiti le prescrizioni mediche: le ricette venivano fissate con pinze da bucato ad un’asse di legno appoggiato al davanzale della finestra dello studio medico, situato al piano terra e rivolto sul marciapiede della pubblica via.
Dalla documentazione fotografica allegata alla segnalazione emergeva che le prescrizioni mediche erano esposte pubblicamente e visibili a chiunque si trovasse a transitare nei pressi del davanzale dello studio.
Alla luce di quanto precede, l’Autorità Garante ha avviato un’istruttoria sul caso. Vediamone l’esito.
La difesa del medico: necessario tutelare i pazienti in tema di epidemia da Coronavirus…
Secondo il medico, la condotta oggetto di segnalazione non era da considerarsi in spregio alla riservatezza dei pazienti, bensì come una forma di tutela legata all’epidemia da Coronavirus.
La grave situazione di espansione pandemica nella zona aveva infatti reso “necessario adottare dei protocolli, con riferimento alle modalità di comunicazione con i pazienti, in parte derogatori rispetto a quelli che verrebbero adottati in situazione di normalità”; l’originale modalità di consegna delle prescrizioni si presentava dunque come un’alternativa alla ricetta dematerializzata, funzionale alla necessità di limitazione degli accessi all’ambulatorio nel periodo di picco massimo dell’epidemia.
D’altra parte – spiegava il medico – non vi era “una differenza sostanziale in termini di sicurezza nel trattamento dei dati tra e-mail e SMS, ammessi da codesta Autorità e il posizionamento di buste chiuse contestato alla scrivente”. Anzi, la pubblicazione “su strada” era da considerarsi preferibile alla stessa e-mail ed alla piattaforma WhatsApp che, precisava il medico, non venivano utilizzate in quanto poco sicure.
… e la risposta del Garante
In realtà, la documentazione fotografica allegata alla segnalazione dei NAS mostrava che le ricette e le prescrizioni non erano doverosamente riposte dal medico in busta chiusa (come affermato nelle sue difese), bensì che “la modalità di consegna ideata dalla dott.ssa (omissis) aveva ad oggetto altresì prescrizioni mediche, liberamente visibili e accessibili a chiunque si trovasse a transitare nei pressi del davanzale della finestra dello studio medico”.
Inoltre, le ragioni addotte dal medico a giustificazione delle modalità di consegna delle prescrizioni, nel periodo emergenziale, rispetto a quelle indicate nei decreti emergenziali, non consentivano di superare le criticità già manifestate.
Si alla consegna impersonale di ricette mediche, purché in busta chiusa
Al riguardo il Garante, già nel comunicato stampa del 14 novembre 2014, aveva espressamente fatto presente che
“le ricette mediche possono essere lasciate presso le farmacie e gli studi medici per il ritiro da parte dei pazienti, purché siano messe in busta chiusa. Lasciare ricette e certificati alla portata di chiunque o perfino incustodite, in vaschette poste sui banconi delle farmacie o sulle scrivanie degli studi medici, viola la privacy dei pazienti”.
Veniva inoltre precisato che
“le procedure, in vigore già da tempo, consentono ai medici di lasciare ai pazienti ricette e i certificati presso le sale d’attesa dei propri studi o presso le farmacie, senza doverglieli necessariamente consegnare di persona. Per impedire la conoscibilità da parte di estranei di dati delicati, come quelli sanitari, è però indispensabile che ricette e certificati vengano consegnati in busta chiusa. La busta chiusa è tanto più necessaria nel caso in cui non sia il paziente a ritirare i documenti, ma una persona da questi appositamente delegata”.
Secondo l’Autorità Garante andava anche ed in modo più in generale considerato che:
- la disciplina in materia di protezione dei dati personali prevede che i titolari del trattamento siano tenuti a rispettare i principi applicabili al trattamento dei dati, inclusi quelli di integrità, riservatezza e sicurezza, e ad adottare misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato ai rischi, incluso quello di evitare una possibile divulgazione non autorizzata o l’accesso, in modo accidentale o illegale, ai dati personali comunque trattati
- con specifico riferimento all’ambito sanitario, il titolare è tenuto adottare idonei accorgimenti per garantire, anche nell’organizzazione delle prestazioni e dei servizi, il rispetto dei diritti, delle libertà fondamentali e della dignità degli interessati, in relazione al quale il Garante ha adottato uno specifico provvedimento generale che trovate qui, tutt’oggi applicabile;
- le informazioni relative alla salute non devono essere indiscriminatamente diffuse, ma possono essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso, previa delega scritta di quest’ultimo.
Per concludere
Alla luce dei principi sopra visti, il Garante:
- ha giudicato illecite le modalità di trattamento dei dati afferenti alla salute dei pazienti adottate dal medico in questione e, conseguentemente
- ha irrogato al medico una multa di 10.000 euro, disponendo altresì la pubblicazione del provvedimento sul sito istituzionale dell’Autorità e l’annotazione nel registro interno delle violazioni al GDPR e delle misure adottate.
Ci aggiorniamo la prossima settimana con un altro, interessante argomento!
Nel frattempo, resta collegato o iscriviti alla newsletter per non perdere i prossimi aggiornamenti.
A presto!
LEGGI IL DOCUMENTO
