L’affissione di un cartello in cui si comunica la sospensione di un servizio per malattia della persona che deve fornire il servizio viola la privacy.
Per approfondimenti si consiglia: Formulario commentato della privacy
Indice
1. I fatti
Una dottoressa dipendente di una ASL della Sardegna inviava un reclamo al Garante per la protezione dei dati personali in cui affermava che l’azienda sanitaria aveva illegittimamente diffuso suoi dati relativi alla salute in maniera illegittima.
In particolare, la reclamante sosteneva che la ASL aveva affisso un cartello sul cancello di ingresso all’ambulatorio dove la reclamante svolgeva la propria attività di medico, nel quale si avvisavano gli utenti che in una certa data non sarebbe stato svolto il servizio ambulatoriale della dottoressa per esigenze di servizio, con l’aggiunta della dicitura: “(malattia dott.ssa XXX)” (dove al posto delle XXX vi era il nome e il cognome della reclamante). La reclamante, inoltre, allegava apposita documentazione fotografica del cartello in questione.
Il Garante chiedeva all’ASL delle delucidazioni in ordine ai fatti lamentati dalla reclamante, spiegando in particolare quale sarebbe stata la base giuridica che avrebbe permesso la diffusione dei dati relativi alla salute della reclamante.
La struttura sanitaria sosteneva che era stata la stessa reclamante a richiedere alla ASL di affiggere un cartello all’ingresso del suo ambulatorio con cui avvisare l’utenza della chiusura dell’ambulatorio a causa di una “assenza improvvisa” della reclamante, ma che – per un mero errore del personale che aveva predisposto il cartello – era stato scritto genericamente di una malattia della dottoressa.
In secondo luogo, l’ASL aggiungeva che, non appena si era resa conto dell’errore, aveva disposto l’immediata sostituzione del cartello con uno contenente soltanto la dicitura “chiusura ambulatorio per esigenze di servizio”.
Preso atto dei chiarimenti della struttura sanitaria, il Garante comunicava a quest’ultima l’apertura del procedimento per l’adozione dei provvedimenti opportuni nei suoi confronti, invitandola a fornire scritti difensivi.
La ASL si difendeva, preliminarmente, sostenendo di non avere alcuna responsabilità perché il fatto era accaduto nell’ambulatorio che era sito in comune che ricadeva, dal punto di vista territoriale, nella competenza di una altra ASL della Sardegna e che il personale che aveva predisposto il cartello era infatti dipendente di tale diversa ASL. Infine, rilevava che la reclamante, seppure fosse dipendente della ASL reclamata, svolgeva la propria attività trasversalmente anche per l’altra ASL nel cui territorio era ubicato l’ambulatorio.
Nel merito della condotta, la ASL confermava che i dati contenuti nel cartello determinavano il rilascio di informazioni sullo stato di salute della dottoressa, ma precisa che si trattava di informazioni generiche (non essendo riportate delle specifiche patologie) e determinavano una limitata incidenza sui diritti e le libertà dell’unico interessato coinvolto. Infine, la ASL ribadiva che si era trattato di un evento fortuito dovuto ad una incomprensione tra la reclamante e colui il quale aveva redatto il cartello nonché che aveva immediatamente sostituito il cartello non appena si era accorta dell’errore.
Potrebbero interessarti:
Sempre escluso l’accesso civico generalizzato ai dati relativi alla salute
Il Regolamento UE n. 679/2016 sulla protezione dei dati personali
2. Cartello con scritta la malattia della persona che deve prestare servizio: valutazioni del Garante
Il Garante ha preliminarmente ricordato che, ai sensi del Regolamento europeo per la protezione dei dati personali, si considerano “dati relativi alla salute” le informazioni attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute e che per diffusione si intende il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.
Inoltre, tali dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato e devono essere adeguati, pertinenti e limitati a quanto necessario per raggiungere le finalità per cui gli stessi sono trattati. Il titolare del trattamento, infine, deve trattare detti dati in modo tale da garantire un’adeguata sicurezza dai rischi di trattamenti non autorizzati o illeciti e comunque dalla perdita accidentale dei dati nonché adottare.
In generale, poi, la diffusione di dati relativi alla salute è espressamente vietata dal Regolamento europeo per la protezione dei dati personali.
Nel caso di specie, il garante ha accertato che nell’avviso affisso all’ingresso dell’ambulatorio della reclamante, oltre ad essere presente il nominativo della stessa (che la rendeva, quindi, facilmente identificabile), era indicato, quale motivo della temporanea sospensione del servizio medico ambulatoriale, che la reclamante aveva una “malattia”. Tale dato, secondo il Garante, rientra nella nozione di dato relativo alla salute, in quanto è un’informazione idonea di per sé a rivelare a terzi lo stato di salute della reclamante, essendo invece irrilevante che non fosse stata specificata la patologia di cui questa era affetta. Inoltre, il trattamento consistito nell’inserire detto dato relativo alla salute all’interno di un cartello affisso all’ingresso dell’ambulatorio ha determinato una diffusione del medesimo, in quanto – in tal modo – è stata data conoscenza del dato ad un numero indeterminato di soggetti (cioè a tutti gli utenti del servizio ambulatoriale della dottoressa).
In considerazione di ciò, il Garante ha ritenuto che i motivi difensivi della ASL non fossero sufficienti per consentire di superare i rilievi sollevati dall’autorità e procedere alla archiviazione del procedimento.
3. La decisione del Garante
Il Garante ha ritenuto dunque accertato che la suddetta condotta posta in essere dall’ASL sostanzi una illecita diffusione di dati relativi alla salute della reclamante, in violazione della normativa in materia di protezione dei dati personali.
Tuttavia, in considerazione del fatto che la struttura sanitaria aveva già rimosso l’avviso in questione e lo aveva sostituito con uno non contenente alcun riferimento alla malattia della reclamante, il garante ha ritenuto che non ricorressero i presupposti per l’adozione di misure correttive. Invece, l’ autorità ha ritenuto di comminare una sanzione pecuniaria amministrativa, a carico del titolare del trattamento, che – tenendo conto del fatto, da un lato, che si trattava di dati relativi alla salute del reclamante e, dall’altro lato, che la condotta della ASL non è stata intenzionale e che quest’ultima si è attivata per rimuovere gli effetti pregiudizievoli – ha quantificato nell’importo complessivo di €. 5.000 (cinquemila).
Volume consigliato
Aggiornata alle recenti determinazioni del Garante, l’opera tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse.
La normativa di riferimento viene commentata e analizzata, con un taglio che rende il volume un valido strumento pratico per il Professionista che si occupa di privacy.
Formulario commentato della privacy
Aggiornata alle recenti determinazioni del Garante, l’opera tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse. La normativa di riferimento viene commentata e analizzata, con un taglio che rende il volume un valido strumento pratico per il Professionista che si occupa di privacy. L’analisi delle ricadute operative della normativa è integrata dalle specifiche formule correlate; questa combinazione costituisce il valore aggiunto dell’opera che ben può aspirare a diventare un riferimento per gli operatori del settore. Giuseppe Cassano Direttore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi. Enzo Maria Tripodi attualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici. Cristian Ercolano Partner presso Theorema Srl – Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.
A cura di Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano | Maggioli Editore 2022
Scrivi un commento
Accedi per poter inserire un commento