La notizia relativa alla sospensione dell’idoneità all’attività sportiva costituisce un dato personale relativo alla salute.
1. I fatti
Una signora che si era sottoposta ad una visita medica per il rilascio di un certificato di idoneità sportiva, aveva presentato un reclamo al Garante per la protezione dei dati personali, sostenendo che la struttura sanitaria avesse compiuto una violazione della normativa in materia di privacy, in quanto aveva comunicato alla palestra dove la signora svolgeva attività sportiva la sospensione dell’idoneità senza alcuna autorizzazione da parte della signora.
In particolare, la reclamante sosteneva di essersi iscritta presso una palestra locale e che quest’ultima, per permetterle di praticare attività sportiva, le aveva chiesto un certificato di idoneità alla prativa sportiva non agonistica rilasciato da un ente autorizzato, comunicandole che, se si fosse recata presso la struttura sanitaria in questione, il prezzo della visita medica sarebbe stato compreso nel prezzo dell’iscrizione alla palestra. Inoltre, la palestra precisava che, nelle more dell’ottenimento del certificato, la signora avrebbe potuto frequentare la palestra mediante una autocertificazione avente validità di 30 giorni. Pertanto, la reclamante si recava presso lo studio medico “convenzionato” con la palestra ed effettuava la visita, ma il medico non le rilasciava il certificato, chiedendole invece l’esecuzione di un esame specialistico (poi effettuato dalla signora). Nelle more del rilascio del certificato e in costanza della validità dell’autocertificazione, la reclamante si recava presso la palestra, ma le veniva impedito l’accesso in quanto la struttura sanitaria aveva comunicato alla palestra la sospensione dell’idoneità sportiva per non aver ancora ottenuto il certificato. La signora lamentava di non aver mai dato alcuna autorizzazione allo studio medico di comunicare alla palestra l’esito della visita medico-sportiva.
Il Garante, esaminato il reclamo, chiedeva chiarimenti alla struttura sanitaria. Quest’ultima, preliminarmente affermava di essere una piccola struttura sanitaria che fornisce servizi di medicina dello sport per il rilascio di certificati per l’attività sportiva agonistica e per l’attività non agonistica e che nell’ultimo periodo aveva avuto una crescita di attività per cui stava valutando se nominare un professionista esterno quale Responsabile della protezione dati personali.
Per quanto riguarda il merito del reclamo, la struttura sanitaria sosteneva di avere un accordo con la palestra in questione in virtù del quale gli iscritti alla medesima non pagano il costo del servizio di rilascio del certificato medico per attività sportiva non agonistica, in quanto il relativo costo è sostenuto dalla palestra.
Nel caso di specie, il medico richiedeva alla signora l’esecuzione di esami di accertamento e sospendeva l’emissione del certificato nelle more dell’esecuzione degli esami specialistici richiesti. In considerazione del rapporto tra la struttura sanitaria e la palestra, per cui quest’ultima avrebbe dovuto sostenere il costo del rilascio del certificato medico, la struttura sanitaria comunicava alla palestra la sospensione della pratica per il rilascio del certificato.
La reclamata precisava che nella suddetta comunicazione alla palestra non erano contenute informazioni sullo stato di salute della paziente, né le motivazioni che avevano portato il medico a sospendere la pratica per il rilascio del certificato. Pertanto, secondo la reclamata, non era stato comunicato alla palestra alcun dato sanitario e l’informazione sulla sospensione della pratica era da ritenersi meramente necessaria alla gestione amministrativa del rapporto commerciale fra le due imprese.
Potrebbero interessarti anche:
2. Le valutazioni del Garante
Preliminarmente il Garante ha ricordato la definizione dei dati relativi alla salute fornita dalla normativa in materia di privacy, secondo cui vengono definiti tali i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute.
I dati relativi alla salute meritano una maggiore protezione dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali.
Per tale ragione, la normativa in materia di privacy stabilisce che i dati relativi alla salute possono essere comunicati soltanto all’interessato e possono essere comunicati a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso previa delega scritta di quest’ultimo.
Anche quando è possibile effettuare il trattamento di tale tipologia di dati, il titolare del trattamento deve comunque rispettare i principi in materia di protezione dei dati, fra i quali quello di integrità e riservatezza, secondo il quale i dati personali devono essere trattati in maniera da garantire un’adeguata sicurezza e devono essere protetti, attraverso l’uso di misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentale dei medesimi.
Nel caso di specie, la normativa che disciplina la certificazione dell’attività sportiva non agonistica e amatoriale prevede che prevede che coloro i quali svolgono attività sportive non agonistiche si sottopongono a controllo medico annuale che determina l’idoneità a tale pratica sportiva. Il relativo certificato che attesta l’idoneità fisica alla pratica di attività sportiva di tipo non agonistico è rilasciata dal medico di medicina generale o dal pediatra di libera scelta, relativamente ai propri assistiti, o dal medico specialista in medicina dello sport, i quali qualora abbiano un sospetto diagnostico o il paziente abbia patologie croniche e conclamate può richiedere una consulenza del medico specialista in medicina dello sport e dello specialista di branca.
In considerazione della suddetta disciplina, secondo il Garante, la notizia relativa alla sospensione dell’idoneità all’attività sportiva non agonistica, poiché è necessario effettuare specifici esami di accertamento, rivela di per sé informazioni sullo stato di salute del soggetto il cui giudizio di idoneità è stato sospeso (per un sospetto diagnostico o in presenza di patologie croniche e conclamate).
Pertanto, detta notizia configura un dato sulla salute dell’interessato, anche se non contiene le motivazioni cliniche che hanno indotto il medico a sospendere l’idoneità.
3. La decisione del Garante
Il Garante per la protezione dei dati personali ha quindi ritenuto che la comunicazione alla palestra, da parte dello studio medico, della sospensione dell’idoneità fisica della paziente, senza che quest’ultima avesse autorizzato detta comunicazione, configuri una illecita comunicazione di un dato sanitario dell’interessata.
In considerazione di ciò, il Garante ha ritenuto che detta condotta costituisca una violazione della normativa in materia di privacy sufficiente per l’irrogazione a carico del titolare del trattamento di una sanzione amministrativa pecuniaria.
Per quanto concerne la quantificazione di detta sanzione, il Garante, valutato – da un lato – che si trattava di dati sanitari e che la violazione ha impedito all’interessata di usufruire del servizio di palestra, nonché – dall’altro lato – che la società ha collaborato con il Garante ed ha cessato la pratica di comunicare alla palestra le sospensioni dell’idoneità dei pazienti, ha ritenuto di condannare la struttura sanitaria al pagamento dell’importo di €. 4.000 (quattromila).
>>>Per approfondire<<<
In questa monografia, la lettura della disciplina sulla protezione dei dati personali è guidata dall’articolazione del GDPR, integrato dai provvedimenti dell’Autorità Garante ed esplicato attraverso le pronunce della giurisprudenza su fattispecie particolari.
Compendio breve sulla privacy
L’obiettivo del libro è quello di illustrare la disciplina privacy in maniera informale, ma non per questo meno puntuale. Spesso, il tenore giuridico rende difficilmente comprensibile il senso, ovvero il contenuto e la ratio legis, ai non specialisti. Parafrasarne il testo, con l’ausilio di esempi e casi concreti, invece, consente di entrare immediatamente in argomento senza alcuna anticamera, pur restando imprescindibile la consultazione della disposizione ufficiale. Nello specifico, in questa monografia, la lettura della disciplina sulla protezione dei dati personali è guidata dall’articolazione del GDPR, integrato dai provvedimenti dell’Autorità Garante ed esplicato attraverso le pronunce della giurisprudenza su fattispecie particolari. In tal modo, da un lato viene facilitata la comprensione del dettato normativo, dall’altro il dato normativo assume la propria peculiare sostanza attraverso l’applicazione concreta. Questo manuale, grazie al suo taglio editoriale, intende rivolgersi non soltanto a professionisti e cultori della disciplina, ma anche a coloro che, nelle Pubbliche Amministrazioni e nelle imprese, si trovano a dover affrontare la materia e, altresì, a coloro che devono sostenere prove concorsuali. Jean Louis a Beccara Avvocato, certificato Responsabile della protezione dei dati (DPO) – Cepas Srl (Gruppo Bureau Veritas Italia Spa). Direttore dell’Ufficio Organizzazione e gestione della privacy della Provincia autonoma di Trento. Docente in corsi di formazione, relatore in convegni, nonché autore di numerose monografie e pubblicazioni in materia su riviste scientifiche e specialistiche.
Jean Louis a Beccara | Maggioli Editore 2021
Scrivi un commento
Accedi per poter inserire un commento