Dottore invia dati del paziente a ditta per preparare macchinario: violazione privacy

Commette un illecito il dottore che invia i dati dal paziente ad una ditta commerciale per velocizzare la preparazione di un macchinario necessario per la salute del paziente.

Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni: I ricorsi al Garante della privacy

1. I fatti

Il paziente di un medico inviava un reclamo al Garante per la protezione dei dati personali, lamentando una violazione dei propri dati personali. In particolare, sosteneva di essersi sottoposto ad un esame polisonnografico e che il dottore che lo aveva eseguito aveva successivamente inviato una email, a lui e in copia conoscenza ad una società commerciale, contenente in allegato il referto dell’esame ed i relativi tracciati nonché le conclusioni, la diagnosi e i commenti del dottore. Il paziente precisava, inoltre, di non aver mai prestato il proprio consenso alla comunicazione di detti dati.
Il Garante, quindi, richiedeva informazioni al medico e successivamente gli notificava l’avvio del procedimento sanzionatorio, invitandolo a depositare memorie difensive.
Il medico si difendeva sostenendo che il paziente si era recato presso una struttura sanitaria, presso la quale egli lavorava ed aveva ivi eseguito l’esame in questione. In considerazione del livello di gravità della malattia di cui il paziente era affetto, il medico riteneva urgente ed indifferibile per la sua salute acquisire la disponibilità di uno specifico macchinario per la ventilazione. Conseguentemente, il medico decideva di inviare il referto per conoscenza all’unica ditta che egli riteneva essere in grado di reperire rapidamente detto macchinario.
In primo luogo, il medico affermava che i dati contenuti nel referto erano quelli necessari per poter prescrivere il macchinario in questione e quindi dovevano essere comunicati alla ditta; inoltre, l’urgenza di acquisire il macchinario per la cura della salute del paziente giustificava l’invio anticipato di detti dati finalizzato ad ottenere il macchinario prima possibile.
In secondo luogo, il medico sosteneva che il paziente gli era pervenuto tramite la struttura sanitaria presso cui egli lavorava e che il paziente aveva ivi svolto l’esame, pagato la prestazione e fornito i suoi dati personali: in particolare, il paziente aveva formato il “consenso informato” alla struttura sanitaria, autorizzandola a trasmettere i suoi dati per finalità di cura e diagnosi.
Infine, il medico sosteneva che il paziente avesse comunque fornito il proprio consenso alla comunicazione dei suoi dati, avendo egli risposto alla email in questione inviata dal dottore per conoscenza alla ditta, precisando che egli avrebbe provveduto quanto prima ad acquistare il macchinario. 
Il garante, inoltre, aveva chiesto informazioni anche alla struttura sanitaria coinvolta nella vicenda, la quale aveva precisato che il medico era stato regolarmente nominato quale responsabile del trattamento dei dati e che nel caso di specie il trattamento dati in questione (cioè l’invio della email alla ditta commerciale) era stato effettuato dal medico senza aver preventivamente, né successivamente, informato il titolare del trattamento (contrariamente a quanto prevedeva la nomina a responsabile).
Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni.

2. Invio dei dati del paziente da parte del dottore: la valutazione del Garante

Il Garante ha preliminarmente ricordato che il responsabile del trattamento è chiunque, avendo accesso a dei dati personali, agisca sotto la autorità del titolare del trattamento ed ha altresì precisato che il responsabile non può trattare detti dati se non ha istruzioni in tal senso da parte titolare medesimo.
Il titolare del trattamento, invece, è la persona fisica o giuridica che determina le finalità e i mezzi del trattamento dati, cioè colui il quale decide rispettivamente il “perché” e il “come” del trattamento. Il titolare deve quindi mettere in atto le misure tecniche e organizzative adeguate per garantire che il trattamento è effettuato conformemente (ed inoltre il titolare deve essere in grado di dimostrare l’adozione di tali misure).
Per quanto riguarda i dati relativi alla salute (che sono quelli attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute), la normativa in materia di privacy prevede che tali informazioni possono essere comunicate soltanto all’interessato e possono essere comunicate a terzi soltanto sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato previa delega scritta di quest’ultimo.
Soltanto qualora vi siano dei trattamenti necessari a perseguire delle specifiche finalità di cura e detti trattamenti siano effettuati da un professionista sanitario soggetto al segreto professionale, non è necessario richiedere il consenso dell’interessato. Si tratta quindi dei trattamenti dati che sono essenziali per raggiungere delle determinate e esplicite finalità connesse alla cura della salute del paziente.
In tal caso, però, il consenso dell’interessato deve sostanziarsi in una manifestazione di volontà libera, specifica, informata e inequivocabile con cui l’interessato manifesta il proprio assenso al trattamento dei dati attraverso una dichiarazione o un’azione positiva che sia inequivocabile.
Nel caso di specie, il Garante ha ritenuto che l’invio tramite email dei referti contenenti l’esito dell’esame del paziente, da parte del medico, sostanzia una comunicazione di dati relativi alla salute del reclamante.
Tuttavia, le argomentazioni difensive del dottore non sono state ritenute dal Garante sufficienti a giustificare il trattamento.
Infatti, da un lato, dall’istruttoria non è emerso che il dottore abbia comunicato i dati del reclamante alla ditta commerciale a seguito di una specifica indicazione da parte della struttura sanitaria. Anzi, è emerso che tale decisione è stata presa autonomamente dal medico stesso, che ha ritenuto di dover anticipare i dati alla società.
Pertanto, il medico deve essere ritenuto quale titolare del trattamento dati in questione.
Conseguentemente, risulta irrilevante il consenso al trattamento dei dati che il paziente aveva fornito alla struttura sanitaria, proprio in quanto fornito alla struttura sanitaria e non al medico (inoltre, il consenso non riguardava la comunicazione dei dati personali di cui si discute).
Inoltre, il Garante ha ritenuto di non condividere la difesa per cui il trattamento fosse necessario per perseguire finalità di cura della salute del paziente, in quanto il paziente aveva già ricevuto l’indicazione circa la società cui doveva rivolgersi per ottenere il macchinario ed inoltre – proprio tramite la email di risposta citata dal dottore – egli aveva già manifestato la propria volontà di provvedere personalmente ed autonomamente all’acquisto del macchinario. Pertanto, la comunicazione dei dati del paziente alla ditta non può considerarsi imprescindibile per la cura del paziente, posto che egli era nelle condizioni di procurarsi autonomamente il macchinario.

3. La decisione del Garante

 In considerazione di quanto sopra, il Garante ha ritenuto che la condotta posta in essere dal medico, consistente nell’inviare in copia conoscenza ad una ditta commerciale (che commercializza un macchinario necessario per la cura del paziente) il referto di una visita medica del paziente, sostanzia una illecita comunicazione di dati relativi alla salute dell’interessato.
Conseguentemente, il Garante ha ritenuto di applicare una sanzione amministrativa pecuniaria a carico del medico.