Il Garante sanziona un centro medico diagnostico per non aver registrato correttamente nel database i dati di due pazienti.
Per approfondire si consiglia il volume: I ricorsi al Garante della privacy
1. I fatti
Un reclamante aveva lamentato al Garante per la protezione dei dati personali un illecito trattamento dei suoi dati personali da parte di un centro medico diagnostico. Il reclamante sosteneva di aver ricevuto periodicamente dalla struttura sanitaria degli SMS sul proprio numero privato come promemoria di appuntamenti per visite mediche, che non aveva mai chiesto ed inoltre di aver riscontrato nella propria dichiarazione dei redditi alcune fratture al medesimo intestate relative a prestazioni sanitarie erogate dal centro medico, che tuttavia egli non aveva effettuato.
Dopo aver chiesto delucidazioni sulla questione al centro medico, il reclamante aveva potuto appurare che la struttura sanitaria aveva un cliente suo omonimo e che gli SMS e le fatture in questione erano in realtà ferite a detto paziente omonimo, ma erano state attribuite per errore al codice fiscale del reclamante.
A seguito delle conseguenti richieste di rettifica, il reclamante non aveva ricevuto alcuna conferma scritta dell’intervenuta soluzione della problematica ed anzi aveva continuato a ricevere SMS dal centro medico relative a visite mai richieste dal medesimo.
A fronte della richiesta di chiarimenti da parte del garante, il centro medico si difendeva sostenendo di essere entrato in contatto con il reclamante e con l’altro paziente omonimo, per diversi motivi professionali, e di aver inserito nel proprio database entrambi i due nominativi con identico nome cognome, ma con indirizzi e codici fiscali diversi.
Poiché nell’anno 2021 il paziente, omonimo del reclamante, aveva usufruito di alcune prestazioni, il centro medico aveva emesso le due relative fatture, inserendo per errore l’indirizzo e il codice fiscale del reclamante. Le due fatture erano state immediatamente consegnate in forma cartacea al paziente, il quale le aveva prese. senza però evidenziare che l’indirizzo e il codice fiscale fossero quelli del reclamante. In considerazione di ciò. l’operatrice del centro medico non aveva potuto avvedersi dell’errore di omonimia che era stato compiuto.
Secondo il centro medico, nella condotta sopradescritta non era ravvisabile alcuna violazione della privacy, in quanto non sarebbero stati diffusi i dati personali del reclamante, ma i dati dell’altro paziente (omonimo), che aveva fruito delle prestazioni sanitarie. Tuttavia quest’ultimo, il quale era stato contattato dalla struttura sanitaria e al quale era stata segnalata la situazione, aveva ritenuto di non presentare alcuna contestazione e di continuare a usufruire dei servizi del centro medico.
Infine, il centro medico sosteneva che il problema dell’omonimia avesse riguardato anche il sistema che gestiva l’agenda delle visite e che generava in automatico gli SMS di pro-memoria. Per tale ragione, il reclamante aveva ricevuto gli SMS in questione.
Infine, la struttura sanitaria concludeva le proprie difese affermando di aver risolto la problematica lamentata dal reclamante.
Potrebbero interessarti anche:
2. Le valutazioni del Garante
Il garante ha ritenuto che il centro medico abbia effettuato un trattamento di dati in violazione del principio di esattezza e di integrità e riservatezza dei dati nonché abbia effettuato una comunicazione di dati relativi alla salute in assenza di idoneo presupposto giuridico.
Secondo il garante, ai sensi della normativa in materia di privacy, per dato personale deve intendersi qualunque informazione che riguardi una persona fisica identificata o identificabile; inoltre, per dato relativo alla salute deve intendersi qualunque dato attinente alla salute fisica o mentale di una persona fisica, ivi compresa la prestazione di servizi di assistenza sanitaria, che rivelino informazioni relative al suo stato di salute.
La normativa in materia di privacy individua una serie di principi che devono essere applicati durante il trattamento dei dati di cui sopra:
- infatti, i dati trattati devono essere esatti e sempre aggiornati;
- inoltre, il titolare del trattamento deve adottare tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per cui sono trattati;
- infine, i dati devono essere trattati in modo tale da garantire un’adeguata sicurezza dei medesimi, compresa la protezione dalla loro perdita, attraverso l’uso di misure tecniche e organizzative idonee.
Inoltre, in ambito sanitario le informazioni sullo stato di salute possono essere comunicate solo all’interessato e possono essere comunicate a terzi sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso, previa delega scritta di quest’ultimo.
Nel caso di specie, il centro medico ha effettuato un trattamento di dati del paziente omonimo in violazione dei principi di cui sopra, in quanto ha comunicato alla reclamante l’avvenuta prestazione di un servizio di assistenza sanitaria riferita ad una persona specificatamente indicata (dato che, in base a quanto visto sopra, costituisce un’informazione riconducibile alla nozione di dato sulla salute). Inoltre, il centro medico ha effettuato un trattamento di dati del reclamante in violazione dei principi di cui sopra, in quanto ha errato nella compilazione delle due fatture, portando così a conoscenza del paziente omonimo i dati del reclamante (codice fiscale e indirizzo, oltre a nome e cognome).
3. La decisione del Garante
In considerazione di tutto quanto sopra, quindi, il Garante ha ritenuto che la condotta posta in essere dal centro medico fosse da ritenersi illecita e conseguentemente ha deciso di adottare nei confronti della struttura sanitaria una sanzione amministrativa pecuniaria.
Per quanto concerne la quantificazione della sanzione pecuniaria, il Garante ha valutato, da un lato, il fatto che l’autorità avesse preso conoscenza dell’evento soltanto a seguito del reclamo da parte dell’interessato e il fatto che il trattamento dei dati effettuato dal centro medico ha riguardato dati idonei a rilevare informazioni sulla salute di due interessati; dall’altro lato, ha preso in considerazione il fatto che, dal punto di vista dell’elemento soggettivo, non emergesse alcun atteggiamento intenzionale da parte del titolare del trattamento nel porre in essere la violazione riscontrata e il fatto che il titolare abbia collaborato con l’autorità e che non avesse subito precedenti provvedimenti da parte del garante per violazioni pertinenti. All’ esito delle suddette valutazioni, il garante ha quantificato la sanzione pecuniaria amministrativa nell’importo di euro 10.000 (diecimila).
Volume consigliato
I ricorsi al Garante della privacy
Giunto alla seconda edizione, il volume affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali, alla luce delle recenti pronunce del Garante della privacy, nonché delle esigenze che nel tempo sono maturate e continuano a maturare, specialmente in ragione dell’utilizzo sempre maggiore della rete. L’opera si completa con una parte di formulario, disponibile online, contenente gli schemi degli atti da redigere per approntare la tutela dei diritti dinanzi all’Autorità competente. Un approfondimento è dedicato alle sanzioni del Garante, che stanno trovando in queste settimane le prime applicazioni, a seguito dell’entrata in vigore della nuova normativa. Michele Iaselli Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II, nonché Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore in numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.
Michele Iaselli | Maggioli Editore 2022
Scrivi un commento
Accedi per poter inserire un commento