Il trattamento dei dati sulla salute di un paziente e la necessità di un consenso informato ai fini della divulgazione scientifica

di Muia' Pier Paolo, Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio

 

Garante per la protezione dei dati personali: Provvedimento del 15 aprile 2021, Ordinanza di ingiunzione nei confronti di Società triveneta di chirurgia 15 aprile 2021, Ordinanza di ingiunzione 15 aprile 2021

Il fatto.

Nel Provvedimento e nelle Ordinanze oggetto del presente commento il Garante per la protezione dei dati personali è stato chiamato a intervenire in merito ad una questione relativa alla diffusione di dati sulla salute di un paziente.

Un paziente aveva presentato ricorso al Garante sostenendo di essere stato sottoposto ad intervento chirurgico presso l’azienda sanitaria locale e che successivamente aveva rinvenuto i propri dati e le fotografie dell’intervento che lo riguardavano su un sito internet di una società medico-scientifica. In particolare, tali dati e fotografie erano state oggetto di alcune diapositive proiettate in un congresso medico da parte del medico, dipendente presso l’Azienda sanitaria, che aveva seguito il suo caso ed erano poi stati pubblicati sul sito della Società di chirurgia che aveva organizzato il congresso, qualificando l’intervento in  oggetto come  “Migliore caso clinico 2017”.

Dalla documentazione fornita dal paziente al Garante è emerso che le diapositive sopra citate contenevano: le iniziali del paziente, l’età, il sesso, l’anamnesi dettagliata della patologia sofferta dallo stesso, dettagli sui ricoveri effettuati dal 1980 al 2016 e sugli interventi chirurgici subiti in tale periodo, con l’indicazione delle date di ricovero e di intervento, l’unità di chirurgia che aveva effettuato gli interventi, i giorni di degenza, numerose immagini diagnostiche che ritraggono l’interessato durante gli interventi chirurgici.

Inoltre, è emerso che attraverso l’interrogazione del motore di ricerca Google circa la tipologia di intervento subito dal reclamante, i risultati restituiti dal motore di ricerca rimandavano ai link delle pagine web dove erano contenuti i dati e le informazioni riguardanti il reclamante.

Infine, sempre dalla documentazione acquisita durante l’istruttoria del Garante, è emerso che nel modulo di consenso informato all’intervento chirurgico sottoscritto dal reclamante non era stata fatta menzione della ripresa fotografica dell’intervento medesimo, né dell’utilizzo delle medesime e dei dati personali del paziente per predisporre diapositive da mostrare in congressi scientifici. Anzi, è emerso che, ai fini della predisposizione delle diapositive, la dottoressa aveva utilizzato i dati e i documenti sanitari presenti negli archivi informatici dell’Azienda, nonché materiale fotografico realizzato nell’ambito del percorso di cura dell’interessato, senza aver acquisito il consenso dell’interessato né l’autorizzazione del titolare del trattamento (cioè l’azienda sanitaria presso cui la stessa era dipendente).

Volume consigliato

Cybersecurity e privacy: come proteggere il tuo sito - e-Book in pdf

Cybersecurity e privacy: come proteggere il tuo sito - e-Book in pdf

Damiano Marinelli, Chiara Gambelunghe, Daniele Giancola, Michele Spigarelli, 2021, Maggioli Editore

L’ebook affronta la nuova tematica della cybersecurity connessa al mondo privacy in relazione al web, approfondendo sia gli aspetti giuridici che quelli tecnici propri del marketing, offrendo un chiaro quadro della normativa e spunti interessanti per ,muoversi al meglio in...



La decisione del Garante

In considerazione della fattispecie concreta come sopra descritta, il Garante ha contestato la violazione della normativa in materia di privacy a tutti i soggetti coinvolti: cioè l’Azienda sanitaria, il medico e la società scientifica che aveva pubblicato sul proprio sito internet le diapositive con i dati.

In particolare, il Garante ha contestato all’Azienda ospedaliera la violazione dei principi di integrità e riservatezza e la mancata adozione di misure tecniche ed organizzative volte a ridurre il rischio che il personale autorizzato ad accedere ai dati personali e ai documenti clinici dell’interessato, possa poi utilizzarli per finalità diverse da quelle di cura dell’interessato.

Infatti, la disciplina in materia di protezione dei dati personali stabilisce che le informazioni sullo stato di salute possano essere comunicate solo all’interessato o a terzi sulla base di un idoneo presupposto giuridico, disponendo comunque il divieto di diffusione di dati idonei a rivelare lo stato di salute.

Con specifico riferimento, invece, alla pubblicazione dei casi clinici il codice di deontologia medica sancisce la necessità di non identificabilità dei soggetti coinvolti nelle pubblicazioni o divulgazioni scientifiche di dati e studi clinici.

In questo caso, il Garante ha ritenuto che il comportamento dell’azienda sanitaria sia stato isolato e gestito in maniera tempestiva dalla stessa, che al momento dei fatti era intervenuta promuovendo iniziative volte a regolamentare l’utilizzo di documenti aziendali per fini di partecipazione a convegni e seminari, alimentandone la diffusione a livello regionale.

Per quanto concerne la società scientifica, in merito alla pubblicazione delle diapositive sul proprio sito web, quest’ultima si è difesa affermando che il Convegno di riferimento prevedeva la sottoscrizione da parte dei relatori di un modulo in cui veniva espressa, oltre che la conferma della provenienza dell’elaborato scientifico, anche l’autorizzazione alla pubblicazione nella piattaforma web dell’associazione.

Secondo il Garante, tuttavia, nonostante tale modulo risultasse compilato e sottoscritto dalla dottoressa in questione, esso non conteneva comunque alcuna autorizzazione alla pubblicazione delle diapositive sul sito web. Pertanto, la loro pubblicazione da parte della società ha determinato la diffusione di informazioni dello stato di salute di un soggetto.

In considerazione di ciò, il Garante ha ritenuto che la Società abbia diffuso informazioni riservate del paziente, quali le sue iniziali, l’età e i dettagli dei ricoveri, nonché le numerose immagini fotografiche, rendendo l’interessato identificabile, nonostante non vi fosse il consenso informato del medesimo in merito alla divulgazione dei propri dati personali.

Per quanto concerne, invece, il sanitario, quest’ultima si era difesa affermando che il paziente, dopo aver prestato il proprio consenso al trattamento per finalità di cura, era stato informato delle finalità relative all’acquisizione delle fotografie e che il caso clinico era stato poi successivamente esaminato in sede congressuale (in considerazione della complessità dello stesso e al fine di ottenere ulteriori spunti utili sul trattamento diretto del paziente), senza che il medico immaginasse  o comunque prevedesse una possibile pubblicazione sul sito internet della Società

Sul punto il Garante ha ritenuto illegittimo il comportamento del sanitario, in quanto, nelle diapositive oggetto della presentazione, egli ha trattato dati personali e documenti clinici al di fuori delle finalità di cura e senza procedere ad un efficace anonimizzazione degli stessi. Infatti, secondo il Garante, tali informazioni oltre ad aver reso identificabile il paziente sono state diffuse in assenza di qualsiasi autorizzazione da parte dell’azienda sanitaria.

Per quanto riguarda, infine, le misure sanzionatorie adottate per i comportamenti illeciti tenuti dai tre soggetti coinvolti, il Garante ha sanzionato l’Azienda ospedaliera con la previsione di un’ammonizione in virtù della violazione dell’art.17 del Regolamento n.1/2019.

Il Garante ha poi disposto l’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, lett. a) di euro 2.000,00 a carico della Società a causa della diffusione di informazioni sulla salute dell’interessato, quantificando l’importo in misura tutto sommato esigua in considerazione del fatto che la società aveva prontamente rimossole diapositive dal sito web e aveva modificato i modelli utilizzati per la partecipazione dei professionisti agli incontri scientifici in modo più uniforme ai codici di condotta per l’uso dei dati a fini didattici o di pubblicazioni scientifiche.

Infine il Garante ha sanzionato il medico con l’applicazione della sanzione amministrativa pecuniaria di euro 5.000,00 per la violazione degli artt. 5 par.1 lett.a) e c) e 83, par. 5, lett. a), tenuto conto che il trattamento dei dati dell’interessato è avvenuto nell’ambito di una occasione di condivisione del sapere scientifico nella comunità medica e che il modello di iscrizione al premio non riportava alcuna autorizzazione della stessa alla pubblicazione delle predette diapositive sul sito web della Società organizzatrice del convegno.

Volume consigliato

Cybersecurity e privacy: come proteggere il tuo sito - e-Book in pdf

Cybersecurity e privacy: come proteggere il tuo sito - e-Book in pdf

Damiano Marinelli, Chiara Gambelunghe, Daniele Giancola, Michele Spigarelli, 2021, Maggioli Editore

L’ebook affronta la nuova tematica della cybersecurity connessa al mondo privacy in relazione al web, approfondendo sia gli aspetti giuridici che quelli tecnici propri del marketing, offrendo un chiaro quadro della normativa e spunti interessanti per ,muoversi al meglio in...



Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

pier-paolo-muia

Muia' Pier Paolo

Co-founder dello Studio Legale "MMP Legal", svolge la professione di avvocato in Firenze, Prato e Pistoia, occupandosi in via principale con il suo staff di responsabilità professionale e civile; internet law, privacy e proprietà intellettuale nonchè diritto tributario. In particolare, svolge attività di assistenza e difesa sia di professionisti destinatari di richieste di risarcimento  danni per inadempimento professionale sia di soggetti danneggiati da sinsitri, soprattutto per malpractice medica; consulenza relativamente alla gestione e alla tutela dei dati personali in ogni area e settore di attività nonché assistenza e difesa, stragiudiziale e giudiziale, per quanto riguarda i contratti e i rapporti tramite internet ed in generale tutte le problematiche relative ai servizi on line ed ai correlati diritti; redazione di accordi di licenza e cessione di marchi, dei diritti di sfruttamento economico delle opere dell'ingegno, di know-how e di brevetti; difesa giudiziale per la tutela dei diritti d'autore e di brevetti, marchi e disegni, nonché avverso attività di concorrenza sleale; difesa e rappresentanza nei giudizi dinanzi alle commissioni tributarie. Per Diritto.it è Referente delle sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio. Pagina Facebook: https://www.facebook.com/studiolegalemasimuia/?ref=br_rs Pagina Instagram: https://www.instagram.com/mmp_studiolegale/


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

Ricevi tutte le novità di Diritto.it attraverso le nostre newsletter. 

Non abbandonare Diritto.it
senza iscriverti alle newsletter!