Viola la privacy l’ospedale che inserisce il nominativo di un paziente all’interno di un cartellone pubblicitario dei servizi sanitari offerti.
Per approfondimenti si consiglia: Compendio breve sulla privacy
1. I fatti
Una persona inviava un reclamo al Garante per la protezione dei dati personali in cui sosteneva che un’azienda sanitaria locale aveva realizzato un cartellone pubblicitario che rappresentava un operatore sanitario seduto ad una postazione di lavoro nell’atto di gestire una pratica da cui erano visibili “il nome cognome, data di nascita, luogo di nascita, residenza, numero libretto sanitario, scheda di pronto soccorso, data ingresso ora, data uscita, gravità della dimissione, prognosi, cura e medicinali prescritti, del reclamante.
Conseguentemente, l’ufficio richiedeva informazioni alla Asl in ordine ai fatti descritti nel reclamo.
La struttura sanitaria sosteneva che nel cartellone in questione fosse raffigurata una prestazione di pronto soccorso, dove era effettivamente visibile soltanto il nome e il cognome dell’interessato. Sul punto, la struttura sanitaria ammetteva che, effettivamente, vi era stato un trattamento di dati personali relativi alla salute, nella misura in cui si era creata una correlazione tra l’interessato (appunto, individuato tramite il nome e cognome) e una generica prestazione di pronto soccorso. Tuttavia precisato alla Asl che, non essendo rinvenibili altre informazioni, non potevano essere ricavati ulteriori dati relativi all’interessato.
In secondo luogo, la struttura sanitaria sosteneva che il cartellone in questione era stato collocato nella zona di triage del pronto soccorso (precisamente, nel corridoio principale di ingresso dei pazienti del pronto soccorso, che all’epoca dei fatti era utilizzato solo da pazienti in ingresso covid negativi e che era un ambiente dove normalmente non si verificarono soste da parte di pazienti con altri utenti), soltanto per un breve periodo non superiore a poche settimane. Inoltre, tale collocazione del cartellone era avvenuta per una semplice disattenzione del personale, in una situazione di emergenza sanitaria dovuta alla pandemia. Ad ogni modo, la struttura sanitaria rilevava che, a seguito della richiesta di risarcimento danni nonché di immediata cancellazione dei dati formulate dall’interessato per il tramite del proprio legale, il cartellone era stato rimosso dal pronto soccorso e riposto all’interno di una stanza chiusa a chiave, con accesso limitato esclusivamente al personale autorizzato.
In terzo luogo, la Asl sosteneva che, a seguito delle verifiche effettuate dalla struttura sanitaria dell’intero ambito territoriale dell’azienda, era stato verificato che non vi erano altri esemplari del cartellone pubblicitario né all’interno dell’ospedale in questione, né all’interno di altre strutture sanitarie per la Asl, né all’interno del sito Web o della pagina facebook aziendale.
Infine, la Asl sosteneva che il giudice per le indagini preliminari aveva già disposto l’archiviazione del procedimento penale introdotto nei confronti della responsabile per la protezione dei dati personali della struttura sanitaria, in considerazione del fatto che nel cartellone non erano individuati gli altri dati del reclamante, se non il suo nominativo, e che anche quest’ultimo era visibile solo a seguito di un rilevante ingrandimento.
Preso atto delle memorie difensive depositate dalla struttura sanitaria, il garante avviava il procedimento per l’adozione dei provvedimenti sanzionatori, rilevando che la Chiesa sanitaria aveva diffuso dati relativi alla salute del reclamante in quanto nel cartellone pubblicitario de quo erano visibili quantomeno i dati anagrafici del reclamante medesimo associate la circostanza che gli aveva usufruito di una prestazione sanitaria.
Potrebbero interessarti:
La finalità, stella polare della progettazione di ogni trattamento dei dati personali
Sempre escluso l’accesso civico generalizzato ai dati relativi alla salute
2. Le valutazioni del Garante
Il Garante ha preliminarmente evidenziato che ai sensi del Regolamento si considerano “dati relativi alla salute” i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute e che i dati relativi alla salute comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria.
Inoltre, tali dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato e devono essere adeguati, pertinenti e limitati a quanto necessario per raggiungere le finalità per cui gli stessi sono trattati.
Il titolare del trattamento, infine, deve trattare detti dati in modo tale da garantire un’adeguata sicurezza dai rischi di trattamenti non autorizzati o illeciti e comunque dalla perdita accidentale dei dati nonché adottare, fin dal momento in cui viene determinato il trattamento da compiersi, delle misure tecniche e organizzative adeguate ad applicare i principi di protezione dei dati di cui sopra, garantendo anche che, per impostazione predefinita, siano trattati soltanto i dati personali necessari per la specifica finalità del trattamento.
Ciò premesso, per quanto riguarda il trattamento dei dati personali relativi alla salute, il garante ha ricordato che la normativa in materia di privacy vieta la diffusione delle informazioni sullo stato di salute dell’interessato e stabilisce che le stesse possono essere comunicate a un soggetto diverso dall’interessato solo se sussiste un idoneo presupposto giuridico o su indicazione dell’interessato stesso.
Inoltre, la richiamata normativa vieta anche la pubblicazione di ogni informazione da cui si possa desumere lo stato di malattia dell’interessato o comunque l’esistenza di patologie a suo carico.
Nel caso in cui sia necessario pubblicare documenti in cui sono contenuti dati dell’interessato, il titolare del trattamento deve comunque provvedere al relativo oscuramento.
Nel caso di specie, il garante ha accertato che nel cartellone pubblicitario erano riconoscibili il nome e il cognome del reclamante, in quanto presenti nella schermata dell’operatore del pronto soccorso che la ripresa del cartellone. La presenza di detti dati, associati alla circostanza che dall’immagine contenuta nel cartellone era presumibile che l’operatore sanitario stesse erogando una prestazione sanitaria all’interessato, comporta una diffusione di dati sulla salute del reclamante.
3. La decisione del Garante
Il Garante ha ritenuto dunque accertato che la condotta posta in essere dall’ASL, consistente nel posizionare il cartellone pubblicitario in cui si discute nel corridoio principale d’ingresso dei pazienti del pronto soccorso o comunque in una zona accessibile a chiunque, sostanzia una violazione della normativa in materia di protezione dei dati personali.
In considerazione di ciò, il Garante ha ritenuto che il trattamento dati posto in essere dalla struttura sanitaria fosse illecito.
Tuttavia, in considerazione del fatto che la struttura sanitaria aveva già rimosso il cartellone pubblicitario in questione, il garante ha ritenuto che non ricorressero i presupposti per l’adozione di misure correttive. Invece, il garante ha ritenuto di comminare una sanzione pecuniaria amministrativa, a carico del titolare del trattamento, che ha ritenuto di quantificare – tenendo conto degli elementi attenuanti e di quelli aggravati della fattispecie concreta – nell’importo complessivo di €. 20.000 (ventimila).
Volume consigliato
In questa monografia, la lettura della disciplina sulla protezione dei dati personali è guidata dall’articolazione del GDPR, integrato dai provvedimenti dell’Autorità Garante ed esplicato attraverso le pronunce della giurisprudenza su fattispecie particolari.
Compendio breve sulla privacy
L’obiettivo del libro è quello di illustrare la disciplina privacy in maniera informale, ma non per questo meno puntuale. Spesso, il tenore giuridico rende difficilmente comprensibile il senso, ovvero il contenuto e la ratio legis, ai non specialisti. Parafrasarne il testo, con l’ausilio di esempi e casi concreti, invece, consente di entrare immediatamente in argomento senza alcuna anticamera, pur restando imprescindibile la consultazione della disposizione ufficiale. Nello specifico, in questa monografia, la lettura della disciplina sulla protezione dei dati personali è guidata dall’articolazione del GDPR, integrato dai provvedimenti dell’Autorità Garante ed esplicato attraverso le pronunce della giurisprudenza su fattispecie particolari. In tal modo, da un lato viene facilitata la comprensione del dettato normativo, dall’altro il dato normativo assume la propria peculiare sostanza attraverso l’applicazione concreta. Questo manuale, grazie al suo taglio editoriale, intende rivolgersi non soltanto a professionisti e cultori della disciplina, ma anche a coloro che, nelle Pubbliche Amministrazioni e nelle imprese, si trovano a dover affrontare la materia e, altresì, a coloro che devono sostenere prove concorsuali. Jean Louis a Beccara Avvocato, certificato Responsabile della protezione dei dati (DPO) – Cepas Srl (Gruppo Bureau Veritas Italia Spa). Direttore dell’Ufficio Organizzazione e gestione della privacy della Provincia autonoma di Trento. Docente in corsi di formazione, relatore in convegni, nonché autore di numerose monografie e pubblicazioni in materia su riviste scientifiche e specialistiche.
Jean Louis a Beccara | Maggioli Editore 2021
Scrivi un commento
Accedi per poter inserire un commento