La pubblicazione dei nomi di due pazienti di una psicoterapeuta all’interno di una tesi di specializzazione sostanzia violazione della privacy.
1. I fatti
Due coniugi avevano lamentato al Garante per la protezione dei dati personali la violazione della normativa privacy da parte di una psicoterapeuta che aveva pubblicato su internet una tesi contenente i dati personali dei reclamanti e della loro famiglia.
In particolare, i reclamanti sostenevano che durante una cena a casa di conoscenti, apprendevano da uno degli ospiti che la psicoterapeuta aveva pubblicato sul proprio sito web una tesi di specializzazione, dalla medesima redatta con la supervisione di un altro dottore, nella quale raccontava un racconto che riguardava i due reclamanti e la loro storia familiare con riferimenti tali da consentire la loro individuazione. Secondo i reclamanti, infatti, nonostante fossero stati eliminati i cognomi, la tesi conteneva i nomi per esteso di tutti i familiari (cioè dei due coniugi e dei due figli), la loro età, le professioni svolte e dei luoghi in cui dette professioni venivano svolte nonché ulteriori elementi che permettevano di contraddistinguere gli interessati.
In considerazione del reclamo presentato, il Garante apriva il procedimento per decidere gli eventuali provvedimenti da prendere ed invitava la psicoterapeuta e il dottore che aveva supervisionato la sua tesi a inviare i propri scritti difensivi.
La psicoterapeuta sosteneva che a seguito della diffida ricevuta dai reclamanti con cui questi avevano esercitato i diritti di cui al Regolamento europeo per la protezione dei dati personali (GDPR), la stessa aveva provveduto, nei termini di legge, a cancellare la tesi dal sito web.
In secondo luogo, la reclamata sosteneva che il rapporto tra le parti si era costituito nel contesto della specializzazione della psicoterapeuta, in quanto i reclamanti si recavano presso l’istituto dove la stessa stava svolgendo la propria specializzazione e usufruivano dei servizi professionali della psicoterapeuta, mediante una seduta effettuata con la supervisione dell’altro dottore. Dopo l’effettuazione di tale attività professionale, la psicoterapeuta aveva realizzato la tesi e l’aveva pubblicata sul proprio sito web quale prova del titolo di specializzazione conseguito, ma adottando delle misure che aveva ritenuto idonee a non consentire l’individuazione degli interessati: cioè eliminando i loro cognomi e omettendo qualsiasi riferimento alla città di residenza o ad altri luoghi.
La psicoterapeuta, inoltre, sosteneva di aver pubblicato la tesi esclusivamente per valore scientifico e di divulgazione dello studio post universitario che aveva svolto, senza volere in alcun modo che gli interessati potessero essere identificati.
Inoltre, la psicoterapeuta sosteneva che i fatti narrati nella tesi risalivano a ben 17 anni prima e quindi riteneva che, al momento della pubblicazione, la valutazione del rischio che gli interessati fossero identificati non era neanche potenzialmente probabile. Per tale ragione, la psicoterapeuta si difendeva sostenendo che l’ospite della cena che aveva identificato gli interessati fosse già stato a conoscenza della storia narrata nella tesi in quanto amico e conoscente degli interessati.
Infine, la reclamata faceva presente che all’interno della tesi in questione vi era solo un racconto di una storia scelta dagli interessati, ma non erano stati indicati né patologie, né risultati di analisi o suggerimenti di terapie nei confronti degli interessati.
Il dottore, tutor della psicoterapeuta, invece, sosteneva che le relazioni effettuate dagli specializzandi non possono essere pubblicate senza adeguata protezione e senza l’autorizzazione del Presidente dell’istituto dove gli specializzandi svolgono la loro formazione ed inoltre che, nel caso di specie, egli non era stato informato dalla psicoterapeuta che la stessa avrebbe provveduto alla pubblicazione della tesi. Infatti, tale pubblicazione era stata effettuata senza informare nessuno dei didatti che avevano supervisionato il percorso psicoterapeutico degli interessati.
Potrebbero interessarti anche:
2. Le valutazioni del Garante
Nell’esaminare il reclamo in questione, il Garante ha preliminarmente ricordato la definizione di dato personale prevista dal Regolamento europeo e dal codice nazionale, che lo intendono come “qualsiasi informazione riguardante una persona fisica identificata o identificabile” e che si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome o dati relativi all’ubicazione o ad uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
Invece, i dati anonimi sono soltanto le informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato.
Una categoria particolare di dati, è poi quella dei dati relativi alla salute e vi rientrano tutti i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute.
Il titolare del trattamento dei dati deve adottare tutte le misure necessarie per proteggere i dati che tratta e garantire un livello di sicurezza degli stessi adeguato rispetto al rischio di trattamenti non autorizzati o illeciti o dalla divulgazione non autorizzata o comunque dall’accesso da parte di terzi rispetto a tali dati.
Inoltre, il titolare può trattare i dati personali soltanto nel caso in cui vi sia una delle basi giuridiche che lo legittimano, previste dall’art. 6 del GDPR. Mentre, per quanto riguarda i dati relativi alla salute, è espressamente vietata la loro diffusione e gli stessi, anche in ambito sanitario, possono essere comunicati soltanto all’interessato (o a terzi soltanto se sussiste un idoneo presupposto giuridico).
Nel caso di specie, secondo il Garante, la titolare del trattamento ha compiuto una violazione della normativa in materia di privacy.
Infatti, i dati dalla medesima trattati e relativi ai reclamanti sono qualificabili come dati relativi alla salute, in quanto la circostanza che i reclamanti avessero ricevuto prestazioni di psicoterapia costituisce di per sé un dato sulla salute dell’interessato.
Inoltre, secondo il Garante, la semplice rimozione del cognome degli interessati non configura una effettiva anomizzazione dei dati dei reclamanti. Infatti, il dato anonimizzato è tale solo se non consente in alcun modo l’identificazione diretta o indiretta di una persona, tenuto conto di tutti i mezzi (economici, informazioni, risorse tecnologiche, competenze e tempo) nella disponibilità dei terzi che provino a utilizzare tali strumenti per identificare l’interessato.
In considerazione di ciò, la psicoterapeuta ha diffuso i dati personali e relativi alla salute dei reclamanti, mediante la pubblicazione sul proprio sito web della tesi che conteneva diversi aspetti e dettagli della storia personale di ciascuno dei reclamanti. Dati risetto ai quali, tra l’altro, i reclamanti avevano una legittima aspettativa di confidenzialità e riservatezza ancora più alta in quanto avevano un rapporto professionale e fiduciario con la psicoterapeuta.
La psicoterapeuta non ha invece dimostrato la sussistenza di alcuna delle condizioni previste dalla legge che legittimasse la diffusione di tali dati.
3. La decisione del Garante
Il Garante per la protezione dei dati personali ha quindi ritenuto che il titolare del trattamento abbia commesso una violazione della normativa in materia di privacy, ma in considerazione del fatto che quest’ultimo aveva già provveduto a rimuovere dal web la tesi contenente i dati in questione, ha deciso che non ricorrevano i presupposti per adottare delle misure correttive.
Invece, il Garante ha ritenuto che ricossero i presupposti per comminare una sanzione amministrativa pecuniaria a carico della reclamata.
Per quanto riguarda la quantificazione della sanzione da irrogare al titolare del trattamento, il Garante ha valutato, da un lato, che la violazione era rilevante in quanto relativa a dati personali nonché dati connessi alle prestazioni di psicoterapia e che la violazione ha avuto una durata di ben 25 mesi. Dall’altro lato, il Garante ha valutato l’assenza di precedenti violazioni commesse dal titolare del trattamento, il grado di cooperazione da parte di quest’ultimo durante il procedimento dinanzi al Garante e il fatto che, non appena ricevuta l’istanza da parte degli interessati, ha provveduto immediatamente a rimuovere dal web la tesi in questione. Tenendo quindi in debito conto tutti i suddetti elementi, il Garante ha determinato l’ammontare della sanzione nella misura di €. 1.000 (mille euro).
>>>Per approfondire<<<
L’opera mira a fornire agli operatori del settore sanitario, pubblico e privato, gli strumenti per comprendere in modo chiaro e semplice la copiosa normativa relativa al trattamento dei dati sanitari, in modo che gli stessi possano adempiere con tranquillità agli obblighi su di loro gravanti, volti alla cura e alla protezione dei dati personali dei loro assistiti.
La tutela della privacy in ambito sanitario
L’opera mira a fornire agli operatori del settore sanitario, pubblico e privato, gli strumenti per comprendere in modo chiaro e semplice la copiosa normativa relativa al trattamento dei dati sanitari, in modo che gli stessi possano adempiere con tranquillità agli obblighi su di loro gravanti, volti alla cura e alla protezione dei dati personali dei loro assistiti. In particolare, l’Autore, dopo aver illustrato le caratteristiche principali dei dati sanitari, necessarie per poter individuare quali informazioni rientrano in detta categoria, si dedica all’esame di tutte le disposizioni che incidono sul loro trattamento: dal codice privacy fino al GDPR, passando per le linee guida adottate dal Garante nel corso degli anni in tema di dossier sanitario, siti web dedicati alla salute, referti on-line, indagini di customer satisfaction nonché per la normativa in tema di fascicolo sanitario elettronico. Il trattamento dei dati in ambito sanitario, in considerazione della delicatezza delle informazioni che riguardano lo stato di salute degli interessati, è sempre stato estremamente pericoloso. L’opera si rende ancor più utile oggi, in un mondo in cui anche nell’ambito sanitario i dati personali assumono un’importanza fondamentale e vengono trattati attraverso diversi strumenti tecnologici ed elettronici, rientrando la protezione di tali dati tra i principali adempimenti che i professionisti e le strutture sanitarie debbono curare per poter fornire le proprie prestazioni senza preoccupazioni di incorrere in responsabilità.Pier Paolo Muià Si è laureato in Giurisprudenza presso l’Università degli Studi di Firenze. Esercita la professione di avvocato tra Firenze, Prato e Pistoia, occupandosi in particolare di responsabilità medica, diritto di internet, privacy e IP. È autore di numerose pubblicazioni sulle principali riviste giuridiche nazionali e collabora stabilmente con il portale giuridico Diritto.it. È stato relatore in diversi convegni, anche per ordini professionali medici.
Pier Paolo Muià | 2018
Scrivi un commento
Accedi per poter inserire un commento