Richiesta dati sensibili via mail: intervento del Garante

La richiesta di informazioni relative allo stato di salute e agli orientamenti sessuali mediante un questionario inviato per email è illecita.
Per approfondimenti si consiglia: Compendio breve sulla privacy

1. I fatti: mail con richiesta di questionario

Il Garante per la protezione dei dati personali aveva ricevuto numerose segnalazioni e reclami provenienti da varie persone, la quali sosteneva che un istituto sanitario del Lazio, che si occupava di malattie infettive, aveva inviato un questionario, alle persone che si erano dichiarate interessate e ricevere la vaccinazione contro il vaiolo delle scimmie, con la richiesta di compilazione del medesimo affinché l’istituto potesse effettuare una valutazione sul rischio per il programma vaccinale.
In particolare, nel suddetto questionario, veniva richiesto agli interessati, che erano identificati con dati anagrafici e di contatto, di rispondere ad alcuna domande selezionando una o più risposte predefinite, come ad esempio: se si ““Rientra in una delle seguenti definizioni: gay – transgender – bisessuale – uomo che ha rapporti sessuali con uomini (MSM)”; se si “ha avuto una storia recente (ultimi 3 mesi) con più partner sessuali?” o si “Ha partecipato a eventi di sesso di gruppo? a incontri sessuali in locali/club/cruising/saune?”; se si “Ha avuto una recente infezione sessualmente trasmessa (sifilide, gonorrea, clamidia) con almeno un episodio nell’ultimo anno?” o se si “Ha abitudine con la pratica di associare gli atti sessuali al consumo di droghe chimiche (Chemsex)?“.
A seguito delle predette segnalazioni, il Garante, prima chiedeva informazioni all’istituto in questione e, dopo, ritenendo che ci fossero delle possibili violazioni della normativa privacy, gli comunicava l’apertura del procedimento e lo invitava a depositare eventuali memorie difensive.
In primo luogo, l’istituto si è difeso sostenendo che nel periodo iniziale della campagna vaccinale contro il vaiolo delle scimmie le richieste di prenotazione erano superiori rispetto alle disponibilità di vaccino nella disponibilità dell’istituto e che quest’ultimo era l’unico centro vaccinale per l’intera regione Lazio.
Infatti, l’istituto era stato fornito di sole 1.200 dosi, che permettevano la vaccinazione di sole 600 persone (perché ogni vaccino comporta l’inoculazione di due dosi), mentre le richieste di prenotazione nel primo giorno erano state ben 300 e ulteriori 400 richieste erano giunte nei tre giorni successivi.
Pertanto, l’istituto è stato costretto a raccogliere informazioni relative allo stato di salute e alla vita sessuale delle persone che avevano richiesto la prenotazione del vaccino, in modo da poter selezionare più velocemente possibile i soggetti da vaccinare per primi in base al rischio di contrarre la malattia.
In particolare, la procedura di prenotazione prevedeva che ogni persona interessata a vaccinarsi inviasse una email all’indirizzo messo a disposizione dall’istituto e, tramite un sistema di risposta automatica, quest’ultimo inviava informazioni sulla vaccinazione, invitando l’interessato a rivolgersi ai centri di malattie infettive se era già seguito da questi oppure, in caso contrario, invitando l’interessato a compilare la sceda di valutazione contenente il questionario – oggetto di segnalazione al Garante – redatto in base ai criteri della circolare ministeriale (la quale identificava come persone a rischio malattia, quelle con particolari comportamenti sessuali o che erano già affette da altre patologie a trasmissione sessuale, e individuava nei centri vaccinali i soggetti deputati a valutare nel caso concreto la sussistenza dei criteri di rischio). Infine, la richiesta di vaccinazione, con il predetto questionario compilato, veniva valutata dal personale medico per verificare se la persona che richiedeva il vaccino rispondesse ai criteri individuati nella circolare ministeriale legati al suo comportamento sessuale e quindi se vaccinare o meno l’interessato e, in caso positivo, se assegnargli uno status prioritario.
In secondo luogo, l’istituto sosteneva che, per mero errore materiale, non era stata allegata alla predetta scheda di valutazione l’informativa privacy, ma che comunque detta informativa era presente in sede di vaccinazione ed era acclusa al fascicolo di ogni interessato che si era vaccinato.
Inoltre, l’istituto precisava che, dopo il primo periodo emergenziale di inizio della campagna vaccinale (e quindi riequilibratosi il rapporto tra le dosi di vaccino e il numero di richiedenti la vaccinazione), aveva modificato il procedimento di richiesta della vaccinazione, prevedendo che non fossero più raccolti i dati sulle condizioni che rendono la persona come eleggibile al vaccino. In particolare, a seguito della richiesta di vaccinazione inviata dall’interessato, quest’ultimo riceve una risposta automatica sui criteri di eleggibilità, con allegata l’informativa privacy e con la indicazione di inviare la richiesta di vaccinazione ad un altro indirizzo email specifico.  
Infine, l’istituto ha assicurato che le email di prenotazione attualmente sono cancellate entro le 24 ore dalla loro ricezione e che le email ricevute nella prima fase della campagna vaccinale sono state cancellate e non è mai stata creata alcuna banca dati contenenti le informazioni contenute nei questionari.

Potrebbero interessarti anche:

• Informazioni su incarichi assunti da un legale per una PA: dati personali
• La Regione, titolare del trattamento dei dati sanitari, risponde anche nel caso di trattamento illegittimo su richiesta del Ministero
• E’ legittimo il rifiuto della regione di ostendere i dati relativi ai soggetti contagiati da Covid-19 a fronte di una richiesta di accesso civico.

2. Le valutazioni del Garante

Preliminarmente, il Garante ha ricordato che i dati personali devono essere trattati in modo lecito, corretto e trasparente, fornendo preventivamente agli interessati le informazioni di cui all’art. 13 del Regolamento europeo per la protezione dei dati personali (GDPR) e che tale informativa privacy deve essere resa in una forma concisa, trasparente, intelligibile e facilmente accessibile all’interessato, con un linguaggio semplice e chiaro.
Inoltre, in base ai principi di integrità e riservatezza, i dati personali devono essere trattati in maniera da garantire un’adeguata sicurezza, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.
Posto che, nel caso di specie, i soggetti che rientrano nelle categorie considerate ad alto rischio di contagio sono individuati in base alle loro abitudini sessuali e alle loro particolari condizioni di salute, le suddette informazioni godono di una tutela rafforzata, in quanto il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali.
Infatti, per detti dati – poiché sono inquadrabili nella categoria dei dati relativi alla salute, alla vita sessuale e all’orientamento sessuale – il GDPR prevede un generale divieto di trattamento.
Inoltre, il titolare del trattamento deve tenere conto dei potenziali rischi esistenti per gli interessi e diritti dell’interessato, impedendo effetti discriminatori nei confronti di quest’ultimo sulla base dell’orientamento sessuale.
Nel caso di specie, la circolare del ministero della salute ha individuato i soggetti a più alto rischio di contrarre il vaiolo delle scimmie, coloro che hanno delle malattie sessualmente trasmissibili e che hanno comportamenti sessuali ad alto rischio. Tuttavia, il Ministero ha chiarito che non è prevista l’identificazione preventiva della platea dei soggetti da vaccinare e che, nel rispetto del principio di minimizzazione dei dati, non è prevista l’indicazione di una categoria a rischio. Anzi, la circolare chiarisce che le informazioni circa lo stato di salute e l’orientamento sessuale degli interessati siano raccolte nell’ambito del rapporto medico-paziente e nel rispetto degli obblighi di riservatezza, anche di tipo deontologico, cui il professionista sanitario è tenuto.
In considerazione di ciò, la raccolta delle suddette informazioni delle persone che erano interessate alla vaccinazione già al momento della prenotazione e non invece nel successivo momento del colloquio tra il medico e l’interessato, nonché il non aver fornito agli interessati l’informativa privacy già al momento in cui è stato inviato il questionario, comporti una violazione dei principi di liceità, correttezza, trasparenza e integrità nonché di riservatezza previsti dal GDRP.
In altri termini, la raccolta di tali dati sulla salute e sulla vita sessuale degli interessati avrebbe dovuto essere effettuata nell’ambito del rapporto medico – paziente e non in fase di prenotazione del vaccino attraverso la raccolta delle email contenenti le risposte al questionario inviate all’indirizzo email indicato dall’istituto.
Inoltre, l’informativa privacy avrebbe dovuto essere resa dal titolare del trattamento nel momento in cui i dati sono stati raccolti e quindi unitamente all’invio del questionario (e non successivamente, cioè al momento della vaccinazione).

3. La decisione del Garante

In considerazione di quanto sopra, il Garante ha ritenuto che i trattamenti effettuati dall’istituto sanitario in questione fossero illeciti.
Tuttavia, tenuto conto che il vaiolo delle scimmie è stata dichiarata emergenza sanitaria globale e che l’istituto in questione era l’unico a somministrare il vaccino per tutte la regione Lazio, nonché che la circolare ministeriale faceva riferimento proprio alle condizioni di salute e all’orientamento sessuale per valutare l’eleggibilità del richiedente alla somministrazione del vaccino e che i dati personali in questione sono stai cancellati e mai raccolti in una banca dati, il Garante ha considerato la suddetta violazione della normativa privacy come “minore” e ha ritenuto sufficiente ammonire il titolare del trattamento.

Volume consigliato