Smarrimento esame istologico della paziente: sanzione del Garante privacy

Il Garante sanziona una ASL per aver smarrito il vetrino dell’esame istologico della paziente.

Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni: I ricorsi al Garante della privacy

1. I fatti

Il Garante per la protezione dei dati personali riceveva un reclamo da parte di una signora che lamentava che una ASL aveva smarrito i suoi dati biologici, di natura genetica, contenuti nei vetrini di un esame istologico conservati nella sua cartella clinica. In particolare, la paziente sosteneva di aver scoperto detto smarrimento soltanto diversi anni dopo l’esecuzione dell’esame, allorquando il CTU nominato dalla Corte di Appello – in una causa della medesima introdotta nei confronti della ASL per responsabilità medica – aveva riferito di non poter confermare la tesi della paziente medesima in quanto non gli erano stati consegnati dalla ASL i vetrini in questione.
Il Garante, ritenendo che vi fossero i termini di una violazione della normativa privacy, apriva il procedimento sanzionatorio nei confronti della struttura sanitaria e la invitava a inviare i propri scritti difensivi in merito.
La ASL si difendeva sostenendo, in primo luogo, che i dati in questione non erano definibili come dati di tipo genetico, né dati personali in generale, pertanto la perdita del materiale contenuto nei vetrini non potrebbe essere considerata come un illecito trattamento di dati personali. Infatti, la definizione di dato generico sarebbe quella del risultato di un test genetico o comunque ogni altra informazione che identifica le caratteristiche genotipiche di un individuo; mentre la definizione di campione biologico sarebbe quella di materiale biologico da cui si possono estrarre dati genetici di un individuo.
In secondo luogo, la struttura sanitaria sosteneva che, anche se il materiale in questione fosse considerato come dato personale, comunque l’azienda era dotata di un processo strutturato per la gestione e la consegna dei vetrini agli aventi diritto nonché alla archiviazione di detto materiale: l’accesso ai locali dove erano conservati, così come il loro trasporto, erano gestiti con modalità tracciate e tali da poter ricostruire l’intero percorso relativo ai campioni. Pertanto, l’episodio contestato – in cui il vetrino era stato consegnato ad una signora senza che poi questa lo avesse restituito – era da considerarsi un fatto eccezionale.
Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni:

2. Smarrimento esame istologico della paziente: la valutazione del Garante

Preliminarmente, il Garante ha ricordato che il Regolamento europeo per la protezione dei dati personali (GDPR) stabilisce che i dati personali devono essere trattati in maniera da garantire un’adeguata sicurezza, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (è il c.d. principio di integrità e riservatezza). Inoltre, l’adeguatezza di tali misure deve essere valutata da parte del titolare e del responsabile del trattamento rispetto alla natura dei dati, all’oggetto, alle finalità del trattamento e al rischio per i diritti e le libertà fondamentali degli interessati.
In secondo luogo, il titolare del trattamento deve conformarsi ed essere in grado di comprovare sia il rispetto dei principi e degli adempienti previsti dal GDPR (è il c.d. principio di responsabilizzazione).
Ciò premesso, il Garante ha chiarito che i dati relativi alla salute sono tutti i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute, e comprese le informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica e qualsiasi informazione riguardante, ad esempio, una malattia, una disabilità, il rischio di malattie, l’anamnesi medica, i trattamenti clinici o lo stato fisiologico o biomedico dell’interessato, indipendentemente dalla fonte.
Inoltre, per quanto riguarda la custodia e la sicurezza dei campioni biologici, il Garante, con uno specifico provvedimento, aveva già stabilito che il titolare del trattamento deve adottare specifiche cautele nella conservazione, nell’utilizzo e nel trasporto dei campioni biologici, in modo da garantirne la qualità, l’integrità, la disponibilità e la tracciabilità.
Infine, per quanto riguarda la conservazione dei dati relativi alla salute, il Garante ha ricordato che il termine di conservazione di tali dati può essere determinato in 10 anni, ma che la struttura sanitaria ha il diritto di conservare il dato per più tempo qualora vi siano esigenze medico legali o esigenze di difesa della struttura o del medico in un giudizio.
Nel caso di specie, indipendentemente dalla qualificazione dei vetrini di un esame istologico quali “dati genetici”, secondo il Garante gli stessi possono essere riconducibili alle categorie particolari di dati personali previsti dal GDPR. Infatti i materiali biologici in questione, associati ad elementi numerici riferiti all’identità della persona fisica al quale appartiene il materiale, rivelano informazioni in ordine all’avvenuta prestazione di servizi di assistenza sanitaria: pertanto, costituiscono dati sulla salute.
Ciò detto, secondo il Garante, anche se vi fossero state delle procedure per la gestione dei vetrini e non vi fosse stato un obbligo per la struttura sanitaria di conservare detti vetrini per lungo tempo, tali circostanze non esonererebbero comunque la ASL dall’obbligo di documentare quale operazione di trattamento fosse stata effettuata sui dati personali contenuti nei vetrini, ivi compresa la distruzione di detti dati. In altri termini, il principio di responsabilizzazione e quelli di integrità dei dati gravanti sul titolare, impone a quest’ultimo di essere in grado di dimostrare di aver implementato delle misure di sicurezza efficaci per proteggere i dati e tracciare anche le operazioni di distruzione dei dei medesimi che avesse eventualmente compiuto (perché anche la distruzione di un dato è una forma di trattamento).
Nel caso di specie, invece, la struttura sanitaria non è stata in grado di dimostrare dove si trovavano i dati al momento della richiesta del CTU, né che gli stessi erano stati distrutti (ma soltanto che erano stati consegnati da ultimo a una signora, che non li aveva più restituiti).

3. La decisione del Garante

In considerazione di quanto sopra, il Garante ha ritenuto che lo smarrimento, da parte della struttura sanitaria,  dei dati personali contenuti nei vetrini appartenenti alla reclamante fosse illecito.
Conseguentemente il Garante ha ritenuto necessario applicare nei confronti del titolare del trattamento una sanzione amministrativa pecuniaria. Per quanto concerne la sua quantificazione, il Garante, da un lato, ha considerato un medio livello di gravità (tenuto conto del numero di interessati coinvolti, della categoria di dati personali coinvolti, della finalità del trattamento e del livello di danno subito dall’interessata) nonché che la stessa ha preso conoscenza della fattispecie solo a seguito del reclamo dell’interessata; dall’altro lato, ha considerato che la struttura sanitaria ha avuto un elevato grado di partecipazione con l’autorità in tutte le fasi del procedimento e che nei confronti del titolare del trattamento non era stato adottato in precedenza alcun provvedimento per violazioni pertinenti. Sulla base della ponderazione di tutti sopra indicati elementi, il Garante ha ritenuto di quantificare la sanzione amministrativa pecuniaria in €. 18.000 (diciottomila).