L’omessa verifica che l’interessato sia l’unico destinatario dell’email contenente in allegato una TAC costituisce violazione della privacy
1. I fatti
Un paziente di un dentista aveva presentato un reclamo al Garante per la protezione dei dati personali sostenendo che il medico avesse violato la normativa in materia di privacy, in quanto aveva inviato una TAC del paziente al consiglio dell’ordine dei medici locale.
In particolare, il paziente sosteneva di aver inviato numerose richieste al dentista per ottenere la documentazione medica, a lui riferita, detenuta dal sanitario e che questi aveva inviato, tramite PEC, un file .zip contenente una TAC effettuata sul reclamante, inserendo per conoscenza tra i destinatari anche l’Ordine dei medici locale. In tal modo, secondo il reclamante, il medico aveva compiuto una illecita diffusione di un dato sanitario del reclamante.
Il Garante, esaminato il reclamo, chiedeva chiarimenti al dentista. Quest’ultimo sosteneva che il paziente aveva formulato numerose richieste tramite PEC nonché con insistenti messaggi su whatsapp e che il rapporto professionale aveva “preso una piega spiacevole”. Tra i vari messaggi PEC inviati dal reclamante vi era stato uno contenente la richiesta di invio della TAC in questione e il dentista si era limitato a rispondere alla PEC, senza accorgersi che il paziente aveva inserito tra i destinatari per conoscenza della comunicazione anche l’ordine dei medici locale. Pertanto, il messaggio di risposta del medico (contenente la TAC) era stato inviato, automaticamente, anche all’ordine dei medici, ma senza che il sanitario avesse avuto alcuna intenzione in tal senso.
In secondo luogo, il dentista sosteneva che il paziente aveva ripetutamente coinvolto l’ordine dei medici nella vicenda e in generale nella valutazione del rapporto professionale tra le parti e in ragione di ciò, lo stesso Ordine aveva successivamente richiesto al dentista una copia di tutti i dati che si erano scambiati medico e paziente, ivi compresa la copia della TAC in questione.
Il Garante ha ritenuto che le informazioni rese dal dentista non fossero sufficienti a archiviare la questione ed ha quindi avviato il procedimento per l’eventuale irrogazione delle sanzioni a carico del dentista, invitandolo a depositare memorie difensive.
Il dentista fondamentalmente ribadiva le argomentazioni difensive già esposte in precedenza, aggiungendo che il file contenente le immagini radiologiche delle arcate dentali del paziente in questione (cioè la TAC) non era visualizzabile senza l’installazione di uno specifico software nel computer per poter leggere le radiografie in 3D e che l’Ordine dei Medici era sprovvisto di tale software.
Infine, il dentista ribadiva di non aver avuto alcuna volontà di trasmettere la TAC all’Ordine dei medici, ma egli aveva semplicemente risposto alla email inviata dall’interessato.
Potrebbero interessarti anche:
2. Le valutazioni del Garante
Preliminarmente il Garante ha ricordato la definizione dei dati relativi alla salute fornita dalla normativa in materia di privacy, secondo cui vengono definiti tali i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute.
I dati relativi alla salute meritano una maggiore protezione dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali.
Per tale ragione, la normativa in materia di privacy stabilisce che i dati relativi alla salute possono essere comunicati soltanto all’interessato e possono essere comunicati a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso previa delega scritta di quest’ultimo.
Anche quando è possibile effettuare il trattamento di tale tipologia di dati, il titolare del trattamento deve comunque rispettare i principi in materia di protezione dei dati, fra i quali quello di integrità e riservatezza, secondo il quale i dati personali devono essere trattati in maniera da garantire un’adeguata sicurezza e devono essere protetti, attraverso l’uso di misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentale dei medesimi.
Nel caso di specie, il dentista ha trasmesso dati relativi alla salute del reclamante a un soggetto terzo, cioè l’ordine dei medici locale, senza che vi fosse alcun presupposto giuridico che legittimasse tale comunicazione al soggetto terzo.
Tale comunicazione, quindi, costituisce un trattamento dati illecito, avvenuto in violazione della normativa in materia di protezione dei dati personali.
3. La decisione del Garante
Il Garante per la protezione dei dati personali ha quindi ritenuto che il dentista, nell’inviare la PEC con allegata la TAC senza prima verificare quali fossero i destinatari della comunicazione e che tutti fossero legittimati a prendere conoscenza del dato relativo alla salute dell’interessato, abbia commesso una violazione della normativa in materia di privacy.
Tuttavia, il Garante ha valutato che detta violazione può essere considerata una violazione minore.
Ciò in considerazione dei seguenti aspetti:
(i) In primo luogo, il fatto che detti dati sanitari, in quanto leggibili soltanto attraverso un apposito software di cui il destinatario (terzo, non legittimato) non era dotato;
(ii) In secondo luogo, il fatto che comunque tale destinatario poco tempo dopo ha comunque preso conoscenza legittimamente del suddetto dato sanitario (in quanto, in virtù del potere ispettivo e disciplinare che l’Ordine dei medici ha nei confronti dei propri iscritti ha successivamente chiesto al dentista l’invio della stessa TAC allegata alla PEC di cui di discute);
(iii) Si è trattato di un caso isolato e l’invio non è stato effettuato intenzionalmente dal dentista;
(iv) Quest’ultimo, durante tutto il procedimento ha tenuto un comportamento collaborativo con il Garante.
Conseguentemente, l’Autorità ha ritenuto che, nel caso di specie, fosse sufficiente ammonire il titolare del trattamento, senza comminare una sanzione amministrativa pecuniaria a suo carico e senza adottare alcuna ulteriore misura correttiva (anche considerato che la condotta illecita del dentista, aveva ormai già esaurito i propri effetti).
Per approfondire
Dopo l’applicabilità definitiva del GDPR, il legislatore nazionale ha adottato il D.Lgs. n. 101/2018, che ha abrogato, modificato e rinnovato numerose disposizioni del “nostro” Codice Privacy (D.Lgs. n. 196/2003). Questa guida fa il punto sulle novità e chiarisce quali sono, allo stato attuale, gli adempimenti che imprese, studi professionali e Pubblica Amministrazione sono chiamati a porre in essere, al fine di mettersi in regola con la nuova normativa, evitando così pesanti sanzioni.
La nuova privacy
Dopo l’applicabilità definitiva del GDPR, il legislatore nazionale ha adottato il D.Lgs. n. 101/2018, che ha abrogato, modificato e rinnovato numerose disposizioni del “nostro” Codice Privacy (D.Lgs. n. 196/2003). Questa guida fa il punto sulle novità e chiarisce quali sono, allo stato attuale, gli adempimenti che imprese, studi professionali e Pubblica Amministrazione sono chiamati a porre in essere, al fine di mettersi in regola con la nuova normativa, evitando così pesanti sanzioni. Argomenti trattati:• L’ambito di applicazione del GDPR • I concetti essenziali: il dato personale, la persona fisica identi- ficata e identificabile ed il trattamento • I principi per il trattamento dei dati personali • Le figure sog- gettive • Il trattamento dei dati personali • La trasparenza e l’informativa all’interessato • Il registro delle attività di trattamento • I diritti dell’interessato • La protezione dei dati fin dalla progettazione (privacy by design) • La protezione per impostazione predefinita (privacy by default ) • Le misure tecniche ed organizzative adeguate • Il trasferimento dei dati all’estero • La notifica della violazione dei dati personali • La valutazione di impatto sulla protezione dei dati e la consultazione preventiva dell’Autorità di Controllo • I codici di condotta e i meccanismi di certificazione • Le istituzioni • Forme di tutela • Le sanzioni • Le principali disposizioni transitorie e finali previste dal D.Lgs. n. 101/2018.LA NUOVA PRIVACYGli adempimenti per imprese, professionisti e P.A.dopo il decreto di adeguamento al GDPR (D.Lgs. n. 101/2018) NADIA ARNABOLDIDottore in Economia e Commercio, Dottore Commercialista (sezione A, n. 278), Revisore Contabile (n. 102461), co- ordinatrice della Commissione “Privacy, 231 ed antiriciclaggio” dell’Ordine dei Dottori Commercialisti ed Esperti Contabili di Pavia. Consulente Tecnico d’Ufficio (CTU) presso il Tribunale di Pavia in materia protezione dei dati personali. Riconosciuta “Fellow of Information Privacy (FIP)” dall’International Association Privacy Professionals (IAPP) e “Thought Leader in Privacy” da DataGuidance. Possiede le certificazioni internazionali Certified Information Privacy Professional Europe (CIPP/E), Certified Information Privacy Professional United States (CIPP/US) e Certified Information Privacy Manager (CIPM), ANSI/ISO standard 17024:2012. Nadia è Auditor/Lead Auditor ISO/IEC 27001:2013, European Privacy Auditor ISDP©10003:2015 e Auditor Database & Privacy Management SGCMF©10002:2013, PRD UNI EN ISO/IEC 17065:2012. Ha maturato una pluriennale esperienza presso primari Studi legali internazionali di Milano, è titolare dello Studio Arnaboldi dal 2004 e svolge attività di consulenza specialistica a società nazionali e multinazionali ed enti in materia di protezione dei dati personali, diritto delle nuove tecnologie, conservazione e processi documentali. Selezionata quale esperto indipendente per assistenza alla Commissione Europea, DG Home Affairs e DG Justice, in materia di Giustizia, Libertà e Sicurezza, Programma “Diritti Fondamentali e Giustizia – Protezione dei Dati Perso- nali” (2007/S 140-172522), ed inclusa nella lista di esperti per assistere la Commissione Europea nell’ambito del Programma Giustizia e del Programma Diritti, Uguaglianza e Cittadinanza (2014-2020). Componente dei gruppi di lavoro internazionali di DataGuidance “Global Data Breach Notification – At a Glance table” e “Pharmacovigilance at-a-glance advisory”, autrice dell’Advisory Note in materia di diritto farmaceutico e delle Advisory Notes su nuove tematiche in materia di protezione dei dati personali pubblicate in “Privacy this Week”. Contributor delle riviste mensili “Digital eHealth legal” (già eHealth Law & Policy) e “Data Protection Leader” (già Data Protection Law & Policy) edite da Cecile Park Publishing (CPP). Docente di corsi di formazione ed autrice di articoli specialistici e monografie in materia di protezione dei dati personali. Componente del Comitato Direttivo e coordinatrice del Comitato Scientifico dell’Associazione italiana dei Data Protection Officer (ASSO DPO).
Nadia Arnaboldi | Maggioli Editore 2018
Scrivi un commento
Accedi per poter inserire un commento