L’omessa verifica che l’interessato sia l’unico destinatario dell’email contenente in allegato una TAC costituisce violazione della privacy

Garante Privacy – Provvedimento n. 403 del 01-12-2022 GarantePrivacy-403-1-12-2022.pdf 50 KB

1. I fatti Un paziente di un dentista aveva presentato un reclamo al Garante per la protezione dei dati personali sostenendo che il medico avesse violato la normativa in materia di privacy, in quanto aveva inviato una TAC del paziente al consiglio dell’ordine dei medici locale.

In particolare, il paziente sosteneva di aver inviato numerose richieste al dentista per ottenere la documentazione medica, a lui riferita, detenuta dal sanitario e che questi aveva inviato, tramite PEC, un file .zip contenente una TAC effettuata sul reclamante, inserendo per conoscenza tra i destinatari anche l’Ordine dei medici locale. In tal modo, secondo il reclamante, il medico aveva compiuto una illecita diffusione di un dato sanitario del reclamante.

Il Garante, esaminato il reclamo, chiedeva chiarimenti al dentista. Quest’ultimo sosteneva che il paziente aveva formulato numerose richieste tramite PEC nonché con insistenti messaggi su whatsapp e che il rapporto professionale aveva “preso una piega spiacevole”. Tra i vari messaggi PEC inviati dal reclamante vi era stato uno contenente la richiesta di invio della TAC in questione e il dentista si era limitato a rispondere alla PEC, senza accorgersi che il paziente aveva inserito tra i destinatari per conoscenza della comunicazione anche l’ordine dei medici locale. Pertanto, il messaggio di risposta del medico (contenente la TAC) era stato inviato, automaticamente, anche all’ordine dei medici, ma senza che il sanitario avesse avuto alcuna intenzione in tal senso.

In secondo luogo, il dentista sosteneva che il paziente aveva ripetutamente coinvolto l’ordine dei medici nella vicenda e in generale nella valutazione del rapporto professionale tra le parti e in ragione di ciò, lo stesso Ordine aveva successivamente richiesto al dentista una copia di tutti i dati che si erano scambiati medico e paziente, ivi compresa la copia della TAC in questione.

Il Garante ha ritenuto che le informazioni rese dal dentista non fossero sufficienti a archiviare la questione ed ha quindi avviato il procedimento per l’eventuale irrogazione delle sanzioni a carico del dentista, invitandolo a depositare memorie difensive.

Il dentista fondamentalmente ribadiva le argomentazioni difensive già esposte in precedenza, aggiungendo che il file contenente le immagini radiologiche delle arcate dentali del paziente in questione (cioè la TAC) non era visualizzabile senza l’installazione di uno specifico software nel computer per poter leggere le radiografie in 3D e che l’Ordine dei Medici era sprovvisto di tale software.

Infine, il dentista ribadiva di non aver avuto alcuna volontà di trasmettere la TAC all’Ordine dei medici, ma egli aveva semplicemente risposto alla email inviata dall’interessato.

Potrebbero interessarti anche: Certificato medico sul web: violazione della privacy

Privacy e diritto all’oblio: riservatezza nei social media

2. Le valutazioni del Garante Preliminarmente il Garante ha ricordato la definizione dei dati relativi alla salute fornita dalla normativa in materia di privacy, secondo cui vengono definiti tali i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute.

I dati relativi alla salute meritano una maggiore protezione dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali.

Per tale ragione, la normativa in materia di privacy stabilisce che i dati relativi alla salute possono essere comunicati soltanto all’interessato e possono essere comunicati a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso previa delega scritta di quest’ultimo.

Anche quando è possibile effettuare il trattamento di tale tipologia di dati, il titolare del trattamento deve comunque rispettare i principi in materia di protezione dei dati, fra i quali quello di integrità e riservatezza, secondo il quale i dati personali devono essere trattati in maniera da garantire un’adeguata sicurezza e devono essere protetti, attraverso l’uso di misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentale dei medesimi.

Nel caso di specie, il dentista ha trasmesso dati relativi alla salute del reclamante a un soggetto terzo, cioè l’ordine dei medici locale, senza che vi fosse alcun presupposto giuridico che legittimasse tale comunicazione al soggetto terzo.

Tale comunicazione, quindi, costituisce un trattamento dati illecito, avvenuto in violazione della normativa in materia di protezione dei dati personali.

3. La decisione del Garante Il Garante per la protezione dei dati personali ha quindi ritenuto che il dentista, nell’inviare la PEC con allegata la TAC senza prima verificare quali fossero i destinatari della comunicazione e che tutti fossero legittimati a prendere conoscenza del dato relativo alla salute dell’interessato, abbia commesso una violazione della normativa in materia di privacy.

Tuttavia, il Garante ha valutato che detta violazione può essere considerata una violazione minore.

Ciò in considerazione dei seguenti aspetti:

(i) In primo luogo, il fatto che detti dati sanitari, in quanto leggibili soltanto attraverso un apposito software di cui il destinatario (terzo, non legittimato) non era dotato;

(ii) In secondo luogo, il fatto che comunque tale destinatario poco tempo dopo ha comunque preso conoscenza legittimamente del suddetto dato sanitario (in quanto, in virtù del potere ispettivo e disciplinare che l’Ordine dei medici ha nei confronti dei propri iscritti ha successivamente chiesto al dentista l’invio della stessa TAC allegata alla PEC di cui di discute);

(iii) Si è trattato di un caso isolato e l’invio non è stato effettuato intenzionalmente dal dentista;

(iv) Quest’ultimo, durante tutto il procedimento ha tenuto un comportamento collaborativo con il Garante.

Conseguentemente, l’Autorità ha ritenuto che, nel caso di specie, fosse sufficiente ammonire il titolare del trattamento, senza comminare una sanzione amministrativa pecuniaria a suo carico e senza adottare alcuna ulteriore misura correttiva (anche considerato che la condotta illecita del dentista, aveva ormai già esaurito i propri effetti).

>>>Per approfondire<<<

Dopo l’applicabilità definitiva del GDPR, il legislatore nazionale ha adottato il D.Lgs. n. 101/2018, che ha abrogato, modificato e rinnovato numerose disposizioni del “nostro” Codice Privacy (D.Lgs. n. 196/2003). Questa guida fa il punto sulle novità e chiarisce quali sono, allo stato attuale, gli adempimenti che imprese, studi professionali e Pubblica Amministrazione sono chiamati a porre in essere, al fine di mettersi in regola con la nuova normativa, evitando così pesanti sanzioni.