Accesso del paziente con green pass viola la privacy

Scarica PDF Stampa

La previsione della struttura sanitaria di subordinare l’accesso del paziente alla esibizione del green pass viola il diritto di privacy
Garante della privacy – Ordinanza n. 356 del 20-10-2022

Indice

1. I fatti

Il Garante per la protezione dei dati personali riceveva una segnalazione con cui veniva lamentata una violazione della normativa in materia di protezione dei dati personali in quanto una struttura sanitaria consentiva l’accesso agli ambulatori solo ai soggetti che erano muniti del green pass.
A seguito della suddetta segnalazione, l’Ufficio effettuava delle verifiche anche sul sito internet della struttura sanitaria, da cui emergeva tale limitazione, e chiedeva chiarimenti alla struttura sanitaria medesima.
Quest’ultima evidenziava che aveva affidato ad una società esterna il compito di rilevare in tempo reale la temperatura corporea e di richiedere l’esibizione del green pass, su base volontaria, ai soggetti che facevano accesso agli ambulatori della struttura sanitaria medesima, al fine di salvaguardare la sicurezza e la salute pubblica all’interno della struttura stessa e contenere la diffusione del covid-19.
La struttura precisava, poi, che l’esibizione del green pass avveniva in maniera volontaria, in quanto i soggetti che dovevano accedere agli ambulatori potevano scegliere di non esibire il green pass e quindi ricevere comunque la prestazione sanitaria, in un diverso successivo appuntamento dove avrebbero dovuto esibire il green pass in corso di validità oppure avrebbero comunque potuto usufruire della prestazione sanitaria resa da personale sanitario che adottava le necessarie precauzioni previste nei confronti dei pazienti di cui non si conosce la positività o meno al covid.
Pertanto, sosteneva la struttura sanitaria, l’accesso alle prestazioni sanitarie non era stato negato ad alcun paziente. Semplicemente, quelli che non volevano esibire il green pass avrebbero ricevuto la prestazione in tempi diversi da quelli dell’originaria prenotazione e seguendo percorsi sicuri (cioè senza avere contatti con altri pazienti) e accompagnati e gestiti da personale munito degli appositi sistemi di protezione (cioè le mascherine).
Infine, la struttura sanitaria evidenziava che nel caso in cui un paziente avesse ritenuto necessario ricevere una assistenza immediata, senza attendere il secondo appuntamento (nonostante la prescrizione ambulatoriale non specificasse il regime di urgenza), avrebbe potuto recarsi al pronto soccorso della stessa struttura sanitaria (il cui accesso era a pochi metri).

Potrebbero interessarti anche:

2. Le valutazioni del Garante

Il garante ha ritenuto che le giustificazioni addotte dalla struttura sanitaria non sono state sufficienti per superare gli addebiti nei suoi confronti.
Secondo l’autorità, infatti, la richiesta di possedere la certificazione verde a tutti i pazienti diretti agli ambulatori della struttura sanitaria risultava priva di una idonea base giuridica, atteso che tale limitazione non era prevista dalla disciplina di settore vigente all’epoca dei fatti lamentati dal segnalante e non è stata tantomeno mai disposta dalla normativa adottata nella perduranza dello stato emergenziale. Per tale ragione, tale limitazione viola gli artt. 5, par. 1, lett. a) e b) e 9 del Regolamento europeo per la protezione dei dati personali (GDPR).
I dati personali devono essere sempre trattati in modo lecito, corretto e trasparente nonché raccolti per finalità determinate, esplicite e legittime. Il trattamento effettuato mediante il controllo dei “green pass” è quindi effettuato per motivi di sanità pubblica. Per tale ragione la sua base giuridica è rinvenibile nella specifica disciplina di settore e non nel consenso dell’interessato.
A tale proposito, il Garante, durante la situazione emergenziale, ha più volte evidenziato che le certificazioni attestanti l’avvenuta vaccinazione o guarigione da Covid-19 o attestanti l’esito negativo di un test antigenico o molecolare non possono essere ritenute una condizione necessaria per consentire l’accesso a luoghi o servizi oppure per l’instaurazione o l’individuazione delle modalità con cui dare esecuzione a dei rapporti giuridici.
È possibile porre tale condizione solo se ciò è previsto ad una norma di rango primario, nell’ambito dell’adozione di misure di sanità pubblica necessarie per contenere il virus.
Nel caso di specie, la disciplina che si è succeduta nel corso della situazione emergenziale sanitaria dopo l’entrata in vigore delle certificazioni verdi, non ha mai previsto che debba essere richiesta detta certificazione per esigenze di salute: ai pazienti deve sempre essere consentito l’accesso per poter prendere farmaci e dispositivi medici e in generale per finalità di prevenzione, diagnosi e cura.
Anzi, detta normativa di settore prevedeva che la suddetta certificazione fosse richiesta soltanto agli accompagnatori dei pazienti non affetti da Covid-19 per poter attendere nelle sale di attesa dei reparti delle strutture sanitarie, centri di diagnostica ecc.
Secondo il Garante, la competenza ad introdurre delle misure di limitazione dei diritti e delle libertà fondamentali (come il diritto di usufruire dei servizi sanitari o di accedere a dei luoghi pubblici), che implichino il trattamento di dati personali (come la conoscenza dello stato di salute dell’interessato), ricade nelle materie che sono assoggettate alla riserva statale (come ha recentemente ribadito anche la Corte costituzionale). Pertanto, solo una legge statale avrebbe potuto prevedere l’esibizione del green pass per poter accedere alla struttura sanitaria.
In conclusione, il Garante ha evidenziato che, fino a quando perdura la pandemia, le misure di protezione individuale devono essere adottate in tutti i casi in cui il soggetto accede alla struttura sanitaria, quando potrebbe non essere ancora stato accertato lo stato di positività al covid. Inoltre, la certificazione non attesta comunque che il soggetto è in quel momento negativo. Pertanto, la misura adottata dalla struttura sanitaria ed oggetto di contestazione, secondo cui il personale sanitario deve essere munito di mascherina solo se entrano in contatto con soggetti che non hanno esibito la certificazione verde e che gli stessi devono seguire percorsi differenziati dagli altri, appare non proporzionata e idonea a discriminare tale pazienti.    

3. La decisione del Garante

Il Garante per la protezione dei dati personali ha quindi ritenuto illecito il trattamento dati compiuto dalla struttura sanitaria, mediante il controllo della certificazione verde ai pazienti che entravano presso i reparti della struttura medesima, e conseguentemente ha disposto l’irrogazione di una sanzione amministrativa pecuniaria.
Per quanto concerne la quantificazione dell’importo, il Garante ha valutato, da un lato, le circostanze sfavorevoli alla reclamata (quali: il fatto che vi è stata una apposita segnalazione da parte di un interessato; il fatto che l’autorità era già intervenuta più volte sul tema, dettando le regole da seguire; la reclamata era già stata destinataria di un provvedimento del Garante per violazione della privacy); dall’altro lato ha valutato le circostanze favorevoli alla reclamata (quali: il fatto che la reclamata ha cooperato con il Garante; le finalità di tutela dello stato di salute dei pazienti e dei sanitari per cui la struttura ha posto in essere il trattamento illecito).
Conseguentemente, il Garante ha comminato al titolare del trattamento una sanzione amministrativa pecuniaria di €. 30.000 (trentamila).

Volume consigliato

FORMATO CARTACEO + ILIBRO

Compendio breve sulla privacy

L’obiettivo del libro è quello di illustrare la disciplina privacy in maniera informale, ma non per questo meno puntuale. Spesso, il tenore giuridico rende difficilmente comprensibile il senso, ovvero il contenuto e la ratio legis, ai non specialisti. Parafrasarne il testo, con l’ausilio di esempi e casi concreti, invece, consente di entrare immediatamente in argomento senza alcuna anticamera, pur restando imprescindibile la consultazione della disposizione ufficiale. Nello specifico, in questa monografia, la lettura della disciplina sulla protezione dei dati personali è guidata dall’articolazione del GDPR, integrato dai provvedimenti dell’Autorità Garante ed esplicato attraverso le pronunce della giurisprudenza su fattispecie particolari. In tal modo, da un lato viene facilitata la comprensione del dettato normativo, dall’altro il dato normativo assume la propria peculiare sostanza attraverso l’applicazione concreta. Questo manuale, grazie al suo taglio editoriale, intende rivolgersi non soltanto a professionisti e cultori della disciplina, ma anche a coloro che, nelle Pubbliche Amministrazioni e nelle imprese, si trovano a dover affrontare la materia e, altresì, a coloro che devono sostenere prove concorsuali. Jean Louis a Beccara Avvocato, certificato Responsabile della protezione dei dati (DPO) – Cepas Srl (Gruppo Bureau Veritas Italia Spa). Direttore dell’Ufficio Organizzazione e gestione della privacy della Provincia autonoma di Trento. Docente in corsi di formazione, relatore in convegni, nonché autore di numerose monografie e pubblicazioni in materia su riviste scientifiche e specialistiche.

Jean Louis a Beccara | Maggioli Editore 2021

Avv. Muia’ Pier Paolo

Scrivi un commento

Accedi per poter inserire un commento