Le strutture sanitarie, pubbliche o private, sono le prime a pagare il prezzo delle “scivolate” sul regolamento GDPR.
E’ quasi sempre l’errore umano il principale responsabile delle sanzioni che il Garante si trova a comminare ai trasgressori.

Nel caso in esame “una paziente che si era rivolta ad una struttura sanitaria chiedeva che non fossero date informazioni sul suo stato di salute a soggetti terzi e forniva a tal fine il suo numero di telefono personale, da utilizzare per successivi contatti da parte della Azienda Sanitaria. Successivamente alle dimissioni della paziente, l’infermiera di reparto, nel tentare di contattare quest’ultima al fine di fornirle indicazioni circa le specifiche terapie da seguire, si trovava a parlare col marito delle stessa il cui numero di telefono era stato, inserito in cartella, prima del ricovero ospedaliero.

Le informazioni disvelate al marito della paziente, che ha risposto al telefono, hanno riguardato solo la tipologia di reparto presso cui l’interessata è stata ricoverata e non sarebbero state date – a dire della Azienda – ulteriori indicazioni sullo stato di salute della stessa.

L’Azienda ha dichiarato, inoltre, di non avere comunicato la violazione all’interessata, ai sensi dell’art. 34 del Regolamento, in quanto vi erano ancora in corso “le dovute valutazioni” e, con riferimento alle misure adottate per prevenire possibili violazioni future, ha manifestato l’intenzione di svolgere uno “studio di fattibilità sulla gestione centralizzata dei numeri telefonici di riferimento nell’anagrafica aziendale”.

Nel fatto sopra descritto l’errore commesso dal personale della struttura è evidente ed è costato all’Asl la denuncia al Garante e la richiesta di risarcimento danni.

Il Garante nella stesura del provvedimento sanzionatorio ha ribadito che ai sensi del Regolamento, (art. 5, par. 1 lett. a) d) e f) i “dati personali” devono essere trattati in modo lecito, corretto e trasparente, devono essere esatti rispetto alle finalità per le quali sono trattati e devono essere adottate misure tecniche e organizzative adeguate a garantire l’integrità e la riservatezza degli stessi e a prevenire trattamenti non autorizzati o illeciti.

Ha specificato, inoltre, che per “dato personale” si intende: qualsiasi informazione riguardante una persona fisica identificata o identificabile; si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4, par. 1, n. 1).

Ancora, devono considerarsi “dati sulla salute” tutti “i dati riguardanti lo stato di salute dell’interessato che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso. Questi comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria o della relativa prestazione di cui alla direttiva 2011/24/UE del Parlamento europeo e del Consiglio; un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari; le informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica, compresi i dati genetici e i campioni biologici; e qualsiasi informazione riguardante, ad esempio, una malattia, una disabilità, il rischio di malattie, l’anamnesi medica, i trattamenti clinici o lo stato fisiologico o biomedico dell’interessato, indipendentemente dalla fonte, quale, ad esempio, un medico o altro operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro” (cons. 35 del Regolamento).

Il Regolamento nel sancire un generico divieto al trattamento delle particolari categorie di dati, tra cui rilevano quelli relativi alla salute, ammette che essi possano essere trattati solo in presenza di una delle condizioni di cui all’art. 9, par. 2 (cfr. in particolare, l’art. 9, par. 2 lett. a), g), h) e i)).

Il titolare, chiamato al rispetto dei principi applicabili al trattamento, è tenuto altresì a mettere in atto “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”, tenendo conto, tra l’altro, “della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” (art. 32 del Regolamento).

La disciplina in materia di protezione dei dati personali prevede –in ambito sanitario- che le informazioni sullo stato di salute possano essere riferite solo all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso, previa delega scritta di quest’ultimo (cons. 35, art. 9 Regolamento e art. 83 del Codice, in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101; cfr. anche provv. generale del 9 novembre 2005, consultabile in www.gpdt.it , doc. web n. 1191411, comma 4, del citato d.lgs. n. 101/2018).

In particolare, l’art. 83 del Codice, prevede che, tra gli altri, le strutture pubbliche che erogano prestazioni sanitarie debbano adottare “(…) idonee misure per garantire, nell’organizzazione delle prestazioni e dei servizi, il rispetto dei diritti, delle libertà fondamentali e della dignità degli interessati, nonché del segreto professionale, fermo restando quanto previsto dalle leggi e dai regolamenti in materia di modalità di trattamento dei dati sensibili e di misure minime di sicurezza”. Tali misure comprendono, in particolare:
• il rispetto della dignità dell’interessato in occasione della prestazione medica e in ogni operazione di trattamento dei dati;
• la messa in atto di procedure, anche di formazione del personale, dirette a prevenire nei confronti di estranei un’esplicita correlazione tra l’interessato e reparti o strutture, indicativa dell’esistenza di un particolare stato di salute.

L’Ufficio del Garante ha rilevato nel fatto l’illiceità del trattamento di dati personali commesso dall’Azienda Sanitaria per la violazione degli artt. 5, par. 1, lett. a), d) e f), 9 e 32, par. 1, lett. b) del Regolamento ed ha inflitto alla Struttura Sanitaria la sanzione amministrativa pecuniaria di euro 50.000,00 (cinquantamila) per le violazioni contestate.

Alla luce di quanto esposto possiamo dire che l’attività del Garante, volta a controllare che i trattamenti di dati personali siano svolti nel rispetto dei diritti e delle libertà fondamentali degli individui, è iniziata e piano piano si estenderà a tutte le attività del territorio nazionale.

Per questo, il consiglio agli imprenditori e professionisti è quello di farsi trovare in regola e di comportarsi secondo le norme del Regolamento.