Cassazione e Garante della privacy: un anno di sentenze sulla gestione dei dati sanitari

Nelle scorse settimane, quasi contestualmente, sono state pubblicate la relazione della Cassazione riguardante la giurisprudenza civile e la relazione del Garante per la protezione dei dati personali riferite al 2023.

Un’occasione per imparare e non ripetere gli errori nei quali sono incappati medici e strutture sanitarie nella comunicazione dei dati.

Interruzione di gravidanza. I dati delle donne vanno tenuti sotto chiave

La Sez. 1, n. 28417/2023, della Suprema Corte di Cassazione, ha trattato il caso di una paziente, ricoverata presso il reparto di ginecologia per l’intervento interruttivo della gravidanza.

La paziente aveva fornito un numero telefonico di sua pertinenza per i successivi contatti ed uno d’emergenza riferito al marito.

La paziente si era allontanata repentinamente, quindi l’infermiera fu costretta a cercarla per indicarle l’uso del farmaco necessario per le cure post-operatorie, non si avvedeva del contatto telefonico lasciato dall’interessata e apposto all’interno della sua cartellina personale.

L’infermiera, infatti, telefonò al numero indicato sul frontespizio, in uso al marito della paziente, al quale riferiva di essere un’operatrice dell’Ospedale e di dover interloquire con la moglie per una terapia, senza aggiungere null’altro di più specifico. Il giudice di merito ritenne non integrata la fattispecie contestata dal Garante dei dati personali di cui all’art. 5, apr.1, lett.e) e art. 9 Reg. (UE) n. 2016/679 del 27 aprile 2016. Ciò in quanto, in base al considerando 35 del Regolamento, per “dati personali relativi alla salute” si intendono quelli contenenti informazioni sulla salute fisica e mentale.

Nella specie, a tenore delle argomentazioni del giudice di prime cure, l’infermiera avrebbe riferito una notizia talmente generica da non integrare l’illecito in contestazione, né tantomeno l’obbligo di riservatezza imposto dalla legge sull’interruzione di gravidanza.

Di contrario avviso, la Suprema Corte secondo la quale il fatto stesso di comunicare l’esigenza di un trattamento sanitario e, quindi, l’esistenza di una “malattia” in senso lato – intesa, dunque, come situazione che renda necessario un trattamento sanitario – attiene è un dato sulla salute.

Sempre in tema di protezione delle donne che si sottopongono all’aborto, si segnala il provvedimento sanzionatorio del Garante che sanzionò l’azienda munipalizzata ed un’asl per avere trasmesso in chiaro gli elenchi delle donne che avevano abortito i feti da seppellire.I dati delle donne, oltre che sulle targhette, erano stati oggetto di ulteriori trattamenti da parte dei servizi cimiteriali e del comune connessi alla tenuta dei registri cimiteriali e all’archiviazione della documentazione ricevuta dalla ASL, costituita dall’autorizzazione al trasporto e sepoltura e dal certificato medico legale.

All’esito dell’istruttoria, sono stati adottati due ulteriori provvedimenti correttivi.

Il primo nei confronti della predetta azienda municipale responsabile del trattamento, a seguito della violazione dell’art. 29 del RGPD, per non aver richiesto specifiche istruzioni al titolare del trattamento, nonostante l’asserita lacunosità del quadro normativo, e degli artt. 28, 29 e 32 del RGPD e 2-quaterdecies, in relazione all’attuazione, in parte incompleta e, in parte, non adeguata, delle istruzioni e delle misure organizzative tecniche impartite dal titolare, successivamente all’avvio dell’istruttoria, al fine di superare le criticità contestate (provv. 27 aprile 2023, n. 164, doc. web n. 9900826).

Il secondo provvedimento correttivo è stato adottato nei confronti della ASL per aver trasmesso ai servizi cimiteriali del comune dati relativi alla salute, direttamente identificativi delle donne interessate da un’interruzione di gravidanza (sia essa spontanea o volontaria), in contrasto con i principi base del trattamento di cui all’art. 5, par. 1, lett. c) e f ), del RGPD (provv. 27 aprile 2023, n. 165, doc. web n. 9900503; cfr. par. 5.5).

La citata legge n. 194/1978, ricorda autorità, ha previsto un rigoroso regime di riservatezza a tutela della donna che rientra nelle specifiche disposizioni di settore fatte salve dall’art. 75 del Codice. Il predetto regime di riservatezza è stato, peraltro, più volte ribadito dal Garante nell’ambito di diversi interventi, qualificando tali dati tra quelli soggetti “a maggiore tutela dell’anonimato”.

Posta elettronica copia ed incolla e la sanzione risponde

L’unità di cardiochirurgia inviò un’e-mail, in copia conoscenza, a tutti i pazienti in attesa di trapianto cardiaco, nell’ambito dell’acquisizione dei consensi informati per l’adesione a uno studio clinico, attraverso modelli da compilare e sottoscrivere.

Nell’esaminare la questione, l’Autorità ha ricordato che gli indirizzi e-mail sono riconducibili alla nozione di dato personale, anche se privi di riferimenti al nome e al cognome o comunque ad altre informazioni direttamente identificative degli interessati.È stato, pertanto, evidenziato che tale invio aveva, di fatto, senza giustificato motivo e in assenza di presupposto giuridico, realizzato una comunicazione di dati personali e relativi alla salute degli interessati (cui afferiscono gli indirizzi e-mail), in violazione dei principi base di cui agli artt. 5, par. 1, lett. f) e 9 del RGPD.

La violazione era avvenuta per l’errore compiuto da una dipendente nella fase di inserimento dei destinatari nello specifico campo della e-mail, nell’ambito di una procedura temporanea, adottata nel periodo pandemico per evitare, per la consegna della documentazione, la convocazione in presenza dei pazienti fragili destinatari della e-mail (provv. 11 gennaio 2023, n. 7, doc. web n. 9861356).

È sempre l’errore sul destinatario quello in cui è incappata un’altra azienda, anche in questo caso per distrazione di un dipendente.

La e-mail conteneva, in allegato, un provvedimento con il quale l’ufficio autorizzava il ricovero extra regione della reclamante.

A seguito dell’esame della vicenda, è emersa l’illiceità del trattamento di dati personali e sulla salute effettuato dall’azienda, per aver trattato dati personali in violazione dei principi di base di cui agli artt. 5 e 9 del RGPD nonché degli obblighi in materia di sicurezza di cui all’art. 32 del RGPD (provv. 23 marzo 2023, n. 85, doc. web n. 9872621).

In un altro caso, la medesima azienda socio-sanitaria territoriale notificò all’Autorità tre comunicazioni di dati sulla salute a soggetti non autorizzati a riceverla, avvenuta in distinte occasioni.

In particolare:

•nel primo caso, la comunicazione conteneva una convocazione a visita da parte della commissione aziendale per la valutazione dell’invalidità civile, oltre che del soggetto autorizzato, anche di altre due persone.

•Nel secondo, era stato inserito, nel campo denominato copia conoscenza, l’indirizzo di 198 destinatari, nell’invio di una e-mail proveniente dal Centro sclerosi multipla dell’azienda e avente a oggetto le “raccomandazioni aggiornate su Covid in pazienti affetti da sclerosi multipla”.

•Nel terzo, era stata consegnata ad un paziente documentazione sanitaria contenente anche l’esito di un esame effettuato da un soggetto terzo.

Nell’adottare il provvedimento correttivo, l’Autorità ha tenuto conto del numero di interessati coinvolti (circa 200); del fatto che non fossero pervenuti reclami o segnalazioni sull’accaduto, essendo venuta a conoscenza degli eventi a seguito delle notifiche di violazione dei dati personali effettuate dal titolare; dell’introduzione di misure volte a ridurre la replicabilità degli eventi occorsi.

Si è considerato, altresì, che i fatti si erano verificati, in un caso, nell’ambito dello svolgimento della campagna vaccinale e della necessità di fornire, immediatamente e in modo più agevole possibile, le informazioni relative alle raccomandazioni aggiornate sul Covid-19 in pazienti affetti da sclerosi multipla; in un altro, nell’ambito delle attività volte a incrementare, cessato lo stato di emergenza da Covid-19, i volumi delle attività e i ritmi di lavoro, al fine di far fronte alle lunghe liste di attesa determinatesi a seguito della sospensione e del rallentamento delle attività durante il periodo pandemico (provv. 18 luglio 2023, n. 316, doc. web n. 9935484).

Attenzione alle comunicazioni sul sito web

Il Garante segnala, una violazione commessa da un’azienda che diffuse una nota del servizio di assistenza farmaceutica territoriale dell’azienda, avente a oggetto la richiesta di acquisto di un medicinale, unitamente a un certificato con il quale si accertava la patologia di cui il reclamante era affetto e i farmaci di cui lo stesso aveva bisogno.

L’autorità ritenne che fossero risultati violati i principi di base del trattamento di cui agli artt. 5, 6 e 9 del RGPD nonché dell’art. 2-septies, comma 8, del Codice, si è ritenuto di non dover adottare misure correttive, in quanto l’azienda aveva provveduto alla immediata deindicizzazione dei dati personali erroneamente diffusi, rimuovendoli dai contenuti dell’indice dei motori di ricerca (provv. 13 aprile 2023, n. 126, doc. web n. 9891029)

No alle riprese televisive in reparto senza consenso

La Sez. 1, n. 27267/2022 della Corte di cassazione, si è, invece, occupata della violazione dei diritti alla privacy, alla riservatezza e alla dignità di una madre e della figlia neonata, entrambe esposte senza previo consenso a riprese realizzate da una troupe televisiva durante il parto, avvenuto prematuramente per delle complicanze legate alla gravidanza. Le suddette riprese, autorizzate dalla struttura sanitaria e realizzate materialmente per conto di una rete televisiva, erano state mandate in onda nel corso di un programma televisivo, nonostante l’invio di una formale diffida all’utilizzo del materiale.

Il trattamento dei dati personali, afferma la Cassazione, senza il previo consenso dell’interessato è subordinato all’essenzialità̀ dell’informazione riguardo a fatti di interesse pubblico.

Tale requisito va inteso in maniera particolarmente rigorosa.

Sempre la medesima sentenza, ha precisato che in tema di illeciti amministrativi di cui al d.lgs. n.196 del 2013, i soggetti pubblici, nel pubblicare dati personali, devono attenersi al principio imperativo ed inderogabile della minimizzazione e necessità della diffusione, privilegiando, se del caso, la pubblicazione di dati anonimi e osservando modalità che permettano di identificare l’interessato solo in caso di necessità.

Anagrafica non controllata e la documentazione viene scambiata

Una non corretta gestione dei dati personali è stata riscontrata nei confronti di una struttura sanitaria privata, a seguito di un reclamo di un cittadino che aveva lamentato di aver ricevuto periodicamente dalla società messaggi sul suo numero privato per ricordargli appuntamenti per visite mediche mai richieste, e di aver rinvenuto, nella dichiarazione dei redditi 730 precompilata, talune fatture emesse sul proprio codice fiscale concernenti prestazioni erogate dalla società a vantaggio di un paziente omonimo.

Anche in questo caso è stata rilevata una violazione del principio di esattezza, di integrità e riservatezza dei dati e, mediante la compilazione della fattura relativa alle prestazioni usufruite dall’omonimo contenente le informazioni (indirizzo e codice fiscale) del reclamante, una comunicazione di dati relativi alla salute (desumibili dalle prestazioni effettuate presso il Centro, con riferimento alle quali sono state emesse le relative fatture) in assenza di un idoneo presupposto giuridico. Il provvedimento sanzionatorio adottato nei confronti della società ha considerato, altresì, il fatto che l’episodio si è determinato anche a causa dell’omonimia dei nomi e cognomi degli interessati (provv. 1° giugno 2023, n. 228, doc. web n. 9909889).

Altra vicenda ha riguardato l’illecita comunicazione di dati relativi alla salute attuata da un’azienda sanitaria per avere inserito, non intenzionalmente, documentazione sanitaria di un paziente in una cartella clinica relativa a diverso paziente − e a quest’ultimo consegnata − in assenza di un idoneo presupposto giuridico.

L’azienda è stata sanzionata dal Garante per la violazione dei principi di base del trattamento di cui agli artt. 5 e 9 del RGPD e degli obblighi in materia di sicurezza di cui all’art. 32 del RGPD medesimo (provv. 26 gennaio 2023, n. 26, doc. web n. 9861289).In sala d’attesa non vanno diffusi dati

In sala d’attesa non vanno diffusi dati

Un’azienda sanitaria è stata sanzionata dal Garante per aver diffuso dati sulla salute di un paziente mediante l’affissione, al di fuori dei locali del pronto soccorso, di un cartellone relativo alle attività sanitarie prestate dall’azienda in cui erano visibili i dati personali dei pazienti (provv. 1° giugno 2023, n. 227, doc. web n. 9917728).

Analoga violazione relativa ad una diffusione dei dati sanitari è stata accertata nei confronti di un’azienda sanitaria divulgò le informazioni sulla salute di una dottoressa affiggendo, presso il cancello di ingresso dell’ambulatorio dove la stessa svolgeva attività di medico igienista, un cartello in cui si avvisava l’utenza che in una specifica data non sarebbe stata garantita la seduta vaccinale per esigenze di servizio citando la malattia della quale era affetta. (provv. 8 giugno 2023, n. 242, doc. web n. 9917883).

Riservatezza dei lavori didattici

Diverse sono le violazioni che hanno coinvolto sanitari e provider si formazione sanitaria.In un caso, a seguito di un reclamo, il Garante, ha adottato un provvedimento di ammonimento e correttivo nei confronti di un osteopata che aveva reso riconoscibile la paziente nella tesi di laurea.

Il professionista sanitario inoltre aveva ripetutamente negato di aver uti- lizzato per la tesi il caso clinico che riguardava l’interessata e aveva fornito alla stessa un’informativa priva degli elementi essenziali di cui all’art. 13 del RGPD (provv. 26 ottobre 2023, n. 497).

Il Garante si è soffermato sul fatto che la tesi recava numerose informazioni cliniche e anamnestiche mediante le quali era possibile identificare l’interessata, anche se indirettamente, e ha colto l’occasione per ribadire come la procedura di cancellazione manuale non possa essere definita idonea a rendere anonime le informazioni personali, né può definirsi una procedura di pseudonimizzazione ai sensi della definizione di cui all’art. 4, n. 4 del RGPD (cfr. anche provv. 2 marzo 2023, n. 74, doc. web n. 9870171).

Il Garante ha inoltre ricordato quanto indicato nel codice di condotta per l’utilizzo dei dati sulla salute a fini didattici e di pubblicazione scientifica, approvato con il provvedimento del Garante 14 gennaio 2021, n. 7 (doc. web n. 9535354), il quale prevede l’anonimizzazione delle informazioni personali utilizzate per tali fini (alla luce delle linee guida 05/2014 del WP29) ovvero, qualora non sia possibile procedere all’anonimizzazione dei dati (per es. a causa delle peculiarità del caso clinico rappresentato), il ricorso a un valido consenso dell’interessato.

L’Autorità si è inoltre occupata della pubblicazione online, da parte di un provider, della documentazione relativa a un corso formativo per psichiatri contenente dati personali di una paziente e informazioni sulla salute e sulle indagini giudiziarie riguardanti il figlio deceduto (biografia, perizie psichiatriche, anamnesi, medicinali assunti, reati per i quali era stato indagato).

I predetti documenti facevano parte del materiale didattico messo a disposizione dei partecipanti tramite un link inviato per e-mail alla fine del corso e risultava inoltre accessibile online da chiunque conoscesse l’URL. Nel provvedimento sanzionatorio, il Garante, oltre a ribadire che ai dati delle persone decedute continuano ad applicarsi le tutele della normativa in materia di protezione dei dati personali, ha ritenuto che la società aveva effettuato un trattamento di dati personali, sulla salute e giudiziari, in violazione dei principi di base del trattamento di cui agli artt. 5, 6, 9 e 10, nonché degli obblighi in materia di sicurezza di cui all’art. 32 del RGPD, e degli artt. 2-septies e 2-octies del Codice. Infatti, oltre a verificare l’adeguatezza delle misure di anonimizzazione adottate sui dati personali della reclamante e del figlio deceduto, la società avrebbe dovuto mettere in atto misure tecniche, organizzative e di verifica adeguate a garantire in via permanente la riservatezza dei dati trattati, utilizzando una procedura di autenticazione informatica per consentire l’accesso alla documentazione soltanto ai medici che avevano frequentato il corso. Nel determinare l’importo della sanzione irrogata è stato ritenuto alto il livello di gravità della violazione, in considerazione della durata e delle categorie di dati personali interessate (unitamente al fatturato della società e ad altri elementi) (provv. 16 novembre 2023, n. 527, doc. web n. 9960948).