La signora A presenta un’istanza di accesso ai propri dati personali all’Azienda sanitaria territoriale di Macerata, senza ricevere alcuna risposta.
L’Azienda sanitaria si giustifica rappresentando che:
- i dati personali comuni della signora A (nome, cognome, codice fiscale, data di nascita, sesso, MMG, domicilio, residenza, numero di cellulare), sono inseriti in anagrafe sanitaria nella banca dati ARCA;
- alcuni dei suddetti dati (come la residenza) vengono aggiornati automaticamente tramite il sistema Tessera Sanitari, mentre altri (come la composizione del nucleo familiare) rimangono invariati se l’utente non provvede a comunicarlo all’Azienda;
- la signora A è stata rintracciata al suo numero di cellulare, estratto dalla banca dati ARCA e inserito nel software gestionale dell’Unità Operativa Screening Oncologico, senza avere risposta;
- il numero di cellulare collegato alla signora A non è il suo, bensì quello della madre, in quanto i suoi dati anagrafici e di contatto sono rimasti collegati con i genitori, nella sua scheda originaria, poiché la signora A non ha mai comunicato eventuali variazioni di contatto all’Azienda sanitaria.
Preso atto di quanto sopra, la signora A formula un reclamo al Garante Privacy ritenendo che i suoi dati personali siano stati trattati illecitamente, in quanto è stato comunicato a sua madre che lei aveva necessità di fare ulteriori accertamenti diagnostici rispetto a quelli effettuati.
La signora A, infatti, dopo aver ricevuto la chiamata senza risposta dell’Azienda sanitaria nell’ambito dello screening oncologico, ha richiamato subito il numero, ma l’operatrice le ha risposto che aveva già informato sua madre di quanto accertato dal radiologo.
L’Azienda sanitaria imputa ad un errore umano la comunicazione dei dati sanitari della signora A a sua madre, precisando che:
- Nelle linee guida adottate presso l’Azienda già nel 2021, in materia di screening oncologico vi è un’istruzione specifica “Chiama telefonicamente le donne per effettuare il II livello”;
- Il dipendente che ha materialmente effettuato la chiamata alla madre della signora A, pur adeguatamente formato e in servizio da anni presso l’Azienda sanitaria (perciò a conoscenza della procedura standard da utilizzare), vista la mancata risposta telefonica della signora A, ha ritenuto urgente comunicare immediatamente la necessità di sottoporre la paziente a un check up di II livello alla madre, ritenendo prevalente, in quel momento, il diritto alla salute della paziente in presenza di una diagnosi sospetta.
La signora A non discute le buone intenzioni dell’Azienda Sanitaria, ma non condivide la mancata acquisizione del suo consenso a trattare i suoi dati in tale maniera: decide perciò di rivolgersi al Garante privacy.
Cosa prevede il GDPR su dati sanitari e accesso alle informazioni
Sappiamo bene che per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)” e per “dati relativi alla salute”, si intendono “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute”.
Il titolare del trattamento dei dati personali è tenuto a rispettare i principi generali in materia, tra cui rientra quello di integrità e riservatezza, secondo cui i dati personali devono essere trattati in maniera da garantire un’adeguata sicurezza, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.
L’adeguatezza di tali misure deve essere valutata da parte del titolare del trattamento in modo da garantire un livello di sicurezza adeguato al rischio, tenendo conto, tra l’altro, della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.
Per quanto concerne il diritto d’accesso ai propri dati, l’articolo 15 del GDPR stabilisce che l’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l'accesso ai dati personali e alle seguenti informazioni:
- le finalità del trattamento;
- le categorie di dati personali in questione;
- i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;
- quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
- l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;
- il diritto di proporre reclamo a un'autorità di controllo;
- qualora i dati non siano raccolti presso l'interessato, tutte le informazioni disponibili sulla loro origine;
- l'esistenza di un processo decisionale automatizzato, compresa la profilazione e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato.
Quando si riceve un’istanza ex art. 15 GDPR, la stessa deve essere riscontrata senza ingiustificato ritardo e comunque, al più tardi, entro un mese dal ricevimento della stessa, con possibilità di prorogare tale termine a due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. In quest’ultimo caso l’interessato che ha formulato istanza ex art. 15 deve essere informato della proroga e dei motivi del ritardo, comunque entro un mese dal ricevimento della richiesta.
Il termine è prorogabile di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste, informando comunque l’interessato sia del ritardo che dei motivi dello stesso, entro un mese dall’istanza iniziale.
Con riferimento, infine, alla possibilità di comunicare dati relativi alla salute a terzi, la norma (articolo 9 del regolamento) prevede che le informazioni sullo stato di salute possono essere comunicate solo all’interessato e che possono essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato, previa comunque una delega scritta da parte di quest’ultimo.
Leggi anche
La decisione finale: la multa e le misure correttive per l’Azienda
Il Garante, nell’adottare la sua decisione finale, prende atto del fatto che l’Azienda sanitaria, al fine di evitare che eventi del genere si posano ripetere, si è impegnata a realizzare misure per incrementare il livello di sicurezza del trattamento dei dati personali e sanitari dei pazienti.
L’Autorità Garante, inoltre, tiene conto anche dell’assenza di precedenti in capo all’Azienda sanitaria maceratese per violazioni di tal genere.
Tuttavia, l’Azienda sanitaria, secondo la valutazione del Garante, si è resa colpevole delle seguenti violazioni del GDPR:
- Comunicazione dei dati sanitari della signora A a soggetti terzi senza suo consenso,
- Omesso riscontro all’istanza di accesso agli atti formulata dalla signora A.
Per tali violazioni il Garante ha emesso nei confronti dell’Azienda sanitaria un’ordinanza ingiunzione di 5.000 euro, disponendo altresì la pubblicazione del provvedimento (non oscurato) sul sito dell’Autorità e del Garante Privacy.