Per i professionisti della sanità le discussioni, le pubblicazioni e la partecipazione a convegni relativi a casi clinic costituiscono un importante momento di crescita e formazione professionale, ma occorre sempre prestare attenzione a come vengono gestiti i dati dei pazienti, nascondere nome e cognome, infatti, può non essere sempre sufficiente a tutelare l’anonimato del paziente.
Trattamento dei dati relativi alla salute
I dati relativi alla salute e ai trattamenti sanitari sono stati oggetto di una tutela molto ampia già da parte delle normative nazionali, ma il Regolamento UE 2016/679 ha stabilito all’art. 9 una tutela rafforzata
Il regolamento europeo in linea di principio stabilisce che questa tipologia di dati non possano essere trattatati, se non per:
- finalità connesse alla salute (finalità di cura);
- per motivi di interesse pubblico o finalità di governo;
- per la ricerca nel pubblico interesse (se effettuata in base a norme di legge o regolamento e previa valutazione di impatto).
La norma comunitaria ha previsto però al comma 4 che “gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute”
Pertanto, in base alle normative nazionali il Garante può adottare delle misure di garanzia, sentito il Consiglio superiore di sanità e tenendo conto delle linee guida, delle raccomandazioni e delle buone prassi del Garante europeo, in particolare con riferimento alle cautele relative alle modalità per la comunicazione diretta all’interessato delle diagnosi e dei dati relativi alla propria salute e avrà anche il compito di promuovere delle regole deontologiche per il trattamento dei dati relativi alla salute.
Un caso di utilizzo improprio dei dati sanzionato dal Garante
Una ASL del veronese a seguito di un’azione legale avviata da una paziente ha inoltrato, ai sensi dell’art. 33 del Regolamento Privacy, una comunicazione di violazione di dati personali provocata dalla proiezione, da parte di un sanitario in servizio presso la medesima struttura, di alcune diapositive contenenti i dati relativi alla salute di un paziente nel corso di un congresso medico, successivamente pubblicate su un sito on line.
Nelle diapositive di cui si contestava l’utilizzo venivano riportate: le iniziali del paziente, l’età, il sesso, l’anamnesi dettagliata della patologia sofferta , dettagli sui ricoveri effettuati dal 1980 al 2016 e sugli interventi chirurgici subiti in tale periodo, con l’indicazione delle date di ricovero e di intervento, l’unità di chirurgia che aveva effettuato gli interventi, i giorni di degenza, numerose immagini diagnostiche, nonché 22 fotografie che ritraevano l’interessato durante gli interventi chirurgici.
Il legale del paziente aveva sostenuto nella diffida l’illegittimità dell’utilizzo dei dati che, peraltro, consentivano agevolmente l’individuazione del paziente. A corredo della diffida venivano prodotte anche le stampe dei risultati effettuati sul motore di ricerca Google a seguito dell’interrogazione dello stesso con l’indicazione della peculiare tipologia di intervento effettuato e della diagnosi (laparostomia ileale; leiomiosarcoma paravescicale), dalle quali era stato possibile risalire agli indirizzi web in cui erano state pubblicate.
Le valutazioni del Garante
Esaminata la documentazione presentata dall’Azienda e valutate le deduzioni difensive pervenute, il Garante ha osservato che:
- la disciplina in materia di protezione dei dati personali prevede che le informazioni sullo stato di salute possano essere comunicate solo all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso, previa delega scritta di quest’ultimo, restando comunque fermo il divieto di diffusione dati idonei a rivelare lo stato di salute degli interessati;
- i dati personali devono essere trattati in maniera da garantire un’adeguata sicurezza, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali;
- il Codice di deontologia medica impone al medico di garantire la non identificabilità dei soggetti coinvolti nelle pubblicazioni o divulgazioni scientifiche di dati e studi clinici;
- l’utilizzo da parte del sanitario delle informazioni acquisite nel corso del ricovero dell’interessato presso la predetta Azienda sanitaria, ai fini della predisposizione delle richiamate diapositive, è stato possibile in quanto la stessa Azienda non ha adottato tutte le misure tecniche e organizzative volte a ridurre il rischio che il personale autorizzato ad accedere, per finalità di cura, ai dati personali e ai documenti clinici di cui è titolare la stessa, possa utilizzare i medesimi dati e documenti per finalità diverse da quelle di cura dell’interessato, come quelle di partecipazione ad premi scientifici e convegni senza la previa l’autorizzazione dell’Azienda e l’anonimizzazione dei predetti dati e documenti.
Il Garante ha quindi accertato l’illiceità del trattamento dei dati eseguito dall’azienda per aver reso possibile l’utilizzo degli stessi per finalità diverse da quelle previste per la cura, ma non ha applicato alcuna sanzione in considerazione delle iniziative prontamente realizzate per contenere gli effetti del trattamento illegittimo e per migliorare le procedure di sicurezza interne.
Conclusioni
L’esito delle valutazioni del Garante non è stato particolarmente grave per l’azienda, ma le circostanze che l’hanno causate attestano sicuramente la necessità che il personale sia sempre costantemente aggiornato e allineato sulle normative privacy e sul trattamento dei dati dei pazienti.