Proiettare i dati sanitari di un paziente a un congresso medico è violazione privacy?

È molto comune che i medici, quando sono relatori a un evento scientifico, propongano alla platea di colleghi delle slide in cui espongono un caso clinico che hanno affrontato, specie se molto complicato o raro. Diciamolo subito: questa pratica non è assolutamente vietata, però è bene conoscere le vigenti disposizioni in materia di privacy per evitare di mettere in atto comportamenti scorretti, che possono sfociare in brutte sorprese, sia dal punto di vista economico che disciplinare. Ne sanno qualcosa i destinatari dell’ordinanza-ingiunzione del Garante Privacy del 15 aprile 2021, la cui vicenda viene analizzata in questo approfondimento. Dal momento che materia è spesso articolata, e i confini non sono sempre di immediata compressione, per ogni dubbio o richiesta non esitare a chiedere una consulenza legale.    

Il caso concreto di un medico

  Un sanitario in servizio presso un’ASP ha partecipato a un congresso organizzato da una società medica, realizzando alcune diapositive in cui illustrava un particolare caso clinico affrontato in azienda, premiato durante l’evento come “migliore caso clinico dell’anno”.   Verrebbe subito da pensare che il paziente abbia prestato il proprio consenso al trattamento di tutti questi dati, e invece no!   Il medico ha effettivamente avuto in cura quel paziente presso l’Azienda sanitaria in cui lo stesso si è curato per decenni. Il paziente ha prestato all’Azienda Sanitaria – titolare del trattamento dei dati – il consenso al trattamento dei suoi dati personali e clinici esclusivamente per finalità di cura. Proprio sulla base di tale autorizzazione, il medico che lo ha avuto in cura ha potuto accedere alle cartelle, agli esami e quant’altro.   Il paziente non ha mai dato alcuna autorizzazione per finalità di ricerca scientifica, quindi una volta dimesso dall’ospedale il medico che lo ha curato non avrebbe più dovuto accedere ai suoi dati clinici, salvo ulteriori ricoveri.   Per preparare le slide per il congresso, tuttavia, il sanitario ha acquisito dagli archivi dell’Azienda Sanitaria tutti i dati e i documenti clinici relativi al paziente, senza neanche richiedere autorizzazione all’Azienda quale titolare del trattamento; del resto, anche se l’avesse chiesto, l’Azienda non avrebbe potuto far altro che negare il trattamento, in assenza del consenso informato da parte del paziente.   Nelle slide sono state indicate le iniziali del paziente, l’età, il sesso, l’anamnesi dettagliata sulla patologia di cui soffriva, i dettagli sui ricoveri effettuati nell’arco di oltre 30 anni e gli interventi chirurgici subiti in tale periodo, l’unità di chirurgia che ha effettuato gli interventi, i giorni di degenza, 14 immagini diagnostiche e 22 fotografie che ritraggono il paziente durante gli interventi chirurgici.   Il medico ha anche utilizzato il logo dell’Azienda sanitaria senza chiedere alcuna autorizzazione (probabilmente, semplicemente facendo un copia e incolla dell’immagine da un documento sanitario o estraendolo direttamente da internet).   Dopo la vittoria come “miglior caso clinico dell’anno”, le slide sono state anche pubblicate sul sito della società organizzatrice del congresso, e sono diventate accessibili tramite qualsiasi motore di ricerca.   I numerosi dati indicati nella presentazione hanno reso il paziente pienamente riconoscibile, tanto da consentire a chiunque, tramite una ricerca su Google, di risalire alle sue foto inserendo come chiave di ricerca il tipo di intervento effettuato o la diagnosi, giungendo con facilità al sito della società organizzatrice del congresso.   Il medico premiato come “miglior caso clinico dell’anno”, è bene sottolinearlo, non ha mai fornito alcun consenso alla società organizzatrice del congresso alla pubblicazione del caso e delle slide sul sito internet.   Ci troviamo quindi di fronte a due soggetti – il medico e la società organizzatrice del congresso – che con diverse condotte hanno violato i dati personali del povero paziente, che ha visto pubblicare sul web, senza mai aver dato il suo consenso, oltre trent’anni di calvario sanitario.   La condotta posta in essere dal medico era contraria ai principi di correttezza e trasparenza, oltre che a quello di minimizzazione dei dati, tutti sanciti dal G.D.P.R.  e dal Codice di deontologia medica.  

La normativa violata 

  I dati personali devono infatti essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato, e il loro trattamento deve essere adeguato, pertinente, limitato a quanto necessario rispetto alle finalità per le quali sono – appunto – trattati.   In ambito sanitario, il trattamento dei dati personali effettuato per finalità di tutela della salute e incolumità fisica dell’interessato, di terzi o della collettività, si effettua ai sensi dell’art. 9 paragrafo 2 lettere h) e i) e 3 del G.D.P.R.: le informazioni sanitarie sullo stato di salute del paziente, perciò, possono essere comunicate solo all’interessato, e possono essere comunicate anche a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato previa una sua delega scritta.   L’art. 2 septies del Codice Privacy (il vecchio d.lgs. n°196/2003, ancora in vigore) vieta inoltre di diffondere dati idonei a rivelare lo stato di salute dei pazienti.   Il Codice di Deontologia medica, inoltre, proprio nella parte dedicata alla riservatezza dei dati personali, stabilisce che il medico deve assicurare la non identificabilità dei soggetti coinvolti nelle pubblicazioni o divulgazioni scientifiche di dati e studi clinici.   Il medico premiato come “miglior caso clinico dell’anno”, perciò, si è reso colpevole della violazione di tutte queste norme mettendo in pratica i seguenti comportamenti:

1. Ha sottratto all’Azienda sanitaria presso cui lavora i dati clinici del paziente, forniti solo ed esclusivamente per finalità di cura, senza il consenso dell’Azienda titolare del trattamento dei dati personali
2. Non ha mai avuto il consenso da parte del paziente a trattare quei dati clinici per scopi diversi dal curarlo
3. Ha persino utilizzato il logo dell’Azienda sanitaria nelle proprie slide senza alcuna autorizzazione
4. Non ha reso anonimo il paziente nelle sue slide, inserendo talmente tante informazioni da renderlo facilmente riconoscibile

Dal canto suo, il medico è stato anche vittima di un illecito trattamento dei dati – che a sua volta ha illecitamente sottratto al paziente e all’Azienda sanitaria – da parte della Società organizzatrice del congresso. Quest’ultima, infatti, non ha mai chiesto al medico l’autorizzazione a pubblicare le slide sul sito internet, né tantomeno una tale pratica era stata indicata, per esempio, nel modulo di iscrizione.   Come è andata a finire?   Il paziente, da privato, ha fatto eliminare le slide dal sito della Società organizzatrice del congresso. Il medico è stato sottoposto a procedimento disciplinare da parte del suo Consiglio dell’Ordine.   Il Garante Privacy, dato che i comportamenti correttivi (eliminazione delle foto e sanzione del medico) erano già stati adottati, si è limitato ad emettere un’ordinanza ingiunzione, comminando la sanzione di € 5.000,00 al medico e di ulteriori € 5.000,00 alla Società organizzatrice del congresso, per le condotte sopra descritte, contrarie alla vigente normativa in materia di privacy.   Un po’ di accortezza da parte del medico, e una sua basilare conoscenza delle modalità di acquisizione del consenso da parte del paziente, gli avrebbero risparmiato sia la sanzione disciplinare che quella economica. Di sicuro in futuro non commetterà più una leggerezza del genere.   Con Consulcesi Club chiedi una consulenza gratuita attraverso il servizio Mio Avvocato per conoscere diritti e doveri della tua professione.