Strutture sanitarie: i casi sanzionati dal Garante nel 2016

Mentre le strutture sanitarie si attivano per farsi trovare preparate alle novità del nuovo Regolamento UE 2016/679, il Garante ha pubblicato la Relazione sull’attività svolta nel 2016 e sullo stato di attuazione della normativa sulla privacy.

La Relazione, oltre a tracciare un bilancio, indica le prospettive di azione verso le quali l'Autorità intende muoversi, anche in vista dell'applicazione del nuovo Regolamento Ue a partire dal maggio 2018, con l'obiettivo di assicurare una sempre più efficace protezione dei dati personali, innanzitutto on line, e rispondere alle sfide poste dai nuovi modelli di crescita economica e alle esigenze di tutela sempre più avvertite  dalle persone.

Tra i dati è interessanti vedere come  le violazioni segnalate all'autorità giudiziaria (53) riguardano in particolare casi di mancata adozione di misure minime di sicurezza a protezione dei dati.

Sono risultate anche in aumento il numero delle violazioni amministrative contestate, che nel 2016 sono state 2.339 (con un incremento del 38% rispetto al 2015). Una parte consistente (1.817 violazioni contestate) ha riguardato l'omessa comunicazione agli interessati di data breach da parte dei gestori di telefonia e comunicazione elettronica. Vengono poi, il trattamento illecito dei dati per uso senza consenso, l'omessa o inadeguata informativa agli utenti sul trattamento dei loro dati personali, la conservazione eccessiva dei dati di traffico telefonico e telematico, la mancata adozione di misure di sicurezza, l'omessa esibizione di documenti al Garante, l'inosservanza dei provvedimenti dell'Autorità.

Sono poi state effettuate 282 ispezioni ed hanno riguardato numerosi e delicati settori, sia nell'ambito pubblico che privato. Per quanto riguarda il settore privato le ispezioni si sono rivolte principalmente ai trattamenti di dati effettuati da società che operano nel settore del car sharing, a quelle che si occupano di web marketing e marketing telefonico, alle società che si occupano di ricerca genetica, alle agenzie di lavoro interinale, alle società di assistenza tecnica e recupero dati per pc e telefonia mobile, ai giochi on line, alle finanziarie. Una importante operazione è stata svolta nei confronti di società operanti nel settore del trasferimento di denaro (money  transfer) nell'ambito delle attività di contrasto al riciclaggio che ha portato all'applicazione di sanzioni per 11 milioni di euro.

All’interno della Relazione sono poi riportati i casi esaminati in area sanitaria. Vi segnaliamo quelli che si ritengono più interessanti.

L’obbligo di informativa e consenso

Nel maggio 2016 l’Autorità ha fornito interessanti chiarimenti al Presidente dell’Autorità e il Presidente della Federazione nazionale degli ordini dei medici chirurghi e degli odontoiatri sulle modalità di raccolta del consenso dell’interessato.

In particolare, è stato evidenziato che il Codice prevede un sistema di manifestazione della volontà dell’interessato fondato sul c.d. opt-in: il consenso deve essere espresso, non potendo desumersi lo stesso da un comportamento concludente dell’interessato. Sono state poi evidenziate le semplificazioni previste dal Codice al settore sanitario con specifico riferimento alla possibilità di acquisire il consenso oralmente, purché vi sia una sua documentazione per iscritto.

Il Garante ha poi esaminato il caso dell’invio dei dati personali dei soggetti che hanno usufruito di una prestazione sanitaria ai fini dell’elaborazione del modello 730. In merito è stato ricordato che tale comunicazione è espressamente prevista dalla normativa di settore e, trattandosi di un trattamento di dati per finalità amministrative in ambito pubblico (predisposizione da parte dell’amministrazione finanziaria di uno strumento per facilitare il cittadino negli adempimenti fiscali), il presupposto di liceità è da individuarsi nella norma di legge di riferimento e non nel consenso dell’interessato (come per i trattamenti per finalità di cura).

Dossier sanitari

Nel 2016 è stata definita una importante attività istruttoria nei confronti di un’Azienda ospedaliera avviata a seguito di una segnalazione nella quale si lamentava la possibilità di accesso, da parte di ogni medico dell’Azienda, ai dati personali di qualsiasi soggetto avesse usufruito di una prestazione sanitaria nella stessa, nonché l’assenza di informativa e di richiesta di consenso per tale trattamento di dati personali.

A seguito delle verifiche ispettive effettuate, l’Azienda ha posto in essere una complessa attività, al fine di adeguare i trattamenti di dati personali alle prescrizioni del Codice, quali ad esempio: individuazione dei trattamenti autorizzati per singola struttura,  designazione di tutto il personale dell’Azienda a responsabile/incaricato del trattamento e all’aggiornamento dei modelli di informativa e consenso al trattamento dei dati personali.

Pur prendendo atto di quanto posto in essere dall’Azienda, il Garante ha prescritto di modificare i modelli di informativa e consenso in uso per i trattamenti di dati personali effettuati mediante il dossier sanitario e per i trattamenti dei dati personali effettuati per fini di cura e di mettere in atto specifici accorgimenti che consentano al personale amministrativo di accedere alle sole informazioni indispensabili per assolvere alle funzioni amministrative cui sono preposti. L’Azienda è stata richiamata inoltre a effettuare verifiche periodiche circa la sussistenza dei presupposti che hanno originato l’abilitazione degli incaricati, migliorando i sistemi di audit log adottati e provvedendo alla registrazione delle operazioni di consultazione dei dati trattati mediante il dossier.

Referti e documentazione sanitaria

La consegna di documentazione sanitaria (referti, cartelle cliniche, certificati medici) a soggetti diversi dall’interessato ha riguardato numerosi casi anche nel 2016.

In alcuni dei casi esaminati è stato accertato che l’avvenuta consegna all’interessato di referti contenenti informazioni sanitarie di terzi o di certificati relativi allo stato di salute di altri soggetti era stata conseguenza di errori umani. Le strutture sanitarie coinvolte, nei cui confronti è stato avviato un procedimento sanzionatorio, hanno provveduto a modificare le procedure di consegna dei referti e della documentazione sanitaria, al fine di ridurre il rischio di errore umano e hanno avviato ?iniziative di formazione nei confronti del personale coinvolto in tali operazioni.

HIV

Si ricorda che rispetto al trattamento dati sull’HIV la legge 5 giugno 1990, n. 135 (programma di interventi urgenti per la prevenzione e la lotta contro l’Aids) ha previsto che nessuno possa “essere sottoposto, senza il suo consenso, ad analisi tendenti ad accertare l’infezione da HIV se non per motivi di necessità clinica nel suo interesse” (art. 5, comma 3, della predetta legge).

In questo ambito, merita evidenziare un caso in cui un’agenzia formativa ha chiesto di essere autorizzata a sollecitare, attraverso i competenti servizi sociali, la famiglia di una minorenne a sottoporre quest’ultima agli esami volti ad accertare l’eventuale presenza dell’infezione da HIV.  Tale richiesta era motivata dalla circostanza che si riteneva necessario valutare il rischio di contaminazione biologica di un docente intervenuto in un incidente verificatosi nel centro di formazione professionale frequentato dalla minorenne.

Alla luce di quanto sopra, considerato che le finalità di prevenzione, diagnosi e cura esulano sicuramente dalle competenze dell’agenzia formativa, si è ritenuto che qualunque suggerimento alla famiglia della minore, volto a sottoporla ad accertamenti nel senso indicato, sia del tutto inopportuno e comunque rimesso direttamente agli organismi sanitari ai quali competono le valutazioni e le iniziative più appropriate da adottare in questi casi.

Trattamenti per finalità amministrativa

Una azienda sanitaria ha modificato un progetto, in fase di realizzazione, volto ad instaurare un servizio di prenotazione di visite ed esami diagnostici tramite WhatsApp, sia per le criticità evidenziate in ordine al rispetto dei presupposti di liceità del trattamento e delle misure di sicurezza, sia perché scollegato rispetto alle modalità, anche digitali, offerte dal legislatore nazionale in materia di prenotazione delle prestazioni sanitarie da erogare a carico del Ssn (sistema Cup - linee guida nazionali del Ministero della salute d. m. 8 luglio 2011, sul quale l’Autorità ha fornito il proprio parere - provv. 19 gennaio 2011, doc. web n. 1787887).