Garante: contemperamento tra informazione scientifica e privacy dei pazienti

Il Garante per la protezione dei dati personali ha emesso tre diversi provvedimenti nei confronti di un dottore, una Ausl e un’associazione di medici chirurghi coinvolti nella pubblicazione on-line di documenti sulla salute di un paziente. Il caso di violazione dei dati personali (data breach) era stato segnalato al Garante da una Azienda sanitaria locale chiamata in causa da un paziente che, dopo essersi curato presso la struttura, aveva trovato fotografie e altre informazioni riferibili alla sua salute pubblicate sul sito di un’associazione medica. Tali documenti erano reperibili anche tramite comuni motori di ricerca.

Materiale personale del paziente

Il medico che aveva tenuto in cura il paziente aveva estrapolato i documenti dell’interessato dagli archivi informatici dell’Azienda per poi utilizzarli per una relazione in un congresso medico. Aveva poi usato il materiale della presentazione per partecipare a un concorso gestito da un’associazione di chirurghi. Il suo lavoro scientifico era stato anche pubblicato in rete senza alcuna forma di oscuramento dei dati personali.

Il dottore, pur essendo autorizzato ad accedere alla documentazione medica per finalità di cura, non aveva chiesto il consenso al paziente, né il permesso alla Ausl, di poterla utilizzare per informazione scientifica. Il medico non aveva provveduto, altresì, ad un’efficace anonimizzazione dei dati usati.

La sanzione del Garante

Il Garante ha però ricordato che quello specifico consenso, peraltro rilasciato solo all’Azienda, non giustifica in ogni caso la divulgazione dei dati sanitari, e che il dottore aveva trattato dati sanitari al di fuori delle finalità di cura. Per tali motivi ha ricevuto dall’Autorità una sanzione di 5.000 euro. L’associazione chirurgica che aveva, invece, pubblicato la relazione con i dati sanitari sul proprio sito, tra l’altro senza l’autorizzazione del dottore vincitore del premio, ha invece ricevuto una sanzione di 2.000 euro.

L’ultimo provvedimento è stato emesso nei confronti dell’Azienda sanitaria che non ha adottato, nello specifico, le adeguate misure tecniche ed organizzative volte a ridurre il rischio che il proprio personale possa utilizzare i dati personali per altri scopi che esulano le finalità di cura. Il garante ha provveduto al solo ammonimento poiché trattasi di un caso isolato in capo all’Azienda Sanitaria.

L’Autorità Garante ci ricorda che occorre effettuare un giusto contemperamento tra informazione scientifica e rispetto e tutela dei dati personali dei pazienti; il corretto bilanciamento degli interessi in gioco è fondamentale e l’attenzione alla privacy del paziente deve essere una priorità.

Master Universitario di 1° livello – I professionisti della digitalizzazione documentale e della privacy

Scopri il corso universitario in e-learning

Il Master intende fornire ai partecipanti una preparazione manageriale, completa e multidisciplinare necessaria ad affrontare e risolvere le sfide poste dalla progressiva digitalizzazione degli enti, sia pubblici che privati anche alla luce delle novità introdotte nel contesto normativo europeo, in particolare si fa riferimento al GDPR (General Data Protection Regulation) – Regolamento UE 679/2016 e al Regolamento eIDAS (electronic IDentification Authentication and Signature) – Regolamento UE n° 910/2014.