Il Garante torna a ribadire l’importanza di un trattamento dei dati personali conforme alle normative vigenti nel settore medico e sanitario ingiungendo ad un medico una sanzione di 10.000 euro per aver adottato una singolare modalità di consegna delle ricette mediche che venivano appese con le mollette da bucato fuori dalla finestra dello studio, situato al piano terra su una pubblica via. Una modalità “di gestione” che non solo non tutelava i dati personali e sanitari dei pazienti, ma sottolinea altresì come non fosse attiva alcuna procedura operativa né tanto meno alcuna consapevolezza sui possibili rischi per l’interessato nel caso, altamente possibile, di comunicazione e diffusione dei dati.

Un modus operandi che non solo è difforme dalla disciplina vigente in materia ma discorda anche da quanto previsto dagli articoli del Codice di Deontologia Medica in riferimento al segreto professionale, alla riservatezza dei dati personali e al trattamento dei dati sensibili sussistenti in capo a ciascun professionista medico.

Come  rappresentato dall’ufficio del Garante nell’ordinanza di ingiunzione “la disciplina in materia di protezione dei dati personali prevede che i titolari del trattamento sono tenuti a rispettare i principi applicabili al trattamento dei dati, fra i quali quello di «integrità e riservatezza», secondo il quale i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (art. 5, par. 1, lett. f) del Regolamento)”.

Altresì “in ambito sanitario, il titolare deve adottare idonei accorgimenti per garantire, anche nell’organizzazione delle prestazioni e dei servizi, il rispetto dei diritti, delle libertà fondamentali e della dignità degli interessati (art. 83 del Codice, ritenuto compatibile con il citato Regolamento (UE) n. 2016/679” e continua “le informazioni relative alla salute possono essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso, previa delega scritta di quest’ultimo“.

Ciò premesso e, considerato che il fatto non ha costituito più grave reato, considerando che il trattamento così come rappresentato è stato effettuato in violazione dei principi di base del trattamento di cui agli artt. 5, 9 e 32 del Regolamento, il Garante ha provveduto a sanzionare il medico e a nulla è valso il tentativo dello stesso di imputare le “originali modalità alla limitazione degli accessi in ambulatorio a causa delle misure di sicurezza previste dal periodo emergenziale.

Contestazione perentoriamente smentita dalle misure precedentemente emanate e volte ad agevolare l’uso delle modalità semplificate di acquisizione del promemoria dematerializzato ovvero del numero di ricetta elettronica previste dall’Ordinanza della Protezione Civile n. 651 del 19 marzo 2020, al fine di evitare che l’assistito dovesse recarsi presso lo studio del medico a ritirare la prescrizione.

Ogni modalità differente di consegna delle prescrizioni non è considerata idonea. Già il Garante aveva espressamente fatto presente che le procedure consentono già ai medici di lasciare ai pazienti ricette e i certificati presso le sale d'attesa dei propri studi o presso le farmacie, senza doverglieli necessariamente consegnare di persona, purché in busta chiusa. La busta chiusa è tanto più necessaria nel caso in cui non sia il paziente a ritirare i documenti, ma una persona da questi appositamente delegata”.

A inasprire la sanzione amministrativa il fatto che il trattamento dei dati ha riguardato informazioni sullo stato di salute e il carattere doloso della violazione, ovvero la responsabilità del titolare che era consapevole della non correttezza e della pericolosità della modalità messa in pratica.

Questo provvedimento è solo l’ultimo in ordine di tempo che il Garante della Privacy ha fatto nel settore sanitario, settore che più di altri è soggetto a tutele rafforzate per garantire la dignità dell’interessato e che invece è caratterizzato, soprattutto nell’ultimo periodo contraddistinto dalla pandemia e da un esubero di trattamenti dei dati relativi alla salute, sia fisica che mentale.

Con tre provvedimenti del 27 gennaio 2021 (numeri 29, 30 e 36), il Garante della Privacy aveva punito molto severamente altrettante strutture sanitarie, colpevoli di non aver adeguatamente tutelato la salute dei loro pazienti.

Le sanzioni di cui sopra erano derivate dall'aver spedito una relazione medica circa la salute e la vita sessuale di una coppia a un indirizzo errato; dall’aver inviato alcune cartelle cliniche a mail sbagliate, in cui era ricompresa quella di un minore; dal non aver rispettato la volontà di una paziente nel non voler comunicare le informazioni sul proprio stato di salute a nessuno. Tutti errori derivati da disattenzione e dal mancato aggiornato e verifica delle procedure e delle modalità di trattamento dei dati da parte degli incaricati. Per questo il Garante ha di nuovo invitato tutte le strutture sanitarie e i professionisti al pieno rispetto dei principi di correttezza e trasparenza e all’adozione misure tecniche e organizzative (incluse idonee procedure e la formazione del personale) al fine di garantire un livello di sicurezza adeguato al rischio e utili a evitare violazioni di dati personali, in particolare quelli più delicati.

‍