Blog

Privacy e Congressi

Posted by:

Privacy e Congressi
(Last Updated On: 25 novembre 2022)

Quando è il dipendente a rispondere delle violazioni

ILGarante della protezione dei dati ha chiarito alcune circostanze in cui il dipendente risponde personalmente delle violazioni al GDPR.  Qualsiasi collaboratore, praticante, segretaria, operatore, insomma, qualunque soggetto dell’organizzazione che tratti dati personali, deve essere formato e aggiornato, ai sensi dell’articolo 32 GDPR. Della formazione e dell’aggiornamento sono responsabili il titolare ed il responsabile del trattamento, i quali “fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non viene istruito in tal senso“.

Ma cosa succede se un dipendente dovesse violare le disposizioni impartitegli, finalizzate a garantire la sicurezza dei dati da lui trattati e riferibili a degli interessati? È facilmente intuibile che qualora acquisisse dati personali a lui normalmente preclusi, oppure utilizzasse i dati personali in suo possesso per finalità differenti da quelle strettamente connesse alle sue mansioni lavorative, egli commetterebbe un grave illecito, del quale risponderebbe personalmente.

Il punto è che vi sono obblighi anche in capo al titolare del trattamento (normalmente il datore di lavoro), il quale potrebbe rispondere anche egli di possibili violazioni alla norma. Conviene precisare che ciò è valido per qualsiasi attività lavorativa: pubblica e privata, piccola, media o grande; sanità, industria, impresa, servizi, ecc.

Il Garante ha dovuto affrontare purtroppo una situazione simile a seguito del ricorso di un interessato, che scopre online dati e foto della sua operazione chirurgica. Costui ha intrapreso un’azione legale contro una Azienda Sanitaria Locale per la diffusione dei propri dati personali sanitari. È corretto precisare che la ASL, non appena appreso della diffusione dei dati, ha cercato di porre rimedio e ha provveduto ad informare il Garante dell’accaduto, identificando la dott.ssa in servizio presso la predetta struttura, che aveva avuto in cura il paziente reclamante.

Oltre le finalità di cura. Dati personali trattati: la vicenda. La professionista era stata ovviamente autorizzata dalla ASL al trattamento dei dati personali sanitari dei suoi pazienti. Il medico, nel corso di un congresso, ha proiettato alcune diapositive relative ad un caso clinico trattato, riportando i dati del paziente e, in particolare, le iniziali, l’età, il sesso, l’anamnesi della patologia, alcuni dettagli sui ricoveri e sugli interventi chirurgici, ed altro ancora.

Tutto ciò ha reso identificabile il paziente il quale, oltretutto, era all’oscuro che sarebbe divenuto il protagonista del congresso, in quanto nessuno gli aveva chiesto il consenso all’utilizzo dei suoi dati. Il medico in questione ha quindi trattato i dati personali ed i documenti in suo possesso, ben oltre le finalità di cura per le quali la predetta Azienda lo aveva autorizzato tramite gli strumenti informativi aziendali. Inoltre, non solo non aveva chiesto il consenso all’interessato, ma non aveva chiesto alcuna autorizzazione alla ASL nè l’aveva informata delle sue intenzioni.

La normativa vigente vieta espressamente la diffusione di dati idonei a rivelare lo stato di salute degli interessati (decreto n. 101/2018, art. 2-septies, comma 8 e art. 166, comma 2, del Codice). Con specifico riferimento alla pubblicazione di casi clinici, il Codice di deontologia medica approvato dalla Federazione nazionale degli ordini dei medici chirurghi e degli odontoiatri nel 2014 (così come modificato nel 2016 e 2017), prevede che “il medico assicuri la non identificabilità dei soggetti coinvolti nelle pubblicazioni o divulgazioni scientifiche di dati e studi clinici” (art. 11 – Riservatezza dei dati personali).

Provvedimenti.  Il Garante è intervenuto con diversi provvedimenti per un dottore, una Asl e un’associazione di medici chirurghi coinvolti. Con un primo atto (provvedimento n. 9587071) ha accertato, sulla base delle risultanze investigative, sia in capo al medico sia all’ASL, un illecito trattamento dei dati personali. Ha contestato al primo la violazione dei principi di base, stabiliti dagli artt. 5, 6 e 9 del GDPR ed all’ASL la violazione del principio di integrità e riservatezza fissati dall’art. 5, paragrafo 1, lettera f, per aver reso possibile l’utilizzo delle informazioni acquisite, nel corso del ricovero, per finalità diverse da quelle di cura.

La sanzione nei confronti dell’ASL è stata poi diminuita in quanto il Responsabile della stessa si è reso parte diligente, non appena ha appreso dell’incidente, in quanto l’Azienda ha immediatamente avviato delle nuove attività formative per implementare la preparazione del personale e migliorare le proprie misure di sicurezza, anche attraverso una nuova “policy”, maggiormente efficace.

Dalla vicenda risulta ancora una volta quanto sia importante formare ed aggiornare il personale, monitorare e vigilare le loro attività; predisporre delle procedure interne e delle misure di sicurezza adeguate. Di contro, il personale non deve oltrepassare il perimetro delle autorizzazioni ricevute, evitando di accedere a qualsiasi informazione per scopi diversi da quelli strettamente connessi alle finalità delle loro mansioni.

Il caso di violazione dei dati personali (data breach), era stato segnalato al Garante dall’ ASL chiamata in causa da un paziente che, dopo essersi curato presso la struttura, aveva trovato fotografie e altre informazioni riferibili alla sua salute, pubblicate sul sito di un’associazione medica. Tali documenti erano reperibili anche tramite comuni motori di ricerca.

Durante l’istruttoria, il dottore aveva provato a giustificare la diffusione della documentazione sanitaria sulla base del consenso rilasciato alla Ausl dal paziente, per il trattamento dei suoi dati con finalità di “indagine epidemiologica e ricerca scientifica”. Nel provvedimento, il Garante ha però ricordato che quello specifico consenso, peraltro rilasciato solo all’Azienda, non giustifica in ogni caso la divulgazione dei dati sanitari e che il medico aveva trattato dati personali e documenti clinici, al di fuori delle finalità di cura. Per tali motivi ha ricevuto dall’Autorità una sanzione di 5.000 euro.

Il Dottore aveva scaricato i documenti dell’interessato dagli archivi informatici dell’Azienda, per poi utilizzarli per una relazione in un congresso. Il medico non aveva chiesto il consenso al paziente, né il permesso alla Asl, di poterli utilizzare per informazione scientifica e non aveva proceduto ad effettuare a un’efficace anonimizzazione dei dati usati per le diapositive e la successiva relazione scientifica.

Il materiale era stato presentato ad un concorso gestito da una società scientifica di chirurghi, che lo aveva premiato come “Migliore caso clinico 2017”. Il lavoro era stato anche pubblicato in rete, senza alcuna forma di ulteriore oscuramento. La diffusione sul sito della Società Triveneta di chirurgia, delle predette diapositive, ha assunto il connotato della divulgazione di dati sulla salute, espressamente vietata dall’art. 2-septies, comma 8 del Codice.

L’Ufficio ha richiesto informazioni alla Società Triveneta di chirurgia (nota del 22.11.2019, prot. n. 831733) che ha fornito riscontro con nota del 19 dicembre 2019, in cui ha rappresentato, in particolar modo, che “….ai Relatori (o Candidati, in caso di concorso) veniva quindi richiesta, dalla nostra Associazione, la sottoscrizione di un modulo in cui veniva espressa la conferma che l’elaborato scientifico era stato da loro stessi presentato al Convegno e ne autorizzava la pubblicazione nella piattaforma web dell’Associazione”.

Nel richiamato atto del 22 giugno 2020, l’Ufficio ha quindi ritenuto che la Società avesse effettuato un trattamento di dati personali in violazione della Legge. L’associazione chirurgica che aveva pubblicato la relazione con i dati sanitari sul proprio sito, tra l’altro senza l’autorizzazione del dottore vincitore del premio, ha ricevuto una sanzione di 2.000 euro.

In sintesi, il Garante dice sì all’informazione scientifica, ma attenzione alla privacy dei pazienti. È necessario prestare particolare attenzione a pubblicazioni o divulgazioni di studi clinici, accertandosi che il paziente sia stato preventivamente informato, abbia dato il suo consenso e che i suoi dati siano stati opportunamente anonimizzati.

BIBLIOWEB:

Garante 14 gennaio 2021 Provvedimento del 15 aprile 2021 n. 142 [9587071] (in PDF allegato)
Provvedimento del Garante – Ordinanza ingiunzione nei confronti di Società triveneta di chirurgia – 15 aprile 2021 n. 145 [9587089] (vedi allegato)
Privacy, trasparenza della PA e dati sanitari https://newmicro.altervista.org/?p=9472
Dalla Parte della Donna  https://newmicro.altervista.org/?p=9377
Violazione della Privacy e tipo di danno https://newmicro.altervista.org/?p=8845
Tre anni di GDPR https://newmicro.altervista.org/?p=8519
Data Breach di Referti online https://newmicro.altervista.org/?p=8134
Il nuovo Garante Privacy https://newmicro.altervista.org/?p=7698
Un anno di Privacy https://newmicro.altervista.org/?p=7567
Covid, App e Privacy https://newmicro.altervista.org/?p=7264
Privacy: le sanzioni fanno male https://newmicro.altervista.org/?p=7027
Piano Nazionale anticorruzione: Criteri https://newmicro.altervista.org/?p=6968
L’oro dei Big Data https://newmicro.altervista.org/?p=6557
TAR & DPO https://newmicro.altervista.org/?p=6488
GDPR Slow https://newmicro.altervista.org/?p=6362
Sicurezza dei dati sanitari https://newmicro.altervista.org/?p=5934
Pareri di Garanti https://newmicro.altervista.org/?p=5494

 Garante, 14 gennaio 2021 – Provvedimento del 15 aprile 2021 n. 142 (PDF)

Un Click per Leggere

 Provvedimento del Garante – Ordinanza ingiunzione nei confronti di Società triveneta di chirurgia – 15 aprile 2021 n. 145 (PDF)

Un Click per Leggere

Print Friendly, PDF & Email


Articoli correlati:

0
Giovanni Casiraghi

About the Author

Email: [email protected]
Go To Top
AVVERTENZA: Questo sito web utilizza i Cookies al fine di offrire un servizio migliore agli Utenti Maggiori informazioni