Illecita comunicazione di dati relativi all’interruzione volontaria della gravidanza da parte di una struttura sanitaria al marito della paziente

Massimazione e Commenti ai Provvedimenti del Garante a cura dell’Osservatorio Privacy  collegato con il Corso di Alta Formazione in Data Protection e Privacy Officer dell’Università di Bologna https://site.unibo.it/dpo

Massima (1)  La disciplina in materia di protezione dei dati personali (considerando n. 35 e art. 9 GDPR, nonché art. 83 d.lgs. 196/2003, in combinato disposto con l’art. 22, co. 11, d.lgs. 101/ 2018) prevede, in ambito sanitario, che le informazioni sullo stato di salute possano essere riferite solo all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su specifica indicazione dell’interessato stesso, previa delega scritta di quest’ultimo.

Massima (2)  Nell’ambito della gestione dei dati personali dei pazienti, con particolare attenzione a quelli particolari, la cui indebita comunicazione o diffusione sarebbe in grado di incidere significativamente sui diritti e le libertà degli interessati, l’Azienda sanitaria è tenuta a mettere in atto misure tecniche ed organizzative adeguate a garantire un livello di sicurezza adeguato al rischio. In questo senso, la mera specificazione, nel documento di attribuzione del ruolo di incaricato del trattamento, prima, e autorizzato del trattamento, poi, conferito all’infermiera di una struttura sanitaria, si è da ritenersi insufficiente a garantire l’effettività dei principi inerenti al trattamento dei dati personali, in particolare di correttezza e trasparenza, se non corroborata da ulteriori adeguate misure tecniche e/o organizzative – richieste dall’art. 5, par. 1, lett. f) e dall’art. 32 GDPR – che tengano nella dovuta considerazione il particolare contesto ospedaliero in cui siffatti trattamenti di dati personali, anche estremamente delicati, hanno luogo (la circostanza che un’infermiera di un reparto di ginecologia si trovi a doversi destreggiare contemporaneamente tra due o più pazienti non rappresenta infatti un evento imprevedibile, tale da giustificare la comunicazione dei dati dell’interessata, relativi all’interruzione volontaria della gravidanza, al di lei marito, in presenza di un diniego espresso dalla paziente). 

Massima (3) La condotta dell’interessata non rileva ai fini della valutazione dell’illiceità del trattamento in relazione alla violazione dei dati personali, là dove la violazione sia comunque imputabile all’inadeguatezza delle misure tecniche e organizzative implementate, a prescindere dalla supposta incidenza causale della condotta dell’interessato medesimo sugli eventi. Né rileva, ai fini della valutazione dell’illecito, la circostanza che il terzo, a cui siano stati comunicati illecitamente i dati relativi alla salute dell’interessata (causa del ricovero ospedaliero), sia un prossimo congiunto che li abbia comunque appresi in altro modo.

Provvedimento: GPDP, Docweb n. 9544504 del 27 gennaio 2021

Link:   https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9544504

Keywords: Sanità, dati sanitari, stato di salute, aziende sanitarie, operatori sanitari, ospedali, pazienti, data breach, violazione dei dati, misure tecniche e oganizzative, principio di liceità, principio di correttezza, principio di integrità e riservatezza, sicurezza, interruzione volontaria della gravidanza, comunicazione dei dati, delega scritta.

Riferimenti normativiArtt. 5, par. 1, lett. a), d) e f), 9 e 32, par. 1, lett. b), GDPR; art. 22, co. 4 e 11, d.lgs. 10 agosto 2018, n. 101.; GPDP, provv. generale del 9 novembre 2005, doc. web n. 1191411,

Data del commento: 9 giugno 2022

Massime e Commento di Luca Petrone

1. Il caso 

L’Azienda U.S.L. della Romagna ha notificato una violazione di dati personali, ai sensi dell’art. 33 del GDPR, a seguito di una richiesta di risarcimento del danno da parte di una interessata la quale, dopo essere stata ricoverata presso il reparto di ginecologia della stessa azienda sanitaria, aveva chiesto che non fossero fornite informazioni sul suo stato di salute a soggetti terzi. 

Tuttavia, a seguito delle dimissioni della paziente, l’infermiera di reparto, nel tentare di contattare quest’ultima al fine di fornirle indicazioni circa le specifiche terapie da seguire, si trovava a parlare col marito utilizzando un numero di telefono non corrispondente a quello comunicato dalla stessa paziente al momento del ricovero, bensì quello indicato sul frontespizio della cartella clinica dell’interessata e registrato nell’anagrafica informatizzata della Azienda in occasione di un precedente contatto dell’interessata con la struttura sanitaria, per altre ragioni.

2. Le questioni

Le questioni che il caso solleva ruotano intorno: (i) al rispetto dei principi applicabili al trattamento dei dati personali e ai confini di liceità della comunicazione al marito dei dati sanitari della paziente, relativi alla degenza ospedaliera per interruzione volontaria della gravidanza; nonché (ii) all’adozione, da parte del titolare, di adeguate misure tecniche ed organizzative adeguate al rischio derivante dalla particolare tipologia di dati trattati. 

2.1. I principi sottesi al corretto trattamento di dati personali e illecita comunicazione di dati sanitari (relativi alla degenza ospedaliera per interruzione volontaria della gravidanza) ad un prossimo congiunto della paziente (marito)

Sulla prima questione il Garante, nel provvedimento in esame, ha chiarito che ai sensi dell’art. 5, par. 1, lett. a), d) e f) del Reg. (UE) 2016/679, i dati personali devono essere trattati in modo lecito, corretto e trasparente; devono, inoltre, essere esatti ed aggiornati rispetto alle finalità per le quali sono trattati, anche al fine di prevenire trattamenti non autorizzati o illeciti.

A fortiori, in ragione della tipologia dei dati trattati da parte delle strutture sanitarie, queste dovrebbero essere indotte a rispettare con maggiore rigore ed attenzione, oltre ai principi sopra meglio specificati, anche le garanzie a presidio della dignità e della riservatezza degli interessati, tenuto conto che i dati sanitari, a differenza di altri dati particolari, vedono più nettamente emergere il diritto fondamentale del soggetto interessato alla tutela della propria vita privata (art. 8 CEDU) e dei propri dati personali (art. 8 Carta dei diritti fondamentali dell’UE), nei quali va ricompreso il diritto dell’interessato alla non divulgazione della propria situazione medico-sanitaria nei confronti di soggetti terzi non autorizzati, anche qualora essi siano prossii congiunti. Considerando anche le moltepliti discussioni teoriche e le risultanze derivanti dalla prassi, risulta evidente che il tema del trattamento dei dati sanitari, presentandosi fortemente dinamico e con grande impatto per i diritti e le libertà degli interessati, dovrebbe essere maggiormente attenzionato da parte del titolare e del responsabile del trattamento.

In particolare, nel corso dell’istruttoria eseguita dall’Autorità di controllo è emerso, nel caso di specie, che l’operatore sanitario, utilizzando un numero telefonico precedentemente acquisito nell’anagrafica dei pazienti, ma diverso rispetto a quello specificamente indicato dalla paziente per eventuali contatti afferenti a quel determinato ricovero, ha posto in essere una condotta in violazione dell’art. 5, par. 1, lett. d) della disciplina eurounitaria in materia di protezione dei dati personali, ossia al Reg. (UE) n. 679/2016 (GDPR), in forza del quale i dati personali devono essere esatti e, se necessario, aggiornati, istituendo le misure ragionevoli volte alla cancellazione e alla rettifica tempestiva dei dati inesatti rispetto alle finalità perseguite.  

Inoltre la condotta dell’operatore sanitario, nel contattare il marito della paziente, ha comportato l’esplicita correlazione, da parte di un soggetto terzo non legittimato, tra l’interessata e un determinato reparto di degenza indicativo di uno specifico stato di salute; da tale condotta è, quindi, discesa una comunicazione di dati idonei a rivelare lo stato di salute dell’interessata (ed, in particolare, la causa del ricovero) effettuata non solo in assenza di idonea base giuridica, ma anche in violazione dell’esplicito diniego della stessa a consentirne la conoscenza da parte di soggetti terzi, in violazione degli artt. 5, par. 1 lett. a) e 9 del Regolamento il quale dopo aver voluto affermare espressamente, in linea di principio, che è vietato trattare dati personali di tipo particolare, ha previsto che il divieto non opererebbe esclusivamente in presenza di ulteriori condizioni indicate al relativo par. 2.

In ragione di quanto sopra, la condotta posta in essere da parte della struttura sanitaria per mezzo di un proprio operatore, nel ledere anche la fiducia e l’affidamento che l’interessata ha posto nell’Azienda alla quale si è rivolta, ha comportato altresì un trattamento di dati personali in violazione del principio di correttezza (art. 5, par. 1 lett. a) del Regolamento). 

In tema di comunicazione dei dati sanitari a terzi, il Garante inoltre rimarca, nel provvedimento in esame, che la disciplina europea e nazionale in materia di protezione dei dati personali (segnatamente, il considerando n. 35 e l’art. 9 del GDPR, nonché l’art. 83 d.lgs. 196/2003, in combinato disposto con l’art. 22, co. 11, d.lgs. 101/ 2018) prevede espressamente, in ambito sanitario, che le informazioni sullo stato di salute possono essere riferite solo all’interessato e possono essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su specifica indicazione dell’interessato stesso, previa delega di quest’ultimo, che deve avere la forma scritta. 

Dunque, anche qualora non vi fosse stato un espresso diniego della paziente alla comunicazione dei propri dati sanitari a soggetti terzi (incluso il di lei marito), la struttura sanitaria avrebbe dovuto comunque astenersi, salvo a verificare l’esistenza di una eventuale delega per iscritto resa dall’interessata medesima o di altro idoneo presupposto previsto dalla legge. 

2.2. L’adeguatezza delle misure tecniche ed organizzative

La vicenda oggetto del provvedimento di cui al presente commento ha evidenziato carenze tecnico-organizzative tali da pregiudicare la dignità degli interessati e ad assicurare il rispetto della volontà dei pazienti di non far conoscere, a soggetti terzi, notizie circa il proprio stato di salute, in violazione degli artt. 5, par. 1, lett. f) e 32 del GDPR.

Per quanto concerne l’adozione di misure tecniche ed organizzative adeguate al rischio derivante dalla particolare tipologia di dati trattati, il titolare e il responsabile dovrebbero tenere in debita considerazione la natura, l’oggetto, il contesto e le finalità del trattamento, come anche il rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, come espressamente indicato all’art. 32 del Regolamento. In tal senso, ed in ragione di quanto appena espresso, le misure di sicurezza tecniche ed organizzative non vanno adottate tenendo conto dell’informazione in sé, ma del contesto in cui viene inserita, delle finalità per cui viene adoperata, nonché delle altre informazioni a cui viene collegata. Anche in ragione di ciò il legislatore ha voluto rafforzare e rendere maggiormente efficace il ricorso alle misure tecniche e organizzative introducendo il principio dell’accountability, responsabilizzando dunque il titolare e il responsabile (anche tramite le obbligazioni assunte nel contratto o nell’atto giuridico di cui all’art. 28 GDPR), cui spettano le valutazioni in ordine alle misure tecniche ed organizzative da adottare.

In particolare le aziende sanitarie dovrebbero adottare misure tecniche ed organizzative idonee a garantire il rispetto della dignità dei pazienti (interessati) nello svolgimento delle prestazioni mediche e specifica attenzione dovrebbe essere riservata alla tutela della dignità di pazienti sottoposti a trattamenti medici invasivi o comunque a qualsivoglia altro trattamento medico in grado di incidere significativamente sui diritti e le libertà degli interessati (come nel caso in esame un intervento di interruzione volontaria di gravidanza) e in tal senso le specifiche cautele che le stesse strutture sono chiamate ad adottare dovrebbero essere mirate a limitare l’eventuale disagio dei pazienti (interessati) in maniera proporzionale al grado di invasività del trattamento sanitario.

Inoltre, la corretta applicazione della disciplina in materia di protezione dei dati personali dovrebbe prevedere, in contesti sanitari, che le informazioni sullo stato di salute possano essere riferite solo all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso, previa delega scritta di quest’ultimo. 

A tal proposito, l’adeguatezza delle misure dovrebbe essere valutata considerando la capacità di evitare che soggetti terzi non autorizzati possano desumere in modo esplicito notizie idonee a rivelare l’esistenza di un particolare stato di salute del paziente (interessato) attraverso la semplice correlazione tra la sua identità e l’indicazione della struttura o del reparto presso cui si è recato o è (o è stato) ricoverato.

Il provvedimento in esame dispone che tali misure dovrebbero necessariamente comprendere il rispetto della dignità dell’interessato in occasione della prestazione medica e in ogni operazione di trattamento dei dati attraverso l’attuazione di procedure, anche di formazione del personale, dirette a prevenire la possibilità che estranei possano stabilire una corrispondenza tra l’interessato e reparti o strutture indicative dell’esistenza di un particolare stato di salute (cfr. artt. 10-12 del Codice di deontologia medica), a maggior ragione se il legislatore nazionale, come nel caso di specie, richiede espressamente che venga assicurato al più alto livello il rispetto della dignità e della riservatezza (v. art. 5 della legge 22 maggio 1978, n. 194).

In ragione di ciò il personale designato dovrebbe essere istruito in maniera appropriata ed essere costantemente aggiornato, anche sulle procedure da seguire, per consegnare a soggetti terzi la documentazione contenente dati idonei a rivelare lo stato di salute dell’interessato.

Va infine annotato che, come rilevato dal Garante, la condotta dell’interessata (che in precedenza aveva fornito, per ragioni diverse dal predetto ricovero, il contatto tenefonico del marito) non rileva ai fini della valutazione dell’illiceità del trattamento in relazione alla violazione dei dati personali, là dove la violazione sia comunque imputabile, come lo è stato nel caso di specie, all’inadeguatezza delle misure tecniche e organizzative implementate dal titolare del trattamento, a prescindere dalla supposta incidenza causale della condotta dell’interessato medesimo sugli eventi. Né rileva, ai fini della valutazione dell’illecito, la circostanza che il terzo, a cui siano stati comunicati illecitamente i dati relativi alla salute dell’interessata (causa del ricovero ospedaliero), sia un prossimo congiunto che li abbia comunque appresi in altro modo.

3. Precedenti

Sul rapporto tra trattamento di dati sanitari, rispetto dei principi ad esso sottesi e adozione di adeguate misure tecniche ed organizzative preordinate ad evitare possibili violazioni nell’attività di trattamento, il Garante è stato più volte chiamato a pronunciarsi. 

Tra i provvedimenti più significativi si vedano, ad esempio: (i) l’ordinanza di ingiunzione nei confronti dell’Azienda Ospedaliero Universitaria di Parma, doc. web n. 9544092 del 27 gennaio 2021, ove è stata riconosciuta una responsabilità in capo alla struttura ospedaliera che, per difetto di adeguate misure organizzative, ha consegnato della documentazione sanitaria a soggetti diversi dall’interessato, precisando, altresì, che la disciplina in materia di protezione dei dati personali prevede – in ambito sanitario – che le informazioni sullo stato di salute possano essere comunicate solo all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso previa delega scritta di quest’ultimo, concludendo che la disciplina eurounitaria stabilisce che i dati personali devono essere «trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali»:  (ii) il provvedimento doc. web n. 9544457 del 27 gennaio 2021, ove il medesimo principio è stato ribadito nei confronti dell’Azienda Ospedaliero Universitaria Senese, la quale, mediante un proprio operatore sanitario, a causa di un errore materiale in fase di imbustamento, ha inviato a soggetti terzi per posta presso la loro residenza, una relazione medica cartacea riferita ad altri soggetti interessati e relativa ad una “consulenza genetica” effettuata dall’U.O.C. di Genetica. In particolare è stato affermato nuovamente che la disciplina in materia di protezione dei dati personali prevede –  sempre in ambito sanitario – che le informazioni sullo stato di salute possano essere comunicate solo all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso, sempre previa delega scritta di quest’ultimo, e che il GDPR stabilisce che i dati personali devono essere «trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali».

4. Bibliografia

In materia di trattamento di dati sanitari, seppur non sullo specifico tema di cui al provvedimento in esame si veda M. Di Masi, Comm. sub art. 77D. lgs. n. 196/2003, in R. D’orazio-G. Finocchiaro-O. Pollicino-G. Resta (a cura di), Codice della privacy e data protectionLe fonti del diritto italiano, Milano, 2021, p. 1233 ss.; P. Guarda, I dati sanitari, in V. Cuffaro-R. D’Orazio-V. Ricciuto (a cura di), I dati personali nel diritto europeo, Torino, 2019, pp. 591 ss.; L. Greco, Sanità e protezione dei dati personali, in G. Finocchiaro (a cura di), La protezione dei dai personali n Italia. Regolamento UE n. 2016/679 e d.lgs. 10 agosto 2018, n. 101, Bologna, 2019, pp. 244 ss.; L. Durst, Il trattamento di categorie particolari di dati in ambito sanitario, in R. Panetta (a cura di), Circolazione e protezione dei dati personali, tra libertà e regole del mercatoCommentario al Regolamento UE n. 2016/679 (GDPR) e al novellato d. lgs. n. 196/2003 (Codice Privacy), Milano, 2019, pp. 65 ss.; L. Bolognini, Trattamento dei dati genetici, biometrici e relativi alla salute o alla vita sessuale, in L. Bolognini-E. Pelino, Codice privacy: tutte le novità del d. lgs. n. 101/2018, Milano, 2018, pp. 28 ss.

Sui principi applicabili al trattamento di dati personali, incluso quelli sanitari si vedano, in particolare, per un inquadramento di carattere generale: G. Finocchiaro, Introduzione al Regolamento Europeo sulla protezione dei dati, in Nuove leggi civ. comm., 2017, 1, pp. 1 ss.; M. Dell’Utri, Principi generali e condizioni di liceità del trattamento dei dati personali, in V. Cuffaro-R. D’Orazio-V. Ricciuto (a cura di), I dati personali nel diritto europeo, cit., pp. 179 ss;  G. Malgieri, Comm. art. 5 GDPR (Principi applicabili al trattamento di dati personali), in R. D’orazio-G. Finocchiaro-O. Pollicino-G. Resta (a cura di), Codice della privacy e data protectionLe fonti del diritto italiano, cit., pp. 176 ss.

In merito alle misure tecniche ed organizzative adeguate ai rischi si vedano, invece, F. Bravo, L’ «architettura» del trattamento e la sicurezza dei dati e dei sistemi, in V. Cuffaro-R. D’Orazio-V. Ricciuto (a cura di), I dati personali nel diritto europeo, cit., pp. 775-854; M.S. Esposito, Comm. art. 32 GDPR (Sicurezza del trattamento), in R. D’orazio-G.Finocchiaro-O. Pollicino-G. Resta (a cura di), Codice della privacy e data protectionLe fonti del diritto italiano, cit., pp. 502 ss.


Massimazione e Commenti ai Provvedimenti del Garante a cura dell’Osservatorio Privacy  collegato con il Corso di Alta Formazione in Data Protection e Privacy Officer dell’Università di Bologna https://site.unibo.it/dpo

Previous Article
Next Article
Open Access