Dott.ssa Susanna Caruso
Dati personali sensibili violati: AUSL sanzionata per l’utilizzo non autorizzato dei dati dei pazienti, ma adotta misure di conformità al GDPR.
Con il provvedimento del 1 giugno 2023 n. 227, il Garante per la protezione dei dati personali ha emesso una sanzione di 20.000 euro nei confronti dell’AUSL Toscana Sud Est per la violazione degli artt. 5, 9 e 25 del Regolamento Generale sulla Protezione dei Dati (GDPR) e dell’art. 2 septies, comma 8 del Codice Privacy (d.lgs 196/2003). La decisione del Garante, che è stata presa dopo un’attenta indagine, sottolinea l’importanza di trattare i dati personali degli utenti con estrema cautela, specialmente quando si tratta di dati sensibili relativi alla salute dei pazienti, che sono categorizzati come “super sensibili” secondo l’art. 4, par. 1, n. 15 del GDPR.
Questo incidente ha sollevato gravi preoccupazioni per la privacy e la protezione dei dati dei cittadini. Tuttavia, è incoraggiante notare che l’AUSL ha preso seriamente questa situazione e ha immediatamente intrapreso azioni correttive per garantire il rispetto del Regolamento generale sulla protezione dei dati (GDPR).
L’AUSL ha riconosciuto l’importanza di un approccio olistico alla protezione dei dati e ha adottato una serie di misure per migliorare la conformità al GDPR e rafforzare le politiche di sicurezza dei dati. Queste misure includono l’implementazione di protocolli di sicurezza avanzati. Inoltre, includono la formazione obbligatoria per tutto il personale sull’importanza della riservatezza dei dati, nonché l’assegnazione di un responsabile della protezione dei dati (DPO) altamente competente e indipendente.
Inoltre, l’AUSL ha istituito una rigorosa politica di gestione dei dati, che comprende la revisione periodica dei processi interni e l’adozione di strumenti tecnologici avanzati per garantire la sicurezza dei dati. Un’analogia al GDPR è introdotta come pratica standard all’interno dell’azienda per garantire che tutte le attività legate alla raccolta, elaborazione e conservazione dei dati personali siano in linea con i principi fondamentali del regolamento.
Queste misure dimostrano l’impegno dell’AUSL nel riparare alla violazione dei dati e nel garantire la sicurezza e la riservatezza delle informazioni dei pazienti. L’azienda ha riconosciuto l’importanza di instaurare un ambiente di fiducia con i propri utenti, lavorando costantemente per migliorare le proprie politiche e procedure in materia di protezione dei dati.
La vicenda
Qualche tempo prima dell’emissione della disposizione, l’interessato aveva segnalato al Garante un manifesto pubblicitario che aveva notato presso il triage del pronto soccorso dell’ospedale di Arezzo. Questo manifesto raffigurava un operatore sanitario seduto alla sua postazione di lavoro e mostrava chiaramente informazioni personali sensibili del reclamante come “nome, cognome, data di nascita, luogo di nascita, residenza, numero libretto sanitario, scheda di pronto soccorso, data di ingresso/uscita, gravità della dimissione, prognosi, cura e medicinali prescritti”.
In risposta alle richieste di chiarimento del Garante, l’AUSL ha fornito alcune precisazioni. L’azienda ha sostenuto che i dati dell’utente si limitavano solo al nome e cognome, senza fornire alcuna specificità sullo stato di salute del soggetto. Inoltre, hanno affermato che la posizione del cartellone pubblicitario all’ingresso riservato ai pazienti del pronto soccorso era il risultato di una semplice distrazione in un contesto temporale eccezionale dovuto allo stato di emergenza sanitaria in corso.
Si è anche evidenziato che l’ingresso, durante il periodo in questione, era utilizzato solo dai pazienti non affetti da COVID-19 e che normalmente non vi erano soste di pazienti o altri utenti in quel luogo. L’AUSL ha sottolineato che il cartellone ha avuto una diffusione limitata, solo presso la sede del Pronto Soccorso dell‘ospedale di Arezzo e nessuno ha trovato altri esemplari del manifesto né in forma telematica sulla pagina Facebook, sul sito web o nell’intranet aziendale. Inoltre, dopo diverse settimane, l’azienda ha provveduto a rimuovere il cartellone e l’ha posto in un locale chiuso a chiave, accessibile solo al personale autorizzato.
Contestualmente al procedimento del Garante, l’interessato aveva presentato denuncia presso l’autorità giudiziaria, che aveva poi notificato all’AUSL lo status di indagata. Successivamente, l’AUSL ha informato il Garante che il procedimento penale era stato archiviato su richiesta del Pubblico Ministero. Questo, in quanto “non erano individuabili altri dati sensibili della P.O. eccetto il proprio nome e cognome, e comunque questi erano visibili solo a seguito di un rilevante ingrandimento”.
Esito dell’Istruttoria
Riscontrata quindi, anche in seguito ai rilievi fotografici inviati al Garante, la violazione della privacy da parte dell’AUSL Toscana Sud Est per aver riportato nel cartellone pubblicitario il nome e cognome del paziente associati a una prestazione di pronto soccorso, sono importanti le considerazioni espresse dal Garante a riguardo.
In primo luogo, in conformità all’articolo 4, paragrafo 1, n. 15 del Regolamento, i dati relativi alla salute sono definiti come “i dati personali che concernono la salute fisica o mentale di una persona fisica, compresi i servizi di assistenza sanitaria, dai quali emergono informazioni sul suo stato di salute”. Come ulteriormente chiarito dal considerando n. 35, i dati relativi alla salute includono anche le “informazioni sulla persona fisica raccolte durante la registrazione per ricevere servizi di assistenza sanitaria”.
A tal proposito, è importante ricordare che la normativa sulla protezione dei dati personali prevede che le informazioni sullo stato di salute di un individuo non possano essere diffuse né comunicate a un soggetto diverso dall’interessato “se non sulla base di un’appropriata base giuridica o su indicazione dell’interessato stesso previa delega scritta” (articoli 2 septies, comma 8 e articolo 166, comma 2 del Codice e articolo 9 del Regolamento).
Le linee guida sulla privacy
Il Garante prosegue ricordando che già nelle proprie linee guida del 2014, c’era un chiaro invito all’evitazione della pubblicazione di qualsiasi informazione dalla quale potesse emergere “lo stato di malattia o l’esistenza di patologie degli interessati, inclusi riferimenti alle condizioni di invalidità, disabilità o handicap fisici e/o psichici”.
A tal fine, durante la redazione degli atti e dei documenti soggetti a pubblicazione, “nel rispetto del principio di adeguata motivazione, non dovrebbero essere inseriti dati personali eccedenti, non pertinenti o non indispensabili, provvedendo in ogni caso ad oscurare tali dati” (linee guida in materia di trattamento dei dati personali del Garante della Privacy, relativi a pubblicità e trasparenza su Internet da parte di soggetti pubblici e altri enti obbligati).
Inoltre, questi dati, oltre ad essere trattati “in modo lecito, corretto e trasparente”, devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità del trattamento, nel rispetto del principio di minimizzazione dei dati” (articolo 5, paragrafo 1, lettera a) e c) del Regolamento).
È altresì fondamentale garantire l’integrità e la riservatezza di tali dati attraverso l’adozione di misure tecniche e organizzative adeguate al fine di prevenire trattamenti non autorizzati o illeciti (articolo 5, paragrafo 1, lettera f del Regolamento).
Infine, il titolare del trattamento deve applicare queste misure fin dalla progettazione del trattamento stesso, ovvero quando sceglie gli strumenti tecnici con cui effettuerà il successivo trattamento (privacy by design), “garantendo che siano trattati solo i dati personali necessari per ogni specifica.
La decisione dell’AUSL
Al fine di evitare future violazioni e garantire una gestione adeguata dei dati personali, l’Azienda Sanitaria ha adottato diverse procedure organizzative.
Per cominciare, è stato istituito un percorso di addestramento specifico per i neoassunti. In particolare, il percorso è destinato a coloro che entrano a tempo indeterminato, durante il quale vengono affrontati temi legati al GDPR e viene illustrato il Modello aziendale di protezione dei dati. Inoltre, il Codice di Comportamento dell’AUSL Toscana Sud Est ha effettuato un aggiornamento includendo le disposizioni specifiche sulla protezione dei dati personali e sull’utilizzo dei social media.
Allo stesso modo, è stata sviluppata una procedura aziendale che regolamenta la creazione di materiali contenenti immagini in qualsiasi formato (come cartellonistica, brochure, video, foto, post, ecc.) utilizzati per scopi di pubblicazione o divulgazione all’interno delle iniziative istituzionali dell’Azienda.
Infine, al fine di garantire una corretta gestione delle campagne informative, educative e promozionali legate alla salute, è in fase di elaborazione una procedura aziendale che richiede ai direttori delle strutture coinvolte di consultare preventivamente l’unità aziendale responsabile della comunicazione. Questo consente al Responsabile Protezione Dati dell’Azienda di effettuare una valutazione preliminare prima della realizzazione del materiale.
