Con ordinanza del 15 aprile 2021, il Garante per la protezione dei dati personali ha ingiunto di pagare la somma di euro 5.000,00 ad una dottoressa che, in violazione degli artt. 5, par. 1, lett. a) e c), 6 e 9 del Regolamento, ha trattato dati che hanno riguardato informazioni sulla salute di un paziente (art. 83, par. 2, lett. a) e g) del Regolamento) senza acquisirne preventivamente il consenso.
In particolare, però, il trattamento dei dati dell’interessato è avvenuto nell’ambito di una occasione di condivisione del sapere scientifico nella comunità medica (art. 83, par. 2, lett. b) e k) del Regolamento) e non certo per assistenza sanitaria, per la quale non è più necessario acquisire tale base giuridica.
Dalla documentazione versata in atti si è evidenziato che “il paziente ebbe a prestare il relativo consenso al trattamento per finalità di cura, per la costituzione e l’alimentazione del dossier sanitario, per l’inserimento nel dossier dei dati pregressi. Nella relativa Informativa sul trattamento dei dati l’Azienda ha informato il paziente del fatto che il trattamento avveniva per il perseguimento della finalità di “indagine epidemiologica e ricerca scientifica”.
L’attività istruttoria effettuata dall’Ufficio del Garante ha riguardato l’utilizzo da parte della dott.ssa XX dei dati e dei documenti raccolti e redatti nel corso del ricovero di un paziente presso l’Azienda unità locale socio sanitaria n. 9 Scaligera per la realizzazione di un elaborato finalizzato alla partecipazione al Premio “Migliore caso clinico 2017”, patrocinato dalla Società triveneta di chirurgia.
Ai sensi del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, il “Regolamento”), i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («integrità e riservatezza»)” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»)” (art. 5, par. 1, lett. a) e c) del Regolamento).
Con specifico riferimento alla pubblicazione di casi clinici, il Codice di deontologia medica approvato dalla Federazione nazionale degli ordini dei medici chirurghi e degli odontoiatri nel 2014 (così come modificato nel 2016 e nel 2017) prevede che “il medico assicur(a)(i) la non identificabilità dei soggetti coinvolti nelle pubblicazioni o divulgazioni scientifiche di dati e studi clinici” (art. 11 – Riservatezza dei dati personali).
In particolare, si rileva che la dott.ssa XX ha trattato dati personali e documenti clinici relativi al predetto paziente, al di fuori delle finalità di cura per le quali la predetta Azienda aveva autorizzato la stessa ad accedere agli strumenti informativi aziendali, senza procedere a richiedere una specifica autorizzazione al titolare del trattamento e senza effettuare un’efficace anonimizzazione dei dati e dei documenti.
Le informazioni presenti sulle diapositive proiettate in occasione di un convegno scientifico, in particolar modo, le inziali del paziente, l’età, i dettagli dei ricoveri e dell’anamnesi, nonché le numerose immagini fotografiche hanno reso infatti identificabile il paziente. Quest’ultimo non ha prestato alla professionista il proprio consenso informato in merito a tale trattamento di dati personali, non potendosi qualificare idoneo, quale base giuridica del trattamento, il consenso prestato all’Azienda per i trattamenti finalizzati a “indagine epidemiologica e ricerca scientifica” effettuati attraverso il dossier sanitario aziendale. Ciò, in quanto tale consenso non è stato rilasciato nei confronti dei trattamenti effettuati dalla dott.ssa XX, bensì da quelli posti in essere dalla predetta Azienda sanitaria, attraverso il dossier sanitario aziendale, in qualità di titolare del trattamento.
Si rileva infine che dalla documentazione in atti, emerge che la dott.ssa XX non ha richiesto alcuna autorizzazione alla predetta Azienda per l’utilizzo di dati e documenti clinici di cui la stessa è titolare, avendo acquisito copia dei dati e dei documenti utilizzati nelle predette diapositive, dopo aver acceduto direttamente agli strumenti informativi, in uso presso la stessa Azienda, in qualità di medico e persona autorizzata al trattamento dei dati personali.
La messa a disposizione dei predetti dati personali e delle immagini diagnostiche e fotografiche, non anonimizzate, in occasione del predetto Premio, senza il consenso informato dell’interessato e senza l’autorizzazione del titolare del trattamento degli stessi dati (Azienda ULSS 9 Scaligera) ha determinato quindi una violazione dei principi di base del trattamento di cui agli artt. 5, par. 1, lett. a) e c), 6 e 9 del Regolamento. La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, lett. a) del Regolamento.