Garante per la protezione dei dati personali, Provvedimento del 26 ottobre 2023 n. 497-Sul consenso dell’interessato, le finalità del trattamento e il contesto emergenziale: l’illecito trattamento di dati relativi alla salute operato mediante dossier sanitario

Provvedimento del 26 ottobre 2023 n. 497

Pres. e Rel. Stanzione, Segretario generale Mattei

Diritti della persona – Diritto alla protezione dei dati personali – Trattamento di dati sanitari – Operazioni di trattamento nell’elaborato finale di un corso di formazione – Violazione.

Diritti della persona – Diritto alla protezione dei dati personali – Nozione di dato personale.

Protezione dei dati personali – Protezione dei dati personali appartenenti alle categorie particolari – Trattamento di dati relativi alla salute – Consenso dell’interessato.

Protezione dei dati personali – Protezione dei dati personali appartenenti alle categorie particolari – Trattamento di dati relativi alla salute – Informativa.

Il Garante per la protezione dei dati personali, con il provvedimento n. 497 del 26 ottobre 2023, ha ammonito una professionista sanitaria per l’illecito trattamento di dati personali relativi alla salute posto in essere con riguardo alle informazioni di una sua paziente.

Si trattava, in questo caso, di un’osteopata che, per redigere una tesi a conclusione di un corso di formazione, aveva impiegato i dati sanitari di una paziente. Il procedimento dinanzi all’Autorità garante ha preso avvio dal reclamo di quest’ultima.

Osserva il Garante che la tesi redatta reca numerose informazioni e dati anamnestici e personali mediante i quali è possibile identificare l’interessata, pur indirettamente, e riporta un documento clinico in cui sono indicate numerose informazioni sullo stato di salute dell’interessata, i cui dati anagrafici sono stati cancellati a mano, in un modo approssimativo tale da non impedire di leggere nome e cognome.

«La procedura di cancellazione manuale – aggiunge – non può essere infatti definita idonea a rendere anonime le informazioni personali del caso clinico rappresentato, né può definirsi una procedura di “pseudonimizzazione” […] essendo piuttosto una semplice procedura manuale di oscuramento delle generalità degli interessati».

Tutte quelle informazioni sanitarie presenti nell’elaborato sono qualificabili quindi come dati personali sulla salute in quanto consentono l’identificazione, seppure indiretta, dell’interessata.

Il consenso al trattamento acquisito, inoltre, non risulta né specifico né informato e l’informativa prestata appare inidonea sotto più profili. In particolare, l’informativa non indica tutte le finalità del trattamento, quale l’attività di pubblicazione scientifica, e individua erroneamente la base giuridica del trattamento per finalità di cura nell’art. 6 del Regolamento, che non concerne i dati sulla salute, e per finalità di ricerca scientifica, che è soggetta invece alla specifica disciplina di settore.

L’osteopata, che nel caso in esame è titolare del trattamento, risulta poi aver comunicato, senza un idoneo presupposto giuridico, i predetti dati sulla salute della reclamante a soggetti terzi, cioè al relatore della tesi e alla scuola, che neppure sono stati indicati tra i destinatari dei dati nell’informativa.

Tuttavia, alla luce del quadro complessivo dell’illecito trattamento di dati, considerato, tra l’altro, che la violazione è stata limitata nel tempo e nel numero di persone, il fatto è imputabile ad un comportamento di natura colposa e sono state implementate delle misure parzialmente idonee a prevenire il ripetersi di eventi analoghi, il Garante lo qualifica come ‘violazione minore’, ritenendo sufficiente l’ammonimento.

L’Autorità, infine, ingiunge alla professionista di modificare e integrare il modello di informativa sulla base degli elementi di criticità individuati.

S.C.