Garante per la protezione dei dati personali, Provvedimento del 12 ottobre 2023 n. 473-Sul consenso dell’interessato, le finalità del trattamento e il contesto emergenziale: l’illecito trattamento di dati relativi alla salute operato mediante dossier sanitario

Pres. e Rel. Stanzione, Segretario generale Mattei

Diritti della persona – Diritto alla protezione dei dati personali – Trattamento di dati sanitari – Operazioni di trattamento mediante dossier sanitario – Violazione.

Protezione dei dati personali – Protezione dei dati personali appartenenti alle categorie particolari – Trattamento di dati relativi alla salute – Consenso dell’interessato. 

Protezione dei dati personali – Protezione dei dati personali appartenenti alle categorie particolari – Trattamento di dati relativi alla salute – Finalità del trattamento – Emergenza sanitaria – Covid-19.

Con provvedimento n. 473 del 12 ottobre 2023, il Garante per la protezione dei dati personali ha irrogato la sanzione amministrativa pecuniaria di euro quarantamila, ai sensi degli artt. 58, par. 2, lett. i, e 83 GDPR, e dell’art. 166 del Codice della privacy, a un’Azienda sociosanitaria per l’illecito trattamento di dati personali effettuato attraverso il dossier sanitario.

In particolare, si trattava di un uso del dossier sanitario da parte di colleghi della reclamante, che vi avevano avuto accesso non per finalità di cura bensì per l’organizzazione dei turni ospedalieri e la valutazione della qualità delle cure erogate con riferimento al Covid-19.

Dopo aver individuato il quadro giuridico eurounitario di riferimento, specialmente richiamando i principi di liceità, correttezza e trasparenza, di limitazione della finalità, di minimizzazione dei dati e di integrità e riservatezza, sanciti dall’art. 5, par. 1, lett. a, b, c e f, GDPR, il divieto di trattamento di dati personali appartenenti alle categorie particolari e le sue deroghe, di cui all’art. 9 GDPR, e la previsione secondo cui il titolare del trattamento mette in atto “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”, tenendo conto, tra l’altro, “della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” (art. 32 GDPR), il Garante rammenta il provvedimento che adottò il 4 giugno 2015, recante le Linee guida in materia di dossier sanitario, e il provvedimento n. 55 del 2019, con cui fornì chiarimenti in materia di trattamento di dati relativi alla salute in ambito sanitario.

Alla luce di tali disposizioni e degli indirizzi espressi nei provvedimenti richiamati, si evidenzia la necessità di acquisire il consenso dell’interessato per utilizzare il dossier sanitario. Questo, infatti, «costituisce un trattamento di dati personali specifico e ulteriore rispetto a quello effettuato dal professionista sanitario con le informazioni acquisite in occasione della cura del singolo evento clinico. Come tale, quindi, si configura come un trattamento facoltativo».

Il consenso dell’interessato, come ipotesi eccezionale al divieto di trattamento di dati sensibili e come base giuridica del trattamento, deve rispettare tutti i requisiti previsti dal GDPR. In particolare, il consenso – esplicito e specifico, ai sensi dell’art. 9, par. 2, lett. a GDPR – dev’essere prestato attraverso un atto positivo con cui l’interessato manifesta una volontà libera, specifica, informata e inequivocabile relativa al trattamento dei dati personali che lo riguardano.

Se, come nel caso in esame, il consenso resta implicito, pur desumibile da comportamenti concludenti, è inidoneo a legittimare il trattamento dei dati personali sanitari, che quindi è posto in essere in assenza del necessario presupposto giuridico.

Non può valere, a legittimazione del trattamento di dati effettuato, la circostanza per cui i dati del dossier fossero stati trattati per esigenze di carattere pubblico, come quelle legate all’organizzazione della struttura. Il dossier sanitario, infatti, è «uno strumento di ausilio per il personale sanitario consultabile da parte dello stesso nel processo di cura del paziente. In quanto tale, l’accesso al dossier deve essere limitato al personale sanitario che interviene in tale processo di cura e deve essere posto in essere esclusivamente da parte dei soggetti operanti in ambito sanitario, con esclusione di periti, compagnie di assicurazione, datori di lavoro, associazioni o organizzazioni scientifiche, organismi amministrativi anche operanti in ambito sanitario, nonché del personale medico nell’esercizio di attività medico-legale […]. Attesa la natura facoltativa del dossier e l’incompletezza informativa (cfr. diritto di oscuramento) di tale strumento, lo stesso non può essere utilizzato per finalità riconducibili alla gestione di esigenze organizzative e amministrative del titolare anche nell’ipotesi in cui, come nel caso di

Nemmeno rileva il particolare contesto emergenziale in cui il trattamento fu posto in essere, ossia durante il periodo della pandemia di Covid-19. Se è vero che allora furono adottati molti atti normativi d’urgenza, che contengono disposizioni anche relative al trattamento dei dati sulla salute «frutto di un delicato bilanciamento tra le esigenze di sanità pubblica e quelle relative alla protezione dei dati personali», è vero anche che il diritto alla protezione dei dati personali e il rispetto della disciplina dettata al riguardo sono sempre stati garantiti, in conformità a quanto dettato dal GDPR.

Particolare attenzione, a tal proposito, merita l’art. 17 bis del d.l. n. 18 del 2020, secondo cui un gruppo di soggetti, più o meno direttamente riferibili a funzioni sanitarie, poteva effettuare trattamenti dei dati personali che risultassero necessari all’espletamento delle funzioni attribuite nell’ambito emergenziale. Si tratta di una norma che intendeva semplificare le operazioni di trattamento dei dati, ma senza derogare – non ha e non avrebbe potuto farlo – alle disposizioni del GDPR e, in particolare, ai principi di cui all’art. 5, e sulla cui applicabilità l’Autorità garante è intervenuta più volte, sottolineando la necessità di valutarne caso per caso il ricorrere dei presupposti e «richiamando l’attenzione dei titolari del trattamento operanti anche in ambito sanitario sulla circostanza che non tutti i trattamenti di dati sulla salute possono essere ricondotte a tale disposizione».

Infine, ai sensi dell’art. 58, par. 2, lett. d, GDPR, L’Autorità garante ingiunge all’Azienda di «mettere in opera per tutte le tipologie di accessi al dossier: a. sistemi per il controllo anche al database e per il rilevamento di eventuali anomalie che possano configurare trattamenti illeciti, attraverso l’utilizzo di indicatori di anomalie (c.d. alert) utili per orientare successivi interventi di audit; b. sistemi di controllo delle operazioni effettuate sul dossier, mediante procedure che prevedano la registrazione automatica in appositi file di log di tutti gli accessi e delle operazioni compiute (ivi compresa anche la semplice consultazione (inquiry)) , con almeno le seguenti informazioni: il codice identificativo del soggetto autorizzato che ha posto in essere l’operazione di accesso; la data e l’ora di esecuzione; il codice della postazione di lavoro utilizzata; l’identificativo del paziente il cui dossier è interessato dall’operazione di accesso da parte dell’incaricato e la tipologia dell’operazione compiuta sui dati».

S.C.