Garante per la protezione dei dati personali Provvedimento n. 36 del 27 gennaio 2021
Il caso notificato al Garante
Una signora veniva ricoverata presso il reparto di ginecologia di una AUSL per essere sottoposta ad un trattamento terapeutico di interruzione volontaria di gravidanza .
In tale occasione chiedeva espressamente che le informazioni sul suo stato di salute non fossero comunicate a soggetti terzi e a tal fine forniva il proprio numero di telefono personale da utilizzare per gli eventuali successivi contatti da parte dell’ Azienda Sanitaria.
Successivamente alle dimissioni un’infermiera del reparto tentava di contattare la paziente per fornire indicazioni circa le specifiche terapie da seguire e in quell’occasione si trovava a parlare col marito della paziente.
L’infermiera aveva, infatti, utilizzato il numero di telefono indicato sul frontespizio della cartella clinica dell’interessata, registrato nell’anagrafica informatizzata della Azienda, fornito dalla stessa paziente in occasione di un precedente contatto con la struttura sanitaria, numero che però non corrispondeva affatto con quello indicato dalla paziente nel corso dell’ultimo ricovero, che invece era stato riportato unicamente all’interno della cartella clinica.
Le informazioni fornite al marito della paziente, in occasione della telefonata, avevano riguardato solo la tipologia di reparto (ginecologia) presso cui l’interessata è stata ricoverata e, secondo quanto dichiarato dall’azienda nella propria notifica al Garante, non sarebbero state date ulteriori indicazioni sullo stato di salute della stessa.
L’Azienda ha dichiarato, infine, di non avere comunicato la violazione all’interessata, che invero aveva fatto richiesta di risarcimento danni all’Azienda.
La decisione del Garante
Per il Garante la condotta dell’infermiera, che ha utilizzato un numero di telefono diverso rispetto a quello indicato dalla paziente per eventuali contatti relativi al suo ultimo ricovero ha comportato l’esplicita correlazione, da parte di un soggetto non legittimato (il marito), tra l’interessata stessa e un determinato reparto di degenza indicativo, di uno specifico stato di salute (in violazione degli artt. 5, par. 1 lett. a, e 9 del Regolamento);
Da ciò è quindi conseguita una comunicazione di dati idonei a rivelare lo stato di salute dell’interessata effettuata non solo in assenza di idonea base giuridica ma anche in violazione dell’esplicito diniego della stessa a consentirne la conoscenza da parte di soggetti terzi (in violazione degli artt. 5, par. 1 lett. a, e 9 del Regolamento);
Inoltre tale condotta, nel ledere la fiducia e l’affidamento dell’interessata nella struttura sanitaria alla quale si è rivolta, ha comportato altresì un trattamento di dati personali in violazione del principio di correttezza (in violazione degli artt. 5, par. 1 lett. a, del Regolamento).
Il Garante, a seguito dell’istruttoria, ha accertato che la causa della condotta illegittima dell’infermiera fosse riconducibile all’inefficacia delle misure tecniche e organizzative implementate dall’Azienda, considerate inadeguate a tutelare la dignità degli interessati e ad assicurare il rispetto della volontà dei pazienti di non far conoscere, a soggetti terzi, notizie circa il proprio stato di salute (in violazione degli artt. 5, par. 1 lett. f, e 32 del Regolamento).
Più specificatamente il Garante ha rilevato che la sola specificazione, nel documento di attribuzione del ruolo di incaricato del trattamento, prima, e autorizzato del trattamento, poi, conferito all’infermiera, si fosse rivelata insufficiente a garantire l’effettività dei principi inerenti al trattamento dei dati personali, in particolare quelli di correttezza e trasparenza.
Tale inadeguatezza risulta ancora più grave se si considera che l’interessata si era sottoposta a un trattamento terapeutico di interruzione volontaria di gravidanza per il quale la relativa normativa (art. 5 legge 22 maggio 1978, n. 194) richiede che sia sempre assicurato- al più alto livello – il rispetto della dignità e della riservatezza della donna, al punto che spetta solo a quest’ultima decidere se coinvolgere, o meno, il padre del nascituro nella decisione di interrompere la gravidanza (art. 5 legge 22 maggio 1978, n. 194);
Per tali ragioni il Garante ha rilevato l’illiceità del trattamento di dati personali effettuato dall’Azienda USL, per la violazione degli artt. 5, par. 1, lett. a), d) e f), 9 e 32, par. 1, lett. b) del Regolamento e per l’effetto ha ingiunto a quest’ultima il pagamento di una sanzione amministrativa di importo pari ad euro 50.000,00.
Contattaci per maggiori informazioni o per ricevere assistenza
info@studiofurcas.it – 051.670.88.25 – Bologna – Valsamoggia – Cagliari