Il referto spedito alla persona sbagliata

di Stefano Corso -

Il Garante per la protezione dei dati personali, con provvedimento dell’11 febbraio 2021, n. 46, ha ammonito una struttura sanitaria per illecito trattamento di dati personali.
Nel caso di specie, dovendo essere trasmessa a un paziente della documentazione sanitaria a mezzo posta, veniva predisposta un’apposita fattura per le spese di invio del plico postale e in questa operazione essa era attribuita a un omonimo, al quale veniva poi anche spedita. Infatti l’operatore addetto alla composizione del plico non controllava la corrispondenza dei dati anagrafici presenti in fattura con quelli presenti sul referto sanitario, dati identici per nome e cognome ma differenti per l’indirizzo di residenza, perciò la documentazione era ricevuta da un soggetto terzo diverso dal reale interessato.
Tra i dati oggetto del trattamento rientrano in questo caso anche i dati relativi alla salute. Definiti all’art. 4, n. 15, del Reg. Ue n. 679 del 2016 come «i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute», essi appartengono alle particolari categorie di dati personali per cui l’art. 9, par. 1, del Regolamento sancisce il divieto di trattamento. Alle sue eccezioni è dedicato il par. 2 dello stesso articolo.
Come peraltro già indicato nei provvedimenti n. 123 del 2 luglio 2020 e n. 141 del 9 luglio 2020 (entrambi commentati nel sito di questa Rivista da CORSO, con note di aggiornamento del 12 e dell’8 febbraio 2021; cfr. i provvedimenti n. 29, 30 e 36 del 27 gennaio 2021, anch’essi commentati nel sito di questa Rivista, da parte di ZANOVELLO, con nota di aggiornamento del 24 febbraio 2021), il Garante, ribadendo che le informazioni sullo stato di salute possono comunicarsi unicamente all’interessato e possono essere comunicate a terzi soltanto sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso previa delega scritta di quest’ultimo, richiama il disposto dell’art. 83 del d.lgs. n. 196 del 2003, nella versione antecedente agli interventi realizzati con il d.lgs. 10 agosto 2018, n. 101, in combinato con l’art. 22, comma 11°, del medesimo decreto legislativo, e il provvedimento generale del 9 novembre 2005, Strutture sanitarie: rispetto della dignità, ritenuto compatibile con il Regolamento e con le disposizioni del d.lgs. n. 101/2018 (cfr. art. 22, comma 4°, d.lgs. n. 101//2018). Ai sensi del citato art. 83, le strutture pubbliche e private erogatrici di prestazioni sanitarie devono adottare «idonee misure per garantire, nell’organizzazione delle prestazioni e dei servizi, il rispetto dei diritti, delle libertà fondamentali e della dignità degli interessati, nonché del segreto professionale, fermo restando quanto previsto dalle leggi e dai regolamenti in materia di modalità di trattamento dei dati sensibili e di misure minime di sicurezza». Tra queste misure si annoverano specialmente «il rispetto della dignità dell’interessato in occasione della prestazione medica e in ogni operazione di trattamento dei dati» (lett. e) e «la messa in atto di procedure, anche di formazione del personale, dirette a prevenire nei confronti di estranei un’esplicita correlazione tra l’interessato e reparti o strutture, indicativa dell’esistenza di un particolare stato di salute» (lett. h). E a tal proposito il Garante rinvia agli articoli da 10 a 12 del Codice di deontologia medica relativi, rispettivamente, al “segreto professionale”, la “riservatezza dei dati personali” e il “trattamento dei dati sensibili”.
Pertanto, rilevata l’illiceità del trattamento di dati personali effettuato dalla struttura, «in quanto, l’avvenuta spedizione di un plico contenente documentazione medica a un soggetto terzo, non autorizzato a ricevere tale documentazione, anziché all’interessato, ha determinato una comunicazione di dati relativi alla salute in assenza di idonei presupposti giuridici (art. 9 del Regolamento e artt. 83 e 84 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101), con conseguente violazione dei principi di base applicabili al trattamento, in particolare, quelli di cui all’art. 5, par. 1, lett. a) e f) del Regolamento», l’Autorità procede a irrogare una sanzione amministrativa pecuniaria di 5.000,00 euro, ex art. 83 del Regolamento, oltreché la sanzione accessoria della pubblicazione del provvedimento sul sito del Garante (prevista dall’art. 166, comma 7°, del Codice e art. 16 del Regolamento del Garante n. 1/2019).
Il testo del provvedimento esaminato [doc. web n. 9567489] è consultabile nel sito del Garante per la protezione dei dati personali, www.garanteprivacy.it.