Il fornitore non è sempre responsabile del trattamento

Sanzioni del Garante sempre più elevate

COVID e iniziative del Garante

È recentemente circolata la notizia di tre sanzioni pecuniarie da 10.000 a 50.000 Euro che il Garante per la protezione dei dati ha comminato ad altrettante strutture sanitarie (qui, qui e qui) per difetto di adozione di adeguate misure tecniche e organizzative.

Hanno avuto eco da un lato per la sequenza con cui il Garante ha “perseguito” le Aziende Ospedaliere e USL, dall’altro per gli importi delle misure sanzionatorie, assai elevati per gli standard nostrani. In via residuale, hanno contribuito a fare notizia anche le circostanze del data breach che, in un caso (quello con la sanzione più salata), ha riguardato un tradimento coniugale scoperto da un marito contattato dall’ospedale ove la moglie si era recata per una interruzione volontaria di gravidanza (qui un mio breve resoconto).

È tuttavia passato inosservato un precedente provvedimento (qui) il quale, non solo si colloca nel solco del filone sanitario, ma è vieppiù degno di nota per l’importo sanzionatorio che ha toccato i 70.000 Euro.

Trattamento dei dati di persona defunta

Il caso ha visto coinvolta l’Azienda ospedaliera regionale “San Carlo” di Potenza (Centro COVID di Basilicata) la quale, in un comunicato stampa emanato per difendersi da accuse di imperizia – poi ripreso da diverse testate giornalistiche locali – forniva al pubblico un numero esorbitante di informazioni dettagliate di carattere anamnestico, clinico e terapeutico del padre del ricorrente, ricoverato presso l’Azienda in questione e poi morto per complicanze legate all’infezione da Covid-19 (data e ora del primo accesso in pronto soccorso, codice triage, anamnesi dettagliata, terapie prescritte, misura di isolamento domiciliare, data e ora del successivo ricovero, modalità di trasporto, accertamenti diagnostici effettuati e il relativo esito, dettaglio della terapia farmacologica, adozione di una terapia sperimentale, reazione alle cure, dettaglio delle pratiche cliniche effettuate, ricovero nel reparto di rianimazione e infine altri particolari circa l’evolversi delle condizioni cliniche).

All’esito dell’istruttoria, l’Autorità ha concluso che la propalazione delle informazioni nel comunicato stampa incriminato non rispondeva all’esigenza di informare la popolazione in ordine alle cure offerte dall’Azienda, né all’opportunità di replicare alle accuse di inefficienza formulate dal ricorrente. Da qui il provvedimento sanzionatorio.

Come ha ricordato il Garante con specifico riferimento alla diffusione di dati personali riguardanti persone risultate positive al Covid-19: «anche in una situazione di emergenza quale quella attuale, in cui l’informazione mostra tutte le sue caratteristiche di servizio indispensabile per la collettività, non possono essere disattese alcune garanzie a tutela della riservatezza e della dignità delle persone colpite dalla malattia contenute nella normativa vigente e nelle Regole deontologiche relative all’attività giornalistica» (Comunicato stampa del 31 marzo 2020, doc. web n.9303613).

A ciò va aggiunto che la circostanza che il trattamento in esame riguardi una persona deceduta, non è ostativo all’esercizio dei diritti in materia di protezione dei dati personali (artt. 15-22 GDPR) da parte dei soggetti elencati nell’art. 2-terdecies, comma 1, del Codice Privacy[1] (cfr. ex multis parere 7 febbraio 2019, n. 27, doc. web n.9090308). La morte dell’interessato, pertanto, non esclude per espresso dettato normativo che si continui ad assicurare alle informazioni che lo riguardano un alto grado di riservatezza che, peraltro, va oltre quella specificamente inerente la protezione dei dati personali, ma che investe anche la disciplina deontologica[2].

Conclusioni

Il provvedimento in commento pare essere in linea con una politica sanzionatoria adottata dal Garante che (opportunamente, aggiungo) dovrebbe essere il maggio monito a rispettare la tutela dei dati dei soggetti interessati. Siamo tuttavia ancora lontani dagli standard di altri paesi Europei. A tale riguardo, riporto la notizia (ripresa da federprivacy.it) riguardante l’autorità di controllo olandese (Autoriteit Persoonsgegevens) che ha comminato una sanzione amministrativa addirittura di 440.000 Euro all’ospedale di Amsterdam OLVG per insufficienti misure di sicurezza informatiche (autenticazione a due fattori) per proteggere le cartelle cliniche da accessi da parte di personale non autorizzato.

Aggiungo infine che, al di là delle sanzioni amministrative pecuniarie, il vero problema per il titolare sono le conseguenze civili e reputazionali. Le sanzioni del Garante non precludono, e anzi suggeriscono, al soggetto interessato (o, come in questo caso, al suo prossimo congiunto) di procedere in sede transattiva o giudiziaria per chiedere il risarcimento del danno che – va ricordato – non ha solo natura patrimoniale, ma anche e soprattutto non patrimoniale.

Ordinanza ingiunzione del Garante per la protezione dei dati personali – 27 gennaio 2021 [9549143]

Francesco Rampone – f.rampone@lascalaw.com

© RIPRODUZIONE RISERVATA

[1] «I diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione».

[2] Si vedano le disposizioni del Codice di deontologia medica secondo cui «la morte della persona assistita non esime il medico dall’obbligo del segreto professionale» (art. 10, codice di deontologia medica).

Print Friendly, PDF & Email

Condividi su

Potrebbe interessarti anche
L’assenza di preventivo non esclude il diritto al compenso dell’avvocato

Qualora un minore voglia sottoporsi al vaccino anti Covid-19 ma i genitori siano in disaccordo quan...

Coronavirus

Not in my name: il falsus procurator di società di capitali

Durante il 2020 Bankitalia ha emanato tre Raccomandazioni indirizzate alle banche meno significativ...

Coronavirus

L'indennità di occupazione è percepita dal Custode giudiziario

È trascorso ormai più di un anno da quando in Italia, per la prima volta, veniva introdotto il di...

Coronavirus

X