Data protection

Propaganda elettorale: Garante, no all’uso dei dati dei pazienti

Sanzionati due medici liguri per 10mila euro ciascuno

Premessa

Il Garante per la protezione dei dati personali (di seguito, “Garante” o “l’Autorità”) attraverso due distinti Provvedimenti ha avuto modo di raffermare che I dati personali raccolti nell’ambito dell’attività di cura della salute da parte dei sanitari non sono utilizzabili per fini di propaganda elettorale senza uno specifico consenso degli interessati.

I casi oggetto di scrutinio.

In entrambi i casi l’Ufficio è venuto a conoscenza della violazione da una segnalazione e da alcune notizie stampa.

In un caso l’illecito è stato considerato particolarmente grave perché un chirurgo oncologo ha dichiarato di aver contattato una cinquantina di donne con le quali si era creato un rapporto “più stretto e personale” inviando loro lettere di propaganda elettorale. Per espressa ammissione del medico le destinatarie erano tutte pazienti oncologiche e il contenuto del messaggio elettorale richiamava espressamente la loro malattia.

Nell’altro caso un medico di medicina generale aveva inviato una mail di promozione elettorale a 500 pazienti, i cui indirizzi erano stati messi contestualmente in chiaro e non in copia conoscenza nascosta, rivelando a tutti la condizione di malati di ciascuno di loro.

Violazioni

In relazione a quanto emerso in atti, l’Ufficio, con nota del 15 luglio 2024 (prot. n. 87182), ha effettuato una notifica di violazione di cui all’art. 166, comma 5, del Codice[1] al dott. … in quanto è stato rilevato che il trattamento di dati personali in esame è stato effettuato in maniera non conforme ai principi di “liceità, correttezza e trasparenza” e di “limitazione della finalità” (art. 5, par. 1, lett. a) e b) del Regolamento), nonché in assenza di un idoneo presupposto normativo (art. 9 del Regolamento).

In aggiunta il garante ha richiamato la definizione di dato personale delineandone i contorni.

Ai sensi del Regolamento per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)”; “i dati relativi alla salute” sono quelli attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute (art. 4, par. 1, punti 1 e 15). Il considerando n. 35 del Regolamento precisa poi che i dati relativi alla salute “comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria”; “un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari”.

Il garante, ha altresì, richiamato una pronuncia della Corte di Cassazione secondo cui “il fatto stesso di comunicare l’esigenza di un trattamento sanitario e, quindi, l’esistenza di una “malattia” in senso lato – intesa dunque come situazione che renda necessario un trattamento sanitario – attiene a dato sulla salute: non occorre cioè, a tal fine, che sia specificato di quale trattamento o di quale malattia si tratti” (Sent. n. 28417/2023).

Da ultimo, con riferimento al concetto di dati sulla salute, anche la CGUE ha ritenuto che “costituiscono dati relativi alla salute ai sensi del RGPD le informazioni inserite dai clienti (quali il loro nome, l’indirizzo di consegna e gli elementi necessari all’individuazione dei medicinali) al momento dell’ordine online dei medicinali riservati alle farmacie, anche qualora la vendita di questi ultimi non sia soggetta a prescrizione medica. Infatti, tali dati sono idonei a rivelare, mediante un’operazione intellettuale di raffronto o di deduzione, informazioni sullo stato di salute di una persona fisica identificata o identificabile, perché viene stabilito un nesso tra quest’ultima e un medicinale, le sue indicazioni terapeutiche o i suoi usi, indipendentemente dal fatto che tali informazioni riguardino il cliente o qualsiasi altra persona per la quale quest’ultimo effettui l’ordine. Pertanto, è indifferente che, in mancanza di prescrizione medica, sia solo con una certa probabilità, e non con certezza assoluta, che tali medicinali siano destinati ai clienti che li hanno ordinati”[2].

In riferimento ai principi che devono essere rispettati, è stato ribadito come i dati personali devono essere “trattati in modo lecito corretto e trasparente” e “raccolti per finalità determinate esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità”.[3]

Il trattamento in esame concerne dati sulla salute, in quanto- per espressa ammissione del dott. …- le destinatarie sono pazienti oncologiche e il contenuto del messaggio elettorale richiama espressamente la malattia sofferta dalle stesse.

Con riferimento ai dati sulla salute, come quelli in esame, l’art. 9, par. 1, del Regolamento ne vieta in generale il trattamento, salvo che si verifichi uno dei casi previsti dal par. 2, dello stesso articolo.

Sul punto, il Garante ha da tempo delineato un preciso quadro di garanzie e di adempimenti che partiti, organismi politici, sostenitori di liste e candidati devono osservare per raccogliere ed utilizzare correttamente i dati personali dei cittadini che intendono contattare a fini di comunicazione e propaganda elettorale[4]

In tale provvedimento è stato, in particolare, ricordato che i dati personali raccolti nell’ambito dell’attività di tutela della salute da parte di esercenti la professione sanitaria e di organismi sanitari non sono utilizzabili per fini di propaganda elettorale e connessa comunicazione politica. Tale finalità non è infatti riconducibile agli scopi legittimi per i quali i dati sono stati raccolti (art. 5, par. 1, lettere a) e b) del Regolamento), salvo che il titolare acquisisca uno specifico e informato consenso dell’interessato[5]

Il dott. …, come sopra rappresentato, ha ritenuto che la base giuridica del trattamento di dati in esame sia da rinvenire nella circostanza che gli indirizzi di residenza delle destinatarie della missiva elettorale sono stati estratti da “una fonte pubblica”, ovvero dal” l’elenco pubblico degli iscritti alle liste elettorali”. Sul punto, si evidenzia quanto segue:

come sopra richiamato, l’art. 9, par. 1 del Regolamento vieta il trattamento dei dati appartenenti alle categorie particolari, tra cui si annoverano quelli sulla salute. Tali informazioni possono essere trattate esclusivamente in presenza di una delle condizioni indicate nel successivo par.  2, tra le quali non è contemplata la fattispecie relativa all’acquisizione dei dati da “pubblici elenchi”;

il dott. …, ai fini dell’invio delle suddette missive elettorali, non ha utilizzato solo i dati relativi alla residenza acquisiti dalle liste elettorali, ma anche quelli sulla salute di circa 50 tra le sue pazienti oncologiche. Egli ha infatti riconosciuto di aver selezionato tra le pazienti dallo stesso “curate nel corso degli anni” un gruppo di 50 donne con riferimento alle quali ha poi acquisito dalle liste elettorali i rispettivi dati di residenza.

Il contenuto del messaggio elettorale richiama espressamente la malattia sofferta dalle destinatarie del messaggio facendo leva sul rapporto fiduciario instaurato nel percorso di cura e sulla riconoscenza delle destinatarie per le cure ricevute al fine di chiedere loro anche la fiducia elettorale.

La circostanza che “a fronte di migliaia di casi operati e curati dal sottoscritto ho desiderato contattare solo alcune Signore con le quali si era creato un rapporto più stretto e personale” non giustifica il trattamento dei dati sulla salute di tali pazienti a loro insaputa per fini elettorali. Il rapporto “più stretto e personale”, che può talvolta verosimilmente crearsi tra medico e paziente, avrebbe dovuto indurre il dott. … a parlare della propria candidatura solo nell’ambito delle normali occasioni di contatto con le stesse.

Il Regolamento nel disciplinare i parametri di liceità del trattamento effettuato dal professionista sanitario richiama il segreto professionale e il rispetto delle norme di settore stabilite dagli organismi sanitari competenti tra le quali può ricondursi il Codice di deontologia medica (art. 9, par. 2, lett. h) e par. 3 del regolamento e art. 75 del Codice). Il predetto Codice di deontologia medica prevede che “In nessun caso il medico (possa) abusa(re) del proprio status professionale” e che “il medico (debba) evita(re) qualsiasi condizione di conflitto di interessi nella quale il comportamento professionale risulti subordinato a indebiti vantaggi economici o di altra natura” (artt. 7 e 30 del Codice di deontologia medica del 2014 aggiornato da ultimo nel 2017). Al riguardo, si evidenzia la possibilità di vantaggio elettorale del dott. … nel rivolgersi ai propri pazienti in funzione del rapporto fiduciario creatosi nell’ambito del percorso di cura.

Dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Alla luce di quanto complessivamente rilevato, l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria, non consentano di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultino pertanto inidonee a disporre l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati personali effettuato dal dott. Claudio Battaglia, risulta infatti illecito, nei termini su esposti, in quanto posto in essere in violazione dei principi di “liceità, correttezza e trasparenza” e di “limitazione della finalità” (art. 5, par. 1, lett. a) e b) del Regolamento) e in assenza di un idoneo presupposto normativo (art. 9 del Regolamento).

Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

Il fatto stesso di comunicare l’esigenza di un trattamento sanitario, ha chiarito il Garante, qualifica i dati personali come dati sulla salute e come tali meritevoli di particolari tutele. L’Autorità ha precisato inoltre che, in entrambe le circostanze, il trattamento dei dati dei pazienti poteva essere effettuato per finalità di cura e non anche per propaganda elettorale.

Nel definire la sanzione di 10mila euro per ciascun dottore, l’Autorità ha tenuto conto anche del fatto che i due medici non erano stati destinatari di precedenti disposizioni o sanzioni del Garante.

I provvedimenti dovranno essere pubblicati sul sito dell’Autorità e inviati all’Ordine dei medici per le valutazioni di competenza.

[1] Art. 166 (Criteri di applicazione delle sanzioni amministrative pecuniarie e procedimento per l’adozione dei provvedimenti correttivi e sanzionatori)

5. L’Ufficio del Garante, quando ritiene che gli elementi acquisiti nel corso delle attivita’ di cui al comma 4 configurino una o piu’ violazioni indicate nel presente titolo e nell’articolo 83, paragrafi 4, 5 e 6, del Regolamento, avvia il procedimento per l’adozione dei provvedimenti e delle sanzioni di cui al comma 3 notificando al titolare o al responsabile del trattamento le presunte violazioni, nel rispetto delle garanzie previste dal Regolamento di cui al comma 9, salvo che la previa notifica della contestazione non risulti incompatibile con la natura e le finalita’ del provvedimento da adottare. Nei confronti dei titolari del trattamento di cui agli articoli 2-ter, comma 1-bis, e 58 del presente codice e all’articolo 1, comma 1, del decreto legislativo 18 maggio 2018, n. 51, la predetta notifica puo’ essere omessa esclusivamente nel caso in cui il Garante abbia accertato che le presunte violazioni hanno gia’ arrecato e continuano ad arrecare un effettivo, concreto, attuale e rilevante pregiudizio ai soggetti interessati al trattamento, che il Garante ha l’obbligo di individuare e indicare nel provvedimento, motivando puntualmente le ragioni dell’omessa notifica. In assenza di tali presupposti, il giudice competente accerta l’inefficacia del provvedimento

[2] Cfr. comunicato stampa della Corte di giustizia dell’Unione europea n. 159/24, in relazione alla sentenza 4 ottobre 2024, nella causa C-21/23.

[3] Principi di “liceità, correttezza e trasparenza” e di “limitazione della finalità”, art. 5, par. 1, lett. a) e b) del Regolamento.

[4]  Cfr. da ultimo provvedimento del 18 aprile 2019, doc. web n. 9105201.

[5]  Art. 9, par. 1, lett. a); cfr. per quanto riguarda l’ambito sanitario il provvedimento 7 marzo 2019, doc. web n. 9091942, in particolare, par. 1, punto d).

About Author /

Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn

fatturazione elettronica
Conservazione Digitale

Lascia un commento

Your email address will not be published.

Potrebbe piacerti

NIS2
La direttiva NIS2 e le scadenze da rispettare per la sua applicazione.
24 Gennaio 2025
Microsoft Office 365
Utilizzo di Microsoft Office 365 e sua conformità al Regolamento UE 2016/679
3 Gennaio 2024
obblighi-titolare-gdpr
Gli obblighi del titolare riguardo all’adozione delle misure di sicurezza in materia di protezione dei dati personali.
18 Ottobre 2024

Start typing and press Enter to search