I dati sanitari godono di una tutela rafforzata e, fatte salve le eccezioni previste dalla norma, ne è vietata la diffusione.
La trasparenza amministrativa non può violare la privacy delle persone.
Per questi motivi, il Garante per la Protezione dei Dati Personali ha sanzionato per 46 mila euro l’Azienda Sanitaria Locale Roma 1, che aveva pubblicato in chiaro sul proprio sito web tutti i nominativi e i dati relativi alla salute dei soggetti che avevano fatto richiesta di accesso civico nel 2017 e 2018.
La normativa in materia di protezione dei dati personali
Ai sensi della disciplina in materia, «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)» e «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).
Il RGPD definisce inoltre i «dati relativi alla salute» come i «dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute» (art. 4, par. 1, n. 15; considerando n. 35).
In tale contesto, i soggetti pubblici, come l’ASL, possono in generale diffondere «dati personali» secondo quanto previsto dall’art. 2-ter, commi 1 e 3, del Codice della Protezione dei Dati Personali, d.lgs. 196 2003, e – in ogni caso – nel rispetto del principio di «minimizzazione», in base al quale i dati personali devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. c, del RGPD).
Nel caso di specie, gli atti riguardavano la documentazione sanitaria degli interessati, fra cui cartelle cliniche, accertamenti di invalidità, test, relazioni tecniche, ecc.
I dati relativi alla salute, rientrano nelle «categorie particolari di dati personali», per i quali è previsto – anche a tutela dei singoli e nel «rispetto della dignità umana, dei diritti e delle libertà fondamentali della persona» (art. 1, comma 1, del Codice) – un espresso divieto di diffusione, ossia la possibilità di darne «conoscenza […] a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione» (art. 2-septies, comma 8; art. 2-ter, comma 4, lett. b, del Codice; art. 9 del RGPD, parr. 1, 2 e 4). Il medesimo divieto è peraltro richiamato dalla disciplina statale in materia di trasparenza, nella parte in cui prevede che «Restano fermi i limiti […] alla diffusione dei dati idonei a rivelare lo stato di salute […]» (art. 7-bis, comma 6, d. lgs. n. 33/2013).
La diffusione non autorizzata
La prima grave violazione rilevata dall’Autorità, che si è attivata d’ufficio, è stata quindi la diffusione dei dati sulla salute dei soggetti interessati, informazioni relative sia allo stato fisico che mentale, compresa la prestazione di servizi di assistenza sanitaria.
Infatti, la questione oggetto del caso sottoposto all’attenzione del Garante riguarda la diffusione di dati e informazioni personali, contenuti nel «Registro degli accessi» pervenuti all’ASL, relativi agli anni XX e XX, pubblicati online.
I citati registri riportavano in chiaro tutti i nominativi dei soggetti richiedenti l’accesso (o del proprio rappresentate legale, oppure di entrambi) e dati appartenenti a categorie particolari in quanto relativi alla salute (art. 9, par. 1, RGPD).
Nel pubblicare i Registri di accesso, la Asl ha inoltre violato il principio di “minimizzazione” dei dati, che non sono risultati limitati a quanto necessario rispetto alle finalità di trasparenza amministrativa, per le quali sono trattati, e le disposizioni della disciplina in materia di trasparenza e delle Linee guida Anac sull’accesso civico, che stabiliscono di oscurare i dati personali eventualmente presenti.
La sanzione
Nel determinare la sanzione, il Garante ha comunque tenuto conto di alcuni elementi attenuanti, come, in particolare, il carattere del tutto accidentale della condotta, l’assenza di segnalazioni o lamentele dei soggetti interessati, il tempestivo intervento della Asl per porre rimedio alla violazione, la collaborazione con l’Autorità e le misure tecniche e organizzative messe poi in atto a garanzia dei dati personali.
Per questi motivi, il Garante rilevata l’illiceità del trattamento effettuato dall’Azienda Sanitaria Locale Roma 1, ingiunge alla medesima Azienda di pagare la somma di € 46.000,00. Inoltre, in relazione alle specifiche circostanze del caso in questione, relative alla diffusione di dati personali online in violazione del divieto di diffusione di dati sulla salute nonché in assenza di una idonea base normativa e in violazione del principio di minimizzazione dei dati, il Garante ha ritenuto di applicare la sanzione accessoria della pubblicazione del provvedimento sul sito Internet del Garante, prevista dall’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019.
Questo articolo ti è stato utile?
Consulta le nostre sezioni dedicate al Regolamento 679/2016 (GDPR) e privacy e al supporto alle stazioni appaltanti. Puoi anche iscriverti alla nostra newsletter e non perdere le notizie più importanti in tema di Appalti, anticorruzione, digitalizzazione della PA e D.Lgs. 231 responsabilità delle persone giuridiche. Non preoccuparti, saremo moderati. Anche noi odiamo lo SPAM.