Il Garante per la Protezione dei dati personali il 28 ottobre 2021 ha ingiunto ad un medico il pagamento di una sanzione di 10 mila euro.
Il medico in questione aveva appeso le ricette mediche con le mollette da bucato fuori dalla finestra del suo studio, situato al piano terra su una pubblica via, rendendo così visibili a chiunque il nome degli assistiti e il contenuto delle prescrizioni.
La non conformità della condotta
Dalla documentazione fotografica allegata alla segnalazione emergeva infatti, chiaramente, che le prescrizioni mediche, non in busta chiusa, erano liberamente visibili e accessibili a chiunque si trovasse a transitare nei pressi del davanzale dello studio medico.
Il medico ha provato a giustificarsi affermando che quanto oggetto della segnalazione fosse avvenuto in un’unica occasione con carattere episodico e assolutamente contingente, legato ad un’emergenza sanitaria; affermava inoltre di essere consapevole dell’importanza del corretto trattamento del dato personale, e specificando, altresì, che le prescrizioni mediche, non erano comunque lasciate incustodite, essendo presente quando i pazienti accedevano all’ambulatorio.
Le conclusioni del Garante
In primo luogo, il Garante evidenzia come durante il periodo emergenziale siano state previste talune misure volte ad agevolare l’uso delle modalità semplificate di acquisizione del promemoria dematerializzato ovvero del numero di ricetta elettronica previste dall’Ordinanza della Protezione civile n. 651 del 19 marzo 2020, al fine di evitare che l’assistito dovesse recarsi presso lo studio del medico a ritirare la prescrizione; ciò, al fine di contenere la diffusione del virus Sars Cov-2.
Va, inoltre, evidenziato che, dalla documentazione fotografica allegata alla segnalazione, emerge che la modalità di consegna ideata dal medico aveva ad oggetto altresì prescrizioni mediche, liberamente visibili e accessibili a chiunque si trovasse a transitare nei pressi del davanzale della finestra dello studio medico, perché non contenuti in busta chiusa.
Al riguardo, già il Garante, nel comunicato stampa del 14 novembre 2014, aveva espressamente fatto presente che “le ricette mediche possono essere lasciate presso le farmacie e gli studi medici per il ritiro da parte dei pazienti, purché siano messe in busta chiusa. Lasciare ricette e certificati alla portata di chiunque o perfino incustodite, in vaschette poste sui banconi delle farmacie o sulle scrivanie degli studi medici, viola la privacy dei pazienti”. È stato, inoltre, fatto presente che “le procedure, in vigore già da tempo, consentono ai medici di lasciare ai pazienti ricette e i certificati presso le sale d’attesa dei propri studi o presso le farmacie, senza doverglieli necessariamente consegnare di persona. Per impedire la conoscibilità da parte di estranei di dati delicati, come quelli sanitari, è però indispensabile che ricette e certificati vengano consegnati in busta chiusa. La busta chiusa è tanto più necessaria nel caso in cui non sia il paziente a ritirare i documenti, ma una persona da questi appositamente delegata”.
Il medico non ha rispettato tali previsioni e pertanto il Garante conferma e rileva l’illiceità del trattamento dei dati personali effettuato dal medico in questione, in violazione degli articoli 5 (Principi applicabili al trattamento di dati personali) ,9 (Trattamento di categorie particolari di dati personali) e 32 (Sicurezza del trattamento) del Regolamento.
La violazione degli artt. 5, 9 e 32 del Regolamento, determinata dal trattamento di dati personali, oggetto del presente provvedimento, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 4 e 5 del Regolamento.
La disciplina in materia di protezione dei dati personali che non è stata applicata in questo caso
I titolari del trattamento sono tenuti a rispettare i principi applicabili al trattamento dei dati, fra i quali quello di «integrità e riservatezza», secondo il quale i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (art. 5, par. 1, lett. f) del Regolamento).
Il titolare del trattamento è tenuto ad adottare misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, presentato dal trattamento che deriva dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati (art. 32 del Regolamento).
In ambito sanitario, il titolare deve adottare idonei accorgimenti per garantire, anche nell’organizzazione delle prestazioni e dei servizi, il rispetto dei diritti, delle libertà fondamentali e della dignità degli interessati.
Inoltre, le informazioni relative alla salute possono essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso, previa delega scritta di quest’ultimo.
Questo articolo ti è stato utile?
Consulta le nostre sezioni dedicate al Regolamento 679/2016 (GDPR) e privacy e al supporto alle stazioni appaltanti. Puoi anche iscriverti alla nostra newsletter e non perdere le notizie più importanti in tema di Appalti, anticorruzione, digitalizzazione della PA e D.Lgs. 231 responsabilità delle persone giuridiche. Non preoccuparti, saremo moderati. Anche noi odiamo lo SPAM