Screening oncologico, l’Asl chiama la madre: sanzione per violazione privacy

Screening oncologico, l’Asl chiama la madre: sanzione per violazione privacy

La comunicazione di informazioni sanitarie a un familiare, anche se motivata dall'urgenza e dalla buona fede dell'operatore sanitario, può costituire una violazione del GDPR. Ecco cosa è accaduto e quali regole devono rispettare le Aziende sanitarie.

Una telefonata fatta con l'intento di tutelare la salute della paziente si è trasformata in una violazione della privacy. Non riuscendo a contattare direttamente la donna, un dipendente dell'Azienda sanitaria ha comunicato alla madre l'esito dello screening oncologico e la necessità per la figlia di sottoporsi a ulteriori accertamenti. Una decisione presa in buona fede, ma ritenuta contraria al GDPR dal Garante Privacy, che ha sanzionato l'ASL.

Il caso: l'esito dello screening comunicato alla madre della paziente

La vicenda nasce nell'ambito di uno screening oncologico. Dopo un esame radiologico, la paziente viene invitata a effettuare ulteriori approfondimenti diagnostici. Per comunicarle la necessità di un controllo di secondo livello, l'Azienda sanitaria prova a contattarla telefonicamente. Non riuscendo a raggiungere direttamente la donna, un dipendente dell'Azienda sanitaria utilizza il numero presente nei sistemi informativi aziendali. La chiamata, però, viene ricevuta dalla madre della paziente, alla quale viene comunicata la necessità per la figlia di sottoporsi a ulteriori accertamenti diagnostici.

La comunicazione di informazioni relative allo stato di salute a una persona diversa dall'interessata porta la signora A, in questione, a presentare un reclamo al Garante Privacy, ritenendo illecito il trattamento dei propri dati sanitari. La paziente presenta, inoltre, un'istanza di accesso ai propri dati personali all'Azienda sanitaria territoriale di Macerata, chiedendo di conoscere quali informazioni fossero state utilizzate e come fossero state trattate. La richiesta, tuttavia, non riceve alcun riscontro.

La versione dell'Azienda sanitaria: il contatto della paziente era associato alla madre

L'Azienda sanitaria, chiamata a fornire chiarimenti sulla vicenda, ricostruisce l'accaduto spiegando che:

  • i dati personali della signora A (nome, cognome, codice fiscale, data di nascita, sesso, medico di medicina generale, domicilio, residenza e numero di cellulare) sono registrati nell'anagrafe sanitaria della banca dati ARCA;
  • alcuni dati, come la residenza, vengono aggiornati automaticamente tramite il Sistema Tessera Sanitaria, mentre altri, come i recapiti telefonici o la composizione del nucleo familiare, restano invariati se l'interessato non comunica eventuali modifiche;
  • la paziente è stata contattata al numero di cellulare presente nella banca dati ARCA e inserito nel software gestionale dell'Unità Operativa Screening Oncologico, senza ottenere risposta;
  • quel numero, tuttavia, non apparteneva più alla signora A, bensì alla madre, poiché i dati di contatto erano rimasti collegati alla scheda originaria della paziente e non erano mai stati aggiornati.

L'Azienda sanitaria attribuisce l'accaduto a un errore umano, precisando che:

  • nelle linee guida interne adottate già nel 2021 in materia di screening oncologico era prevista un'istruzione specifica: "Chiama telefonicamente le donne per effettuare il II livello";
  • il dipendente che aveva effettuato la telefonata, pur essendo adeguatamente formato e conoscendo la procedura prevista, aveva ritenuto, vista la mancata risposta della paziente, di dover informare immediatamente la madre della necessità di sottoporre la figlia a un approfondimento diagnostico di secondo livello, considerando prevalente, in quel momento, il diritto alla salute della paziente.

La signora A non mette in discussione le intenzioni dell'Azienda sanitaria, ma contesta il fatto che i suoi dati sanitari siano stati comunicati a un soggetto terzo senza un valido presupposto giuridico. Per questo decide di rivolgersi al Garante Privacy.

La normativa: quando i dati sanitari possono essere comunicati a terzi

Per dato personale si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile, mentre i dati relativi alla salute comprendono le informazioni attinenti alla salute fisica o mentale di una persona, incluse quelle derivanti dalle prestazioni di assistenza sanitaria.

Il titolare del trattamento dei dati personali è tenuto a rispettare i principi generali previsti dal GDPR, tra cui quello di integrità e riservatezza, secondo cui i dati devono essere trattati garantendo un adeguato livello di sicurezza, attraverso misure tecniche e organizzative idonee a prevenire trattamenti non autorizzati o illeciti, nonché perdite, distruzioni o divulgazioni accidentali.

L'adeguatezza di tali misure deve essere valutata tenendo conto della natura del trattamento, delle finalità perseguite e del rischio per i diritti e le libertà delle persone fisiche.

Per quanto riguarda il diritto di accesso, l'articolo 15 del GDPR riconosce all'interessato il diritto di ottenere dal titolare del trattamento la conferma dell'esistenza di un trattamento dei propri dati personali e di ricevere, tra le altre informazioni:

a) le finalità del trattamento;

b) le categorie di dati personali trattati;

c) i destinatari o le categorie di destinatari ai quali i dati personali sono stati o saranno comunicati;

d) il periodo di conservazione dei dati oppure i criteri utilizzati per determinarlo;

e) il diritto di chiedere la rettifica, la cancellazione, la limitazione del trattamento o di opporsi allo stesso;

f) il diritto di proporre reclamo all'Autorità di controllo;

g) l'origine dei dati, se non raccolti direttamente presso l'interessato;

h) l'eventuale esistenza di processi decisionali automatizzati, compresa la profilazione.

L'istanza presentata ai sensi dell'articolo 15 deve essere riscontrata senza ingiustificato ritardo e comunque entro un mese dal ricevimento. Il termine può essere prorogato fino a due mesi nei casi di particolare complessità o in presenza di numerose richieste, informando comunque l'interessato entro il primo mese dei motivi del ritardo.

Con riferimento alla comunicazione dei dati sanitari a terzi, l'articolo 9 del GDPR prevede che tali informazioni possano essere comunicate esclusivamente all'interessato oppure a soggetti terzi solo in presenza di un idoneo presupposto giuridico o su indicazione dell'interessato, normalmente mediante una delega scritta.

La decisione del Garante: sanzione da 5.000 euro all'Azienda sanitaria

Nel provvedimento finale il Garante Privacy prende atto del fatto che l'Azienda sanitaria, per evitare il ripetersi di episodi analoghi, si è impegnata ad adottare ulteriori misure organizzative e di sicurezza per rafforzare la tutela dei dati personali e sanitari dei pazienti.

L'Autorità considera inoltre l'assenza di precedenti violazioni analoghe a carico dell'Azienda sanitaria di Macerata.

Ciò nonostante, il Garante ritiene accertate due violazioni del GDPR:

  • comunicazione dei dati sanitari della paziente a un soggetto terzo senza un valido presupposto giuridico;
  • mancato riscontro all'istanza di accesso ai dati personali presentata dalla signora A.

Per tali violazioni il Garante ha adottato un'ordinanza-ingiunzione nei confronti dell'Azienda sanitaria, applicando una sanzione amministrativa di 5.000 euro e disponendo anche la pubblicazione del provvedimento integrale sul sito del Garante Privacy.

Scopri come il team di OKPrivacy può aiutarti a proteggere i tuoi dati e quelli dei tuoi pazienti

 

Torna al blog