Diffusione di dati sanitari tramite pubblicazioni scientifiche: sanzionate una AUSL e una associazione medica

Un paziente, dopo essersi curato in un’AUSL, ha trovato fotografie e altre informazioni riferibili alla sua salute pubblicate sul sito di un’associazione medica. Tali documenti erano reperibili anche tramite comuni motori di ricerca. 

A seguito della segnalazione del paziente, l’AUSL provvedeva a notificare la violazione di dati al Garante ai sensi dell’art. 33 del Reg. UE 679/2016 (GDPR).

Nel corso dell’istruttoria è emerso che un medico, il quale aveva avuto in cura il paziente presso l’AUSL, di propria iniziativa aveva scaricato documenti dell’interessato dagli archivi informatici dell’Azienda per poi utilizzarli per una relazione in un congresso medico. Aveva poi usato il materiale della presentazione per partecipare a un concorso gestito da un’associazione di chirurghi.

Nell’ambito del concorso cui il medico aveva partecipato, il lavoro scientifico era stato pubblicato sul sito web dell’Associazione dei medici chirurghi senza alcuna forma efficace di anonimizzazione del paziente (oltre alle fotografie, erano riportate anche le iniziali, l’età, il sesso e altre specifiche informazioni su terapie, interventi e ricoveri del paziente).


Le sanzioni

Il Garante ha quindi condotto il procedimento nei confronti dell’AUSL, dell’associazione di chirurghi e del medico che ha causato la violazione di dati.

Di seguito sono riportate nello specifico l’entità ed i motivi delle singole ingiunzioni di pagamento comminate tramite i tre rispettivi provvedimenti:


Sanzione AUSL

L’AUSL ha ricevuto un ammonimento.

MOTIVAZIONE DELLA SANZIONE

L’AUSL non ha adottato tutte le misure tecniche e organizzative volte a ridurre il rischio che il personale autorizzato ad accedere, per finalità di cura, ai dati personali e ai documenti clinici, possa utilizzare i medesimi dati e documenti per finalità diverse da quelle di cura dell’interessato, come quelle di partecipazione a premi scientifici e convegni senza la previa autorizzazione dell’Azienda e l’anonimizzazione dei predetti dati e documenti.

ELEMENTI CONSIDERATI

  • L’episodio risulta essere stato isolato e gestito in maniera tempestiva da parte dell’Azienda;
  • L’Azienda aveva già promosso iniziative volte a regolamentare l’utilizzo dei documenti aziendali per fini di partecipazione a convegni e seminari;
  • L’Azienda sanitaria, a seguito dei fatti oggetto del provvedimento, si è fatta parte attiva nella promozione, a livello regionale, di un codice di condotta per l’utilizzo dei dati sulla salute a fini didattici e di pubblicazione scientifica;

Le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”.


Sanzione medico

L’AUSL ha ricevuto una sanzione pecuniaria di € 5.000.

MOTIVAZIONE DELLA SANZIONE

Il medico ha avuto in cura il paziente, ma non ha chiesto a questi il consenso per il trattamento di dati a fini di ricerca medica, che era stato invece rilasciato dal paziente nei confronti dell’AUSL. Ciononostante, l’AUSL non ha mai autorizzato il medico a trattare i dati sanitari del paziente per fini diversi da quelli di cura.
Pertanto, il medico ha agito in violazione delle istruzioni del Titolare del trattamento.

ELEMENTI CONSIDERATI

  • Il trattamento dei dati ha riguardato informazioni sulla salute di un paziente
  • Il trattamento dei dati dell’interessato è avvenuto nell’ambito di un’occasione di condivisione del sapere scientifico nella comunità medica;

La fattispecie di trattamento presenta elementi di complessità in ordine all’individuazione delle corrette modalità di anonimizzazione dei dati dei pazienti tali da aver richiesto, dopo l’accaduto, la promozione da parte della Regione Veneto di un codice di condotta per l’uso dei dati a fini didattici e di pubblicazioni scientifiche, che è stato recentemente approvato dall’Autorità.


Sanzione Associazione

L’Associazione ha ricevuto una sanzione pecuniaria di € 2.000.

MOTIVAZIONE DELLA SANZIONE

L’Associazione ha proceduto a pubblicare il lavoro scientifico proposto dalla dottoressa senza però richiederle un’autorizzazione specifica in sede di iscrizione al concorso. Inoltre, la pubblicazione di immagini fotografiche, oltre che di numerose informazioni relative al percorso di cura del paziente ha comportato la diffusione dei dati relativi allo stato di salute del paziente per il tramite del sito web dell’Associazione medesima.

ELEMENTI CONSIDERATI

  • L’Associazione ha immediatamente provveduto alla rimozione della pubblicazione del lavoro scientifico dal sito web e alla deindicizzazione dai motori d ricerca;
  • Dall’analisi dei file di log è emerso che pochi soggetti hanno avuto accesso ai dati personali del paziente;
  • A seguito della vicenda sono stati modificati i modelli utilizzati per la partecipazione dei professionisti agli incontri scientifici promossi dalla Società e sono state implementate le azioni di analisi della documentazione presentata dai suddetti professionisti

Il coinvolgimento dell’associazione è stato minimale.

Facebook
Twitter
LinkedIn
WhatsApp
L’avvocato Maria Livia Rizzo svolge attività di consulenza legale nel settore sanitario pubblico e privato nell’ambito della protezione dei dati personali – con focus

Vuoi ricevere la newsletter informativa dello studio legale Stefanelli&Stefanelli?