Articoli

Privacy e Sanità. Arriva imperante lo stop del Garante all’uso illecito dei dati degli accertamenti medici

Avv. Vincenzo Colarocco

Il Garante privacy, in linea con il proprio costante orientamento in materia, è intervenuto il mese scorso con una nota conclusiva di un’istruttoria nell’ambito della quale ha ritenuto illecito il trattamento effettuato da un’azienda sanitaria e dalla società alla quale la stessa aveva messo a disposizione copie di immagini di esame diagnostici di alcuni pazienti.

L’acquisizione della copia di immagini Tac –contenenti informazioni sullo stato di salute- da parte della società era finalizzata alla partecipazione ad una gara d’appalto in seguito depositata nell’ambito di un contenzioso giudiziario. Operazioni, queste, non riconducibili a quelle per le quali era stata nominata “responsabile”, solitamente ricondotte all’ attività di manutenzione per garantire l’efficienza dell’apparecchiatura e la qualità delle immagini della Tac.

Orbene, rilevati i trattamenti illeciti, il Garante privacy ha osservato come le operazioni eseguite perseguivano, infatti, finalità proprie della società (partecipazione alla gara e difesa in giudizio) non riconducibili a quelle per le quali era stata designata responsabile (quali ad esempio, le attività di manutenzione per garantire l’efficienza dell’apparecchiatura e la qualità delle immagini della Tac) e quindi di per sé non idonee a giustificare la nomina della stessa a responsabile del trattamento ai sensi dell’art. 28 del GDPR.

Quanto valgono i nostri dati sanitari?

Avv. Vincenzo Colarocco

Un recente ricerca pubblicata da Carbon Black, società Usa che sviluppa software con l’obiettivo di proteggere le organizzazioni dagli attacchi informatici, ha svelato come nel mirino dei cyber-attacchi ci siano i dati sanitari. Nel 2018, il numero di casi censiti a livello globale, orientati soprattutto a finalità di cybercrime e di furto di dati personali, è aumentato del 99% rispetto al 2017.

Il furto del dato sanitario consente ai pirati informatici di raccogliere informazioni sempre più personali degli utenti e di realizzare profili sempre più fedeli al fine di colpirli con specifiche iniziative illecite. A prescindere dalla truffa, però, si ricordi che la violazione del dato sanitario può tradursi in una lesione della riservatezza dell’interessato, il quale potrebbe aver scelto di tenere per sé le informazioni sul suo stato di salute, senza contare le ripercussioni in termini di discriminazione che potrebbero prodursi socialmente. Ma non è tutto.

Sembra che a valere di più nel mercato nero siano i dati dei medici, venduti anche per 500 dollari, intendendosi per tali i certificati di laurea in medicina, documenti amministrativi e ogni altro attestato che l’acquirente può utilizzare per spacciarsi per il dottore in questione e commettere frodi ai danni, ad esempio, del sistema assicurativo. Gli hacker, infatti, una volta impossessatisi dei dati dei professionisti sanitari, possono utilizzarli per creare delle false ricette mediche, in poche parole per sostituirsi a questi, con ogni conseguente rischio per i pazienti interessati.

A fronte di tale evidenza, il tema vero è quello della vulnerabilità delle strutture sanitarie: questi studi hanno infatti testato l’estrema facilità con cui si riesce a compromettere i sistemi informatici. In Italia, in particolare, manca trasparenza in merito alle misure di sicurezza, tecniche ed organizzative, adottate per garantire un adeguato livello di efficienza dei sistemi e l’adeguamento delle aziende sanitarie al GDPR è stato erroneamente interpretato come un requisito di forma.

Sul punto, e sulla criticità del tema, si è espresso anche il Garante per la protezione dei dati personali nell’ultima relazione annuale: “La carente sicurezza dei dati sanitari e dei sistemi che li ospitano può rappresentare una causa di malasanità”, ha avvertito Soro.

No all’uso dei dati senza consenso di ex-pazienti per propaganda elettorale

Avv. Vincenzo Colarocco

Con il provvedimento del 14 febbraio 2019 il Garante ha comminato una sanzione di 16 mila euro a un medico che ha utilizzato gli indirizzi di circa 3.500 ex-pazienti per inviare lettere a sostegno di un candidato alle elezioni politiche regionali del 4 marzo 2018, senza che gli interessati avessero espresso alcun specifico consenso a riguardo e per finalità completamente differenti (quelle di promozione politico-elettorale).

Le iniziative di propaganda elettorale, o collegate a referendum o alla selezione di candidati alle elezioni, costituiscono un momento particolarmente significativo della partecipazione alla vita democratica (art. 49 Cost.). Pertanto, se i dati sono raccolti presso l’interessato, quest’ultimo deve essere comunque informato a norma di legge delle caratteristiche del trattamento, salvo che per gli elementi che gli siano già noti (art. 13 del GDPR). Ancor di più, se i dati –come nel caso di specie– non vengono raccolti direttamente presso gli interessati (art. 14 del GDPR) ma ricevuti dall’Istituto oncologico all’atto della cessazione del rapporto di lavoro con la struttura sanitaria presso la quale prestava la sua attività in regime di libera professione.

È bene precisare, come già più volte chiarito dall’Autorità in materia di propaganda elettorale che i dati personali raccolti nell’ambito dell’attività di tutela della salute da parte di esercenti la professione sanitaria e di organismi sanitari, non sono utilizzabili per fini di propaganda elettorale e connessa comunicazione politica. Tale finalità non è infatti riconducibile agli scopi legittimi per i quali i dati sono stati raccolti (Provvedimento n. 107 del 6 marzo 2014). E tuttavia, il consenso è necessario anche per i dati raccolti nell’esercizio di attività professionali, di impresa o nell’ambito della professione sanitaria (Provvedimento n. 55 del 7 marzo 2019).