Privacy, prima sanzione a un medico

Prima sanzione di 16mila euro ad un medico per per trattamento illecito di dati personali. Il Garante della privacy ha punito il professionista perché ha utilizzato gli indirizzi di circa 3.500 ex-pazienti per inviare lettere a sostegno di un candidato alle elezioni politiche del 4 marzo 2018, senza che gli interessati avessero espresso specifico consenso. Non si è trattato di una violazione dei dati sanitari, materia dove occorre massima attenzione, ma ciò dimostra quanto sia ormai difficile sfuggire ai controlli che si stanno facendo sempre più assidui.

E infatti appena decorso il periodo transitorio c.d. di “tolleranza” che tutti gli Stati europei hanno osservato per consentire alle imprese di adeguarsi al nuovo sistema legato al GDPR 679/2016, è giunto il tempo delle verifiche e dei controlli (audit, ispezioni, indagini) nonché dell’irrogazione delle prime sanzioni amministrative. 

L’entrata in vigore del nuovo regolamento europeo in materia di protezione dei dati personali GDPR 679/2016 ha determinato un radicale cambiamento nell’approccio adottato nella regolamentazione della materia, introducendo nel sistema legislativo di settore principi prima estranei al nostro ordinamento ed attribuendo, tra questi, un ruolo di preminente centralità e di guida a quello così detto di “responsabilizzazione” del titolare e del responsabile del trattamento. In pratica  il titolare ed il responsabile del trattamento, devono agire secondo le migliori prassi e devono anche dimostrare di aver posto in essere tutte le misure di sicurezza opportune e necessarie, fornendo una giustificazione al perché delle decisioni ed azioni intraprese.

Rientra in questo concetto, quindi, il caso del medico che ha utilizzato gli elenchi dei pazienti per altri fini: il professionista non ha reso l’informativa né al momento della registrazione dei dati dei pazienti né alla prima comunicazione, come previsto dal Codice privacy, realizzandosi così la violazione di quanto espressamente previsto all’art. 161. Questo adempimento è infatti obbligatorio in quanto i dati, nel caso di specie, non risultano raccolti dal medico direttamente presso gli interessati, ma ricevuti dall’Istituto oncologico all’atto della cessazione del rapporto di lavoro. Inoltre, il medico ha utilizzato i dati dei suoi ex-pazienti per finalità diverse da quelle di cura per le quali erano stati raccolti, senza aver acquisito per questo uno specifico e autonomo consenso, in aperta violazione del disposto di cui all’art. 162, comma 2.

Nel corso della propria attività difensiva, il medico ha eccepito di aver scritto ai suoi ex-pazienti per informarli della sua nuova sede di lavoro. Con l’occasione aveva contestualmente espresso il suo sostegno a un candidato alle elezioni, ritenendo comunque di rispettare le norme, consentendo ai destinatari di opporsi alla ricezione dei messaggi mediante un apposito link posto in calce alla mail. Violando palesemente quanto indicato in materia di propaganda elettorale (legge 6 marzo 2014)  L’Autorità per il trattamento dei dati personali ha sottolineato  come nonostante la sanzione sia stata comminata in virtù del vecchio Codice della privacy, i principi che la ispirano restano validi anche in base al nuovo Regolamento UE, come precisato nel recente provvedimento del 7 marzo 2019.