Dati sanitari e GDPR: il Garante si attiva di ufficio alla pubblicazione, in chiaro sul sito web dell'ASL Roma1, dei dati sanitari di alcuni pazienti. Sanzione di 46.000 euro

Dati sanitari e GDPR: il Garante si attiva di ufficio e apre l'istruttoria verso l'ASL Roma 1

Il Garante ha aperto l'istruttoria nei confronti dell'ASL Roma 1 d'ufficio. L'attivazione deriva dalla pubblicazione di dati personali e sensibili sul sito web istituzionale. In dettaglio, dalla verifica preliminare, emergeva che l'ASL Roma1 aveva pubblicato nella sezione "Accesso civico / Registro degli accessi" due file contenenti:

• il registro provvisorio delle richieste di accessi agli atti, riferite a 1119 istanze. Qui si trovavano dati come numero di registro, data e numero di protocollo, oggetto, mittente, destinatario;
• il registro provvisorio degli accessi, contenente altre 218 istanze e con indicati numero di registro, data e numero di protocollo, oggetto, mittente, destinatario.

I documenti contenevano quindi il nominativo dell'interessato o del suo legale rappresentante e non solo. In molti casi erano presenti anche dati relativi allo stato di salute degli interessati: cartelle cliniche, accertamenti di invalidità, test ecc…

In alcuni casi, infine, si potevano dedurre ulteriori informazioni dal campo oggetto, visto che vi si potevano leggere indicazioni quali:

• "Visita del XX presso la commissione di prima istanza per l’accertamento degli stati di invalidità»;
• «Richiesta acquisizione visione analisi tossicologiche»;
• «Copia conforme all’originale esami clinici, visita psichiatrica e test psicodiagnostici»

Dati sanitari e GDPR: cosa dice la normativa

Il GDPR sui dati sanitari è chiaro e fornisce una definizione specifica:

«i dati relativi alla salute sono quei dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute»

Insomma, sono una categoria più sensibile di dati personali e, infatti, godono di maggiore tutela. Una pubblica amministrazione può, pur con dovuti limiti, rendere pubblici i dati personali degli interessati, ma non i dati sanitari. Questi rientrando nelle «categorie particolari di dati personali» per i quali è previsto un espresso divieto di diffusione.

In questo caso, sottolinea il Garante, il divieto di pubblicazione di dati sanitari non trova fondamento solo nel GDPR, ma è anche esplicitato dalla disciplina nazionale di trasparenza della Pubblica Amministrazione.

Le memore difensive dell'ASL Roma 1 e l'esito dell'istruttoria del Garante

L'azienda sanitaria ha fatto pervenire al Garante le proprie memorie difensive. In prima battuta, l'ASL ha indicato che al momento della ricezione della comunicazione di avvio del procedimento da parte del Garante, si è immediatamente attivata per affrontare il problema. La pubblicazione dei dati sanitari, spiegano, è avvenuta per mero errore materiale di caricamento nel back end del sito del Registro provvisorio anziché di quello definitivo. La differenza tra il registro provvisorio e quello definitivo di accesso civico giace proprio nell'anonimizzazione dei richiedenti e di tutti i soggetti coinvolti.

L'errore materiale, spiega l'ASL, è desumibile dal fatto che negli anni passati il problema non s'è mai posto. Inoltre l'Azienda ha provveduto ad adottare una piattaforma (di fornitore terzo) per trattare e pubblicare correttamente i dati nella sezione Amministrazione Trasparente del sito web istituzionale. Infine, l'ASL spiega di aver realizzato, col supporto del DPO aziendale, specifiche linee guida per la pubblicazione dei file nel rispetto delle tutele che il GDPR prevede per i dati sanitari.

Da parte sua il Garante non ha potuto che rilevare come, limitatamente al caso delle pubblicazioni in oggetto del provvedimento, l'ASL abbia effettuato un trattamento dati non conforme alla normativa e ne abbia dato conferma scritta.

Dati sanitari e GDPR: il Garante sanziona l'ASL Roma 1

Il Garante privacy ha ritenuto le memorie difensive utili al fine di valutare la condotta generale dell'ASL Roma 1. Ma queste non archiviano il procedimento e anzi confermano il trattamento dati non conforme, pur dovuto a mero errore materiale. La pubblicazione dei dati ha violato infatti:

• il divieto di diffusione di dati sanitari (art. 2-septies, comma 8, del Codice e l’art. 9, parr. 1, 2 e 4 del GDPR);
• il principio di minimizzazione dei dati che non sono risultati «limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (ossia la trasparenza amministrativa).

Detto ciò, il Garante specifica che:

"la condotta ha esaurito i suoi effetti, in quanto il titolare del trattamento ha dichiarato di aver provveduto a rimediare alla propria condotta, fermo restando quanto si dirà sull’applicazione della sanzione amministrativa pecuniaria, non ricorrono i presupposti per l’adozione di ulteriori misure correttive".

La mancata necessità di imporre misure correttive non cancella però l'errore, quindi il Garante ha optato per:

• comminare una sanzione di 46.000 euro
• la pubblicazione del provvedimento sanzionatorio
• l'annotazione nel registro interno dell'Autorità delle violazioni e delle misure adottate con il provvedimento in oggetto.

Il provvedimento completo è disponibile qui https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9784482