On 15 April 2021, the Authority for the protection of personal data issued three particularly interesting measures concerning an episode of a personal data breach involving a doctor, an AUSL (local health authority), and an association of surgeons.
The case concerned a doctor working at the AUSL in question, who had projected during a medical congress some slides related to a clinical case she had dealt with, retrieving images and documentation from the archives of the same company. Subsequently, the case presented by the doctor was published on the association’s website and awarded as ‘best clinical case 2017’. The published documents were also easily available online through search engines.
In particular, the documentation presented by the doctor in the slides, and available online, included the patient’s initials, age, sex, medical history, hospital admissions and surgery, days spent in the hospital, and numerous diagnostic images and photographs of the patient.
As pointed out by the patient’s defense, the disclosure of the above information did not guarantee, in that way, that the person who had undergone the operation could not be identified.
Moreover, the preliminary investigation showed that the patient had not given the doctor his informed consent to the processing of his data, as he had only consented to the processing of his data by Ausl and through the company health file for the purpose of epidemiological investigation and scientific research. Not only that. The health authority at which the patient had been treated should have authorized the doctor to download the data and clinical documents from the computer archives of which she was the owner, which did not happen in this case.
The Authority, therefore, found that the doctor’s processing of the data subject’s personal data, which had not been anonymized, in the absence of informed consent and of specific authorization from Ausl, had been carried out in breach of Articles 5(1)(a) and (c), 6 and 9 of EU Regulation 2016/679.
In fact, the legislation on the protection of personal data provides – in the health sector – that information on the state of health can be communicated only to the person concerned, and it can be communicated to third parties only based on an appropriate legal basis or on the indication of the person concerned after written authorization by the latter. Moreover, the dissemination of data capable of revealing the state of health of the persons involved is expressly prohibited.
The Authority has ascertained the unlawfulness of the processing, and it has imposed administrative fines of € 5,000.00 and € 2,000.00 on the doctor and the association of surgeons involved in the case, limiting itself, however, to a warning against the Health Authority, for not having adopted the appropriate technical and organizational measures to reduce the risk of access to personal data and clinical documents for purposes other than those of treatment of the person concerned.
****
IL CASO DELLA PUBBLICAZIONE ONLINE DEI DATI DI UN PAZIENTE: INTERVIENE IL GARANTE PRIVACY
Lo scorso 15 aprile 2021, il Garante per la protezione dei dati personali ha reso tre provvedimenti particolarmente interessanti, riguardanti un episodio di violazione di dati personali che ha visto coinvolti un medico, una Ausl ed un’associazione di medici chirurghi.
La vicenda riguardava una dottoressa in servizio presso l’Ausl in questione, la quale aveva proiettato durante un congresso medico alcune diapositive relative ad un caso clinico dalla stessa affrontato, recuperando immagini e documentazione dall’archivio dell’Azienda stessa. Successivamente, il caso esposto dalla dottoressa era stato pubblicato sul sito dell’associazione e premiato come “miglior caso clinico 2017”. I documenti pubblicati, inoltre, erano facilmente reperibili online tramite motori di ricerca.
In particolare, la documentazione proposta dalla dottoressa nelle diapositive, e fruibile appunto online, comprendeva le iniziali del paziente, l’età, il sesso, l’anamnesi della patologia, i ricoveri effettuati e gli interventi chirurgici subiti, i giorni di degenza, nonché numerose immagini diagnostiche e fotografie ritraenti l’interessato.
Come segnalato dalla difesa del paziente, la divulgazione delle informazioni suddette non garantiva, secondo quelle modalità, l’impossibilità di individuare il soggetto che aveva subito l’intervento.
Peraltro, dall’istruttoria svolta è emerso che il paziente non aveva prestato alla dottoressa il proprio consenso informato a tale trattamento dei propri dati, avendo acconsentito unicamente al trattamento, da parte dell’Ausl e attraverso il dossier sanitario aziendale, per finalità di indagine epidemiologica e ricerca scientifica. Non solo. L’Azienda sanitaria presso la quale era stato curato il paziente avrebbe dovuto autorizzare la dottoressa a scaricare dagli archivi informatici i dati e i documenti clinici di cui essa risultava titolare, cosa che, nel caso di specie, non era avvenuta.
L’Autorità ha, quindi, accertato che il trattamento da parte della dottoressa dei dati personali dell’interessato, non anonimizzati, in assenza di consenso informato e di apposita autorizzazione da parte dell’Ausl, era stato svolto in violazione degli artt. 5, par. 1, lett. a) e c), 6 e 9 del Regolamento UE 2016/679.
Infatti, la disciplina in materia di protezione dei dati personali prevede – in ambito sanitario – che le informazioni sullo stato di salute possano essere comunicate solo all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso previa delega scritta di quest’ultimo. Inoltre, è espressamente vietata la diffusione di dati idonei a rivelare lo stato di salute degli interessati.
Il Garante, quindi, accertata l’illiceità del trattamento, ha irrogato alla dottoressa ed all’associazione di medici chirurghi coinvolta nel caso le sanzioni amministrative pecuniarie rispettivamente di € 5.000,00 e di € 2.000,00, limitandosi, invece, ad un ammonimento nei confronti dell’Azienza sanitaria, per non avere questa adottato le misure tecniche ed organizzative idonee a ridurre il rischio di accesso ai dati personali e ai documenti clinici per finalità diverse da quelle di cura dell’interessato.