1. Home
  2. News e approfondimenti
  3. Sanità Digitale
  4. Documenti sanitari consegnati a soggetto diverso dal richiedente: sanzione privacy per il medico di famiglia
Articolo
10 dicembre 2024

Documenti sanitari consegnati a soggetto diverso dal richiedente: sanzione privacy per il medico di famiglia

10 dicembre 2024
Quando vengono chiesti dei documenti sanitari, il soggetto diverso dal richiedente che li ritira deve essere munito di apposita delega, altrimenti rischia la sanzione da parte del Garante Privacy.

Sommario

  1. Il reclamo al Garante Privacy per la consegna a terzi dei documenti sensibili
  2. La normativa privacy violata dal MMG
  3. La decisione del Garante e le motivazioni del medico

Il Signor A., in cura presso il medico di medicina generale Dottor B., decede in maniera improvvisa. A seguito del decesso la signora C., figlia del signor A., si reca insieme a suo marito dal Dottor B., chiedendogli di consegnargli tutto lo storico clinico e la documentazione clinica relativa al padre defunto. 

Dato che si trattava di molta documentazione, il Dottor B. non consegnava immediatamente la documentazione richiesta, dando appuntamento alla signora C. per un giorno specifico; all’appuntamento verbale fornito dal Dottor B. la signora C., testualmente, rispose “ripassiamo mercoledì pomeriggio a ritirarla”. 

Il mercoledì pattuito si presenta in studio dal Dottor B. il marito della signora C., al quale il Dottor B. consegna, in busta chiusa, la documentazione clinica relativa al suocero, signor A. 

Il reclamo al Garante Privacy per la consegna a terzi dei documenti sensibili

A seguito della consegna al marito, la signora C. sporge reclamo al Garante Privacy, lamentando che la consegna della documentazione clinica da parte del Dottor B. non solo era avvenuta in mano a persona non autorizzata al ritiro, comunque terza rispetto a suo padre e agli altri eredi di suo padre, il signor A.

Il Garante istruiva il procedimento, provvedendo a sentire il Dottor B., il quale si difendeva rappresentando di aver consegnato la documentazione al marito della signora C. in buona fede, poiché tratto in errore dalla frase “passiamo mercoledì a ritirarla” proferita al momento della richiesta proprio dalla signora C., che si era recata presso lo studio medico proprio in compagnia di suo marito.

Peraltro, il Dottor B., nell’evidenziare che, secondo la sua percezione, il marito della signora C. era autorizzato al ritiro della documentazione, specificava che l’errore – anche se da lui commesso in buona fede – era il primo nella sua carriera e comunque gli sarebbe valso da monito per il futuro, per evitare situazioni come questa. 

La normativa privacy violata dal MMG

Partiamo dal presupposto che per dato personale si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile, mentre per dati relativi alla salute si intendono i dati personali attinenti alla salute - fisica o mentale - di una persona, compresa la prestazione di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute.

I dati personali sono dei dati che, secondo il GDPR (Regolamento Europeo per la Privacy), meritano una protezione maggiore rispetto agli altri, perché se resi noti a soggetti non autorizzati potrebbero creare dei rischi per i diritti e le libertà fondamentali degli individui: ad esempio, un cittadino potrebbe avere problemi a chiedere un prestito in banca in relazione ai suoi problemi di salute, poiché l’istituto bancario potrebbe profilarlo come persona a rischio, in base alle patologie che lo affliggono.

Nel rispetto dei principi generali in materia di privacy, i dati personali devono essere:

  1. a)trattati in modo lecito, corretto e trasparente nei confronti dell’interessato, in virtù del principio di liceità, correttezza e trasparenza,
  2. b)raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo compatibile con tali finalità, in ottemperanza al principio della limitazione della finalità,
  3. c)adeguati, pertinenti e limitati a quanto necessario alle finalità per cui sono trattati, in virtù del principio della minimizzazione dei dati,
  4. d)esatti e, se necessario, aggiornati, adottando a tal fine tutte le misure ragionevoli per cancellare o rettificare con tempestività i dati inesatti rispetto alle finalità per le quali sono trattati, nel rispetto del principio di esattezza,
  5. e)conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati, ai sensi del principio della limitazione della conservazione,
  6. f)trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, distruzione o dal danno accidentali, secondo il principio di integrità e riservatezza,
  7. g)gestiti sotto la responsabilità del titolare del trattamento dei dati personali, in virtù del principio di responsabilizzazione.

In materia di gestione dei dati personali riguardanti le persone decedute, i principi interpretativi espressi dal Garante Privacy italiano prevedono che tali tipologie di dati debbano essere tutelati e protetti con le stesse cautele adottate per i dati delle persone viventi, nel rispetto dei principi di cui sopra.

Pertanto, chi tratta questi dati è tenuto a rispettare i principi sopra enunciati, tra cui quello dell’integrità e riservatezza, evitando che i dati vadano in mano a persone non autorizzate a conoscerli.

Il Garante Privacy si è espresso più volte in materia di tutela dei dati sanitari del paziente nell’ambito dell’attività del medico di base, precisando che la documentazione può essere ritirata anche da persone diverse dai diretti interessati, purché vengano rispettate due condizioni essenziali:

  1. a)consegna a persona munita di delega scritta da parte del richiedente,
  2. b)consegna dei documenti sanitari in busta chiusa.

Pertanto, consegnando la busta con i documenti sanitari del signor A. al genero privo di alcuna delega scritta da parte della signora C. che li aveva richiesti, il dottor B. ha violato gli obblighi di sicurezza imposti dall’art. 32 del GDPR, poiché li ha consegnati a una persona non autorizzata.

La decisione del Garante e le motivazioni del medico

Il Garante Privacy ha ritenuto colpevole della violazione dei dati personali il dottor B., ma non gli ha comminato una sanzione pecuniaria, ritenendo che il comportamento sia stato attenuato dal fatto che:

-non risultano precedenti violazioni della privacy da parte del dottor B.,

-si è perciò trattato di un episodio isolato, per come emerso durante l’istruttoria,

-l’episodio non è stato commesso con dolo.

Il Garante ha perciò deciso di comminare la sanzione dell’ammonimento nei confronti del dottor B.: in pratica, è come se, a scuola, gli fosse stata messa una nota sul registro.

Di: Manuela Calautti, avvocato

Argomenti correlati

Privacy

News e approfondimenti che potrebbero interessarti

Vedi i contenuti
Vedi i contenuti

La soluzione digitale per i Professionisti Sanitari

Consulcesi Club

    Contatti

    Via G.Motta 6, Balerna CH
    PEC: consulcesisa@legalmail.it

    Social media

    Termini e condizioni

    • Consulcesi SA
    • Via G.Motta 6, Balerna CH
    • 259458377
    • +41 916952060
    • PEC: consulcesisa@legalmail.it