La signora X è affetta da invalidità civile nella misura del 75% ed è inoltre portatrice di handicap grave ai sensi dell’art. 3 comma 3 dellalegge n. 104/92; tale situazione invalidante è stata accertata dalla Commissione medica territorialmente competente con distintiverbali di accertamento dell’invalidità e dell’handicap, all’interno dei quali è contenuta la diagnosi invalidante, derivante da infezione HIV e nefropatia HIV relata.
Il caso dei dati trasmessi “in chiaro” da ASP
La signora X indica quale familiare che la assiste stabilmente suo genero, il signor Y, dipendente presso una casa circondariale; in quanto caregiver della signora X, il signor Y chiede al datore di lavoro di usufruire dei benefici derivanti dalla legge 104/92, come ad esempio i tre giorni di permesso mensile e i permessi orari retribuiti previsti per chi assiste un familiare affetto da handicap grave.
I verbali di invalidità e handicap grave della signora X rientrano all’interno dei cosiddetti controlli a campione che vengono effettuati periodicamente dalle autorità competenti, solitamente per cercare di scongiurare il fenomeno dei falsi invalidi.
La casa circondariale chiedeva perciò all’ASP territorialmente competente che aveva emesso i verbali di invalidità di confermare o meno l’esistenza agli atti di un verbale di accertamento dello stato di handicap relativo alla persona della signora X.
L’ASP, a seguito di tale richiesta, trasmetteva alla casa circondariale copia del verbale di riconoscimento handicap grave di cui alla legge n. 104/92: il verbale, in particolare, non presentava alcuna omissione o oscuramento ed era totalmente in chiaro, e permetteva così alla casa circondariale di leggere integralmente la patologia della signora X all’interno dell’anamnesi completa (infezione HIV e nefropatia HIV relata).
Ritenendo tale condotta lesiva della propria privacy e in particolare dei propri dati personali e sanitari, la signora X si rivolge al Garante Privacy sporgendo formale reclamo nei confronti dell’ASP che ha fornito alla Casa Circondariale copia non omissata del verbale di accertamento dell’handicap.
Leggi anche
Il reclamo al Garante Privacy per violazione sui dati sensibili
In generale è dato personale qualsiasi informazione relativa a una persona fisica identificata o identificabile. Questa definizione abbraccia elementi quali il nome, il codice fiscale, l'indirizzo, e persino l'indirizzo IP, poiché tutti questi dati possono essere utilizzati per identificare in modo univoco un individuo.
Il Regolamento Europeo sulla Protezione dei Dati (GDPR) ha identificato delle specifiche categorie di dati personali, che richiedono un trattamento particolare in virtù della loro delicatezza: tra questi dati rientrano quelli relativi alla salute.
I dati sulla salute di una persona, in generale, sono oggetto di divieto di trattamento da parte di chicchessia, salvo due eccezioni, cioè quando siamo in presenza:
- del consenso esplicito del paziente,
- di motivi di interesse pubblico rilevante.
Se il trattamento dei dati sanitari è necessario per assolvere degli specifici obblighi in materia di lavoro, il divieto di trattamento del dato sanitario viene meno, purché vi sia una norma specifica che preveda tale obbligo, vi siano comunque delle garanzie appropriate a tutela della privacy e i motivi di interesse pubblico rilevante siano proporzionati alla finalità da perseguire, nel rispetto del diritto dell’Unione europea e delle norme del singolo stato membro.
La normativa interna italiana, e nello specifico l’art. 2 sexies del Codice Privacy (comma 1 e 2 lettera s) e aa), considera rilevante l’interesse pubblico relativo a trattamenti effettuati da soggetti che svolgono compiti di interesse pubblico o connessi all’esercizio di pubblici poteri nelle attività socio-assistenziali a tutela dei minori e soggetti bisognosi, di tutela dell’integrazione sociale e dei diritti dei disabili, nonché di instaurazione, gestione ed estinzione di rapporti di lavoro.
Nel caso esaminato dal Garante bisogna tenere conto del fatto che il signor Y, genero della signora X, lavora in una casa circondariale, come tale è un dipendente del Ministero della Giustizia: la sua particolare posizione è perciò sottoposta al Regolamento sulla disciplina del trattamento dei dati sensibili e giudiziari da parte del Ministero della Giustizia. La scheda n. 7 di questo regolamento prevede che, in relazione alla gestione del personale di Polizia Penitenziaria, i dati relativi alla salute dei familiari possono essere raccolti esclusivamente ai fini della concessione di particolari benefici al dipendente, previsti dalla legge, come quelli di cui alla legge n. 104/92 per l’assistenza al portatore di handicap, come ad esempio i tre giorni di permesso mensile retribuito coperto da contribuzione figurativa.
Deve specificarsi che il lavoratore, per usufruire dei benefici di cui alla legge n. 104/92, produce al datore di lavoro una o più autocertificazioni attestanti, ad esempio, il rapporto di parentela o la percentuale invalidante: la pubblica amministrazione datrice di lavoro è obbligata ad effettuare controlli a campione sulle autocertificazioni e sull’esistenza degli atti autocertificati.
Il comportamento della casa circondariale, teso a eseguire controlli a campione sulla veridicità dello stato invalidante dei parenti dei soggetti che usufruiscono dei benefici di cui alla legge n. 104/92, perciò, è da considerarsi giuridicamente corretto; diverso è il discorso per la condotta tenuta dall’ASP.
Leggi anche
Condivisione di dati e protezione dell’identità del paziente
Difatti, bisogna contemperare l’interesse della pubblica amministrazione a controllare la veridicità di quanto autodichiarato dai dipendenti con il diritto del disabile alla privacy: sin dal 2007, infatti, il Garante ha precisato che in virtù dei principi di pertinenza, non eccedenza e indispensabilità, nelle certificazioni relative a un disabile non è indispensabile indicare i dati personali relativi alla diagnosi accertata in sede di visita medica.
Il legislatore italiano ha inoltre previsto una tutela maggiore per il trattamento dei dati dei soggetti affetti da infezione da HIV: in virtù del comma 4 dell’art. 5 dellalegge 5 giugno 1990 n. 135 ogni comunicazione inerente i risultati di accertamenti diagnostici (diretti o indiretti) per infezione da HIV può essere data esclusivamente alla persona cui tali esami sono riferiti, perciò al paziente e a nessun altro; inoltre, l’operatore sanitario o ogni altro soggetto che venga a conoscenza di un caso di AIDS o di infezione da HIV deve adottare ogni misura o accorgimento per la tutela dei diritto e della dignità del paziente.
In virtù delle citate norme l’ASP nel rilasciare alla casa circondariale il verbale certificativo del grave handicap della signora X avrebbe dovuto anonimizzare i dati relativi al suo stato di salute connessi con il virus dell’HIV: il comportamento corretto, in particolare, sarebbe stato quello di fornire alla casa circondariale la conferma della sussistenza o meno dell’handicap grave e della percentuale di invalidità, senza consegnare l’intera documentazione, comprensiva di diagnosi, anamnesi e esame obiettivo, come invece avvenuto in questo particolare e delicato caso.
La situazione viene ulteriormente aggravata dalle presunte giustificazioni fornite dall’ASP in sede di memorie difensive: l’azienda, infatti, si difende puntando il dito contro un errore commesso dall’operatore, che non avrebbe dovuto trasmettere con l’e-mail tutta la documentazione. In realtà, così facendo, l’ASP si è data la cosiddetta zappa sui piedi, poiché ha dimostrato al Garante di non aver correttamente formato il proprio personale in materia di privacy e di non aver preso tutte le misure possibili per evitare che l’operatore incorresse in un errore evitabile con l’ordinaria diligenza.
La sanzione del Garante verso l’ASP
Il Garante Privacy, a conclusione della vicenda, pur tenendo conto del fatto che l’ASP si è prontamente attivata per evitare in futuro errori del genere, ha emesso una ordinanza ingiunzione nei confronti dell’ASP con cui ritiene violati gli artt. 58 e 83 del GDPR, comminando una sanzione amministrativa pecuniaria di€ 24.000,00, con possibilità di effettuare il cosiddetto pagamento in misura ridotta, versando la metà dell’importo della sanzione (€12.000,00) nel termine di trenta giorni dall’emissione dell’ordinanza ingiunzione.
Un’adeguata politica privacy, completa di formazione del personale in materia, avrebbe sicuramente evitato all’ASP una multa così importante.