Nel 1995 una mamma perde la propria figlia: un genitore non dovrebbe mai sopravvivere a un figlio, si tratta del dolore più grande, indescrivibile, a causa del quale ogni giorno diventa un calvario in cui ci si chiede costantemente il perché di questa perdita. La stessa mamma, quindici anni dopo la morte della propria figlia, riceve da parte dell’ASL di Rieti un invito, rivolto appunto a sua figlia, a partecipare al programma di screening del tumore del collo dell’utero. Immaginate la rabbia di questa mamma, che già vive da quindici anni un calvario, e adesso si sente quasi prendere in giro dall’ASL, che chiede a sua figlia, morta, di curare la sua salute e sottoporsi a uno screening per i tumori. La mamma, furiosa, sporge reclamo al Garante della Privacy, chiedendo il perché l’ASL avesse i dati di sua figlia, nonostante la stessa non ci fosse più da quindici lunghi anni.
La difesa dell’ASL di Rieti
L’ASL di Rieti, nel difendersi, spiega al Garante che la Regione Lazio, con una delibera del 2014, ha istituito il Sistema Informativo dei Programmi di screening oncologici (SIPSOweb): si tratta di una piattaforma web che la regione ha messo a disposizione di tutte le strutture che si occupano di screening oncologici, per gestire e monitorare i percorsi organizzati dei singoli pazienti. L’ASL di Rieti spiega inoltre che la piattaforma SIPSOweb è alimentata da un database contenente tutti i dati necessari per generare, in automatico, gli inviti allo screening oncologico; tale database è di esclusiva titolarità della Regione Lazio, che lo gestisce – a livello tecnico – tramite una propria società in house, la LazioCREA S.p.A. Né l’ASL di Rieti, né le altre ASL del Lazio hanno la possibilità di modificare questo database, che possono solamente consultare.
L’ASL di Rieti comunica inoltre al Garante che accedendo alla piattaforma SIPSOweb i dati della ragazza deceduta nel 1995 risultano regolarmente inseriti ed aggiornati di recente. L’ASL di Rieti, con la sua difesa, si libera da ogni responsabilità e “passa la palla” alla Regione Lazio, che dovrà spiegare al Garante il motivo per cui i dati di questa ragazza fossero in loro possesso, nonostante sia morta quindici anni fa.
La difesa della Regione Lazio
La Regione Lazio pone alla base della sua difesa una pluralità di motivazioni, per cercare di convincere il Garante Privacy della correttezza e liceità del suo operato. Anzitutto, la Regione spiega di avere istituito, con una determina del marzo 2014, il Sistema Informativo Unico Regionale degli Screening Oncologici per i tumori della mammella, della cervice uterina e del colon retto, all’interno del quale sono stati fatti confluire tutti i precedenti sistemi di screening per questo tipo di patologia; il sistema informativo, in virtù di questa delibera, è gestito in maniera unitaria tramite il software SIPSOweb, creato da Laziosalute-ASP e mantenuto nel tempo da LAZIOCrea S.p.a., entrambe società partecipate della Regione.
Il Sistema Informativo Unico non gestisce solo i dati personali dei pazienti, ma anche quelli sanitari: attraverso il Sistema è infatti possibile svolgere vari trattamenti, tra cui la gestione dei referti delle visite realizzate per finalità di screening, nonché l’assolvimento degli obblighi informativi verso il Ministero della Salute, attraverso l’Osservatorio Nazionale Screening.
Responsabile del trattamento dei dati personali del Sistema Informativo Unico degli screening oncologici è, appunto, la società in-house LAZIOCrea S.p.A., mentre la Regione Lazio è il titolare del trattamento dei dati personali. Le ASL sono autorizzate da LAZIOCrea (responsabile del trattamento) all’accesso ai dati solo ed esclusivamente per visualizzarli al fine di individuare i soggetti cui trasmettere gli inviti allo screening oncologico.
Per la Regione Lazio il trattamento dei dati contenuti all’interno del Sistema Informativo è pienamente lecito, poiché necessario per eseguire un compito di interesse pubblico (la tutela della salute): perciò, la base giuridica è individuabile nell’articolo 6 paragrafo 1 lettera e) del GDPR, oltre che nell’art. 2 ter comma 1 bis del d.lgs. n. 196/2003. Nello specifico, per la Regione le finalità del trattamento sono:
- individuazione, selezione, invito rispetto alla popolazione di riferimento del programma di prevenzione;
- diagnosi e cura nell’ambito di percorsi diagnostico-terapeutici che prevedono accettazione dell’utenza, raccolta dell’anamnesi personale e familiare, richiamo per ulteriori accertamenti diagnostici, prenotazione di visite ed esami, refertazione, invio esiti delle procedure diagnostiche, richiamo per analisi di follow up.
La Regione, nel difendersi, spiega che i dati della ragazza deceduta nel 1995 è frutto di un errore di sincronizzazione automatizzata – sincrona e asincrona – delle anagrafiche importate nel Sistema Informativo Unico; nello specifico, la Regione precisa di aver riscontrato uno 0,3% di errori di questo tipo, che, pur essendo sfuggiti al doppio controllo iniziale sincrono e asincrono, possono essere corretti mediante intervento manuale dell’operatore. In parole povere, la Regione dice che i dati non dovevano essere inseriti nel sistema!
La Regione si lamenta, inoltre, della condotta della mamma della povera ragazza, che avrebbe potuto evitare di rivolgersi al Garante attivando la procedura di rettifica dei dati per come indicata nell’invito allo screening indirizzato a sua figlia. La Regione conclude la sua difesa spiegando che, dopo aver ricevuto dal Garante l’invito a difendersi in questo procedimento, ha immediatamente emesso una determina – nel marzo 2022 – per “ricondurre il trattamento dei dati personali all’interno del perimetro normativo”, ammettendo, implicitamente, di aver violato la legge.
Le norme violate
L’art. 4 del GDPR fornisce la definizione specifica sia di dato personale che di dato sanitario:
- è dato personale qualsiasi informazione riguardante una persona fisica identificata o identificabile;
- sono dati relativi alla salute i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute.
Alla luce di queste semplici definizioni, è facile comprendere come i dati di cui è titolare la Regione Lazio, trattati dalla LAZIOCrea S.p.A. attraverso il sistema SIPSOweb, sono senza dubbio dati relativi alla salute, trattandosi, per stessa ammissione della Regione Lazio, di dati che:
– indicano prestazioni sanitarie erogate nei confronti di specifici soggetti,
– sono relativi alla raccolta dell’anamnesi personale e familiare dei pazienti,
– fungono da richiamo per ulteriori accertamenti diagnostici, nonché per prenotazioni di visite ed esami, per la refertazione, l’invio degli esiti delle procedure diagnostiche e il richiamo per analisi di follow up.
I dati personali, in virtù dell’art. 5 del GDPR, sono soggetti al rispetto di una serie di principi molto rigidi:
- liceità, correttezza e trasparenza – i dati devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato (in questo caso, il paziente);
- limitazione della finalità – i dati devono essere raccolti e trattati solo per finalità determinate, esplicite e legittime;
- minimizzazione dei dati – i dati devono essere adeguati, pertinenti e limitati a quando necessario rispetto alle finalità per cui sono trattati;
- esattezza – i dati devono essere esatti, ed aggiornati se e quando necessario;
- limitazione della conservazione – i dati devono essere conservati per un tempo non superiore a quello necessario per le finalità del loro trattamento;
- integrità e riservatezza – i dati devono essere trattati in maniera sicura e protetti tramite misure tecniche e organizzative adeguata, in modo che non vadano persi o che siano visibili a soggetti non autorizzati;
- responsabilizzazione – il rispetto di questi principi grava sul titolare del trattamento dei dati personali.
Nel caso di specie, è evidente che la Regione Lazio ha effettuato un trattamento dati non conforme ai suddetti principi, in violazione, anzitutto, del principio di esattezza, poiché i dati della ragazza scomparsa nel 1995 erano appunto inesatti, facendo credere che la stessa fosse ancora in vita. È bene rilevare che in maniera costante il Garante si è espresso nel senso di estendere anche ai dati dei defunti le tutele previste dalla normativa in materia di protezione dei dati personali.
La norma posta alla base del trattamento dei dati personali, secondo la difesa della Regione, è l’articolo 5 paragrafo 1 lettera e) del GDPR, vale a dire la tutela di un interesse pubblico, nello specifico della salute. In realtà, trattandosi di dati inerenti alla salute, la corretta base giuridica è quella dell’articolo 9 paragrafo 2 lettera g) del GDPR, inerente allo specifico trattamento di particolari categorie di dati personali, quali appunto quelli sanitari. Il GDPR ritiene che il trattamento di questi dati debba essere fondato su motivi di interesse pubblico che siano rilevanti sulla base delle norme vigenti, che siano inoltre proporzionali alle finalità perseguite e che siano oggetto di appropriate e specifiche misure di tutela dei diritti e degli interessi dell’interessato (il paziente), nel rispetto della normativa privacy.
Errato, inoltre, è il rilievo della Regione Lazio alla possibilità, per la madre della ragazza defunta, di esercitare i diritti relativi al trattamento dei dati sulla base dell’informativa contenuta nell’invito allo screening indirizzato alla figlia: il Garante, esaminando questa lettera, l’ha ritenuta non conforme alla legge poiché generica e priva di qualsiasi riferimento al trattamento dei dati personali. La lettera, infatti, contiene solo la generica frase di stile “I suoi dati personali sono trattati secondo la normativa vigente”.
Infine, la determina che la Regione Lazio ha adottato nel marzo 2022 per “mettere una pezza” alle molteplici e macroscopiche violazioni emerse a seguito della segnalazione della madre della ragazza defunta, contiene una serie di informazioni errate circa i diritti dell’interessato, i diritti di cancellazione dei dati, i diritti all’opposizione al trattamento dei dati e la base giuridica del trattamento dei dati. Probabilmente, si è trattato di un documento non redatto da un professionista del settore o – peggio ancora – frutto di un pessimo “copia e incolla” di atti generici presenti sul web.
Il provvedimento del Garante
Il Garante Privacy, con il provvedimento adottato nei confronti della Regione Lazio, applica – correttamente, data la natura dei dati trattati – delle sanzioni molto pesanti:
- entro 90 giorni dalla notifica dell’ordinanza-ingiunzione, la Regione Lazio dovrà identificare in maniera corretta e conforme al GDPR i ruoli, le finalità e le basi giuridiche del trattamento dei dati personali, correggendo anche la delibera del marzo 2022,
- nello stesso termine, la Regione Lazio dovrà modificare e integrare tutte le informazioni da rendere agli interessati coinvolti nelle campagne di screening regionali,
- entro 20 giorni dalla scadenza del suddetto termine, la Regione Lazio dovrà informare il Garante circa le iniziative intraprese, pena l’applicazione di una sanzione amministrativa pecuniaria,
- entro 30 giorni dalla notifica dell’ordinanza, la Regione Lazio dovrà pagare, a titolo di sanzione amministrativa pecuniaria per le violazioni commesse, la somma di 100.000 euro.
È stata disposta, inoltre, la pubblicazione per esteso del provvedimento adottato nei confronti della Regione Lazio sul sito web del Garante. In conclusione, il mancato rispetto della normativa privacy in materia sanitaria può davvero costare carissimo.