I signori A. e B. si sottopongono a delle sedute di coppia di psicoterapia davanti al dottor C., effettuando in totale tre incontri; durante i primi due incontri i coniugi e il dottor C. hanno verificato reciprocamente la bontà del percorso intrapreso, mentre al terzo incontro ha avuto inizio la vera e propria terapia di coppia.
Tutti e tre gli incontri sono stati videoregistrati dal dottor C., il quale, tuttavia, solo al terzo e ultimo incontro ha consegnato ai coniugi un’informativa da sottoscrivere per l’autorizzazione al trattamento dei dati sanitari e personali contenuti nelle videoriprese, contenente anche l’indicazione di come sarebbero stati custoditi tali file e per quanto tempo sarebbero stati conservati (6 mesi dopo la fine del percorso terapeutico).
Il signor A., avvocato con evidenti conoscenze in materia privacy, non ritiene conforme al Regolamento Europeo sui Dati Personali (GDPR) il comportamento del dottor C., pertanto avvia contemporaneamente un doppio iter:
- formalizza al dottor C., per iscritto, una richiesta di esercizio del diritto di accesso dell’interessato ai sensi dell’art. 15 del GDPR,
- segnala il comportamento del dottor C. tramite un reclamo al Garante Privacy, il quale avvia un’istruttoria.
Il dottor C. non riscontra né la richiesta del signor A. né quella del Garante Privacy, che si trova costretto a rinotificare nei suoi confronti la richiesta di informazioni sula fattispecie denunciata dal signor A.: solo all’esito di questo secondo sollecito il dottor C. comprende la gravità della situazione e si difende innanzi al Garante, rappresentando che “oggi” i suoi pazienti ricevono documentazione chiara e specifica sul trattamento dei dati e sulle eventuali registrazioni, già prima di entrare in studio, direttamente in sala d’attesa.
Il dottor C. ammetteva di non aver fatto firmare alcuna informativa e/o consenso ai coniugi A. e B., ritenendo sufficiente la descrizione verbale loro fornita e l’autorizzazione verbale ricevuta dagli stessi, e rilevava di aver posto rimedio alle violazioni commesse predisponendo presso il proprio studio modulistica adeguata al trattamento dei dati personali e sanitari, ritenendo di aver commesso nei confronti dei coniugi una “leggerezza”, frutto “della fiducia riposta nei clienti e nella ricerca di un servizio il più sensibile possibile alle loro esigenze di ascolto e di accoglienza e da ritenersi” a suo modo di vedere “assolutamente in buona fede”.
La normativa violata
Sappiamo bene che per dato personale si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile, mentre per dati relativi alla salute si intendono i dati personali attinenti alla salute - fisica o mentale - di una persona, compresa la prestazione di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute.
I dati personali sono dei dati che, secondo il GDPR (Regolamento Europeo per la Privacy), meritano una protezione maggiore rispetto agli altri, perché se resi noti a soggetti non autorizzati potrebbero creare dei rischi per i diritti e le libertà fondamentali degli individui: ad esempio, un cittadino potrebbe avere problemi a chiedere un prestito in banca in relazione ai suoi problemi di salute, poiché l’istituto bancario potrebbe profilarlo come persona a rischio, in base alle patologie che lo affliggono.
Il soggetto i cui dati personali vengono trattati si definisce, in gergo tecnico, interessato.
Il GDPR fissa i principi generali in materia di dati personali, che devono essere:
- trattati in modo lecito, corretto e trasparente nei confronti dell’interessato, in virtù del principio di liceità, correttezza e trasparenza,
- raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo compatibile con tali finalità, in ottemperanza al principio della limitazione della finalità,
- adeguati, pertinenti e limitati a quanto necessario alle finalità per cui sono trattati, in virtù del principio della minimizzazione dei dati,
- esatti e, se necessario, aggiornati, adottando a tal fine tutte le misure ragionevoli per cancellare o rettificare con tempestività i dati inesatti rispetto alle finalità per le quali sono trattati, nel rispetto del principio di esattezza,
- conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati, ai sensi del principio della limitazione della conservazione,
- trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, distruzione o dal danno accidentali, secondo il principio di integrità e riservatezza,
- gestiti sotto la responsabilità del titolare del trattamento dei dati personali, in virtù del principio di responsabilizzazione.
L’interessato ha il diritto di ottenere dal titolare del trattamento dei dati personali (cioè dal soggetto che li acquisisce e li tratta) le seguenti informazioni:
- la conferma dell’esistenza o meno di un trattamento dei dati personali che lo riguardano,
- in caso affermativo, l’accesso ai propri dati personali e l’accesso a tutte le seguenti informazioni:
- finalità di trattamento,
- categorie di dati personali trattati (ad esempio dati sanitari),
- i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, e l’eventuale loro appartenenza a paesi terzi (extra UE) o organizzazioni internazionali,
- quando possibile, il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo,
- l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali, la limitazione del loro trattamento o addirittura l’opposizione al loro trattamento,
- il diritto di proporre reclamo a un’autorità di controllo (il Garante Privacy),
- qualora i dati non siano stati raccolti presso l’interessato, ma siano stati forniti da altri soggetti, tutte le informazioni disponibili sulla loro origine,
- l’esistenza di un eventuale processo decisionale automatizzato, compresa la profilazione, e in tali casi le informazioni significative sulla logica utilizzata, sull’importanza e le conseguenze previste di tale trattamento dati per l’interessato.
Se i dati personali sono trasferiti in un paese extra UE o a un’organizzazione internazionale, considerato che al di fuori dell’Unione non sempre i dati personali sono tutelati in maniera adeguata, l’interessato ha il diritto di essere informato sull’esistenza di adeguate garanzie a tutela dei dati trasferiti.
Il titolare del trattamento dati è obbligato a fornire una copia dei dati personali oggetto di trattamento, anche chiedendo un ragionevole contributo spese basato sui costi amministrativi da sostenere.
Se l’interessato presenta la richiesta di copia dei dati personali mediante mezzi elettronici, salvo sua diversa indicazione le informazioni gli vengono fornite in un formato elettronico di uso comune, ad esempio rispondendo all’email o alla pec.
Il dottor C., esercente la professione sanitaria di psicologo, si è reso responsabile, mediante il comportamento, della violazione del principio di trasparenza e degli obblighi informativi nei confronti dell’interessato; egli avrebbe dovuto:
- informare i coniugi A. e B. di quali fossero le modalità di trattamento dei dati, nel caso di specie la videoripresa,
- informare i coniugi A. e B. su quale fosse la base giuridica legittimante il trattamento, costituita nel caso di specie dai motivi di diagnosi e cura,
- fornire ai coniugi A. e B. un’informativa scritta che li rendesse edotti circa tutte le informazioni riguardanti il trattamento dei dati personali e i loro diritti.
Inoltre, omettendo di riscontrare la richiesta di informazioni formulata dal signor A., il dottor C. ha violato l’articolo 15 del GDPR, che gli imponeva, quale titolare del trattamento dei dati dei coniugi A. e B., di fornire loro tutte le informazioni di cui avevano bisogno nonché le eventuali copie dei dati richieste.
Le sue giustificazioni, che parlano di una leggerezza e che raccontano di un professionista oggi attento alla privacy dei propri pazienti non giustificano le violazioni commesse nei confronti dei coniugi A. e B.,
Leggi anche
Come è andata a finire
Il Garante Privacy ha ritenuto di comminare una sanzione pecuniaria allo psicologo, unitamente alla sanzione accessoria della pubblicazione integrale sul sito del Garante Privacy del provvedimento ingiuntivo, senza che nome e cognome del medico venissero oscurati.
Quest’ultima sanzione, probabilmente, è molto più pesante di quella pecuniaria, perché incide negativamente sulla web reputation del professionista sanitario e rimarrà per sempre disponibile sul web: basta, infatti, digitare su Google nome+cognome dello psicologo unitamente alla parola privacy per risalire immediatamente (internet never forget).
La sanzione pecuniaria comminata dal Garante ammonta, in totale, a € 6.500,00, di cui:
a) € 6.000,00 per la mancata informativa sulle videoriprese delle sedute di coppia, ritenuto un comportamento di alta gravità,
b) € 500,00 per il mancato riscontro da parte dello psicologo a una richiesta di accesso ai dati personali formulata dall’interessato.
La conoscenza dei principi basilari in materia di trattamento dei dati personali e sanitari avrebbe garantito un risparmio economico e reputazionale allo psicologo.