Vediamo in questo articolo quando si parla di violazione della privacy dei pazienti e cosa rischiano gli operatori sanitari in tali casi
Esistono regole molto rigide che disciplinano l’uso e il rilascio di informazioni riguardanti la salute dei pazienti da parte degli operatori sanitari. Il decreto legislativo 196/2003 è la normativa italiana che si occupa della protezione dei dati personali, nota anche come “Codice della privacy”.[1] Nel 2018 la normativa italiana ha recepito il Regolamento europeo “General Data Protection Regulation” (GDPR), che definisce i principi base in materia di privacy in sanità e gli standard riguardo al trattamento dei dati personali.[2] Sarà bene memorizzare questa sigla, GDPR perchè la troveremo spesso nel proseguo dell’articolo.
Ma cosa si intende per privacy? Per privacy si intende il diritto alla riservatezza delle informazioni personali e della vita privata di una persona. La violazione della privacy si configura nel nel momento in cui si utilizzano in modo illecito (quindi senza il consenso dell’avente diritto) i suoi dati personali. Il Codice della privacy, aggiornato al Regolamento europeo GDPR, considera la violazione dei dati un reato serio, punito non solo dal punto di vista amministrativo ma anche penale[3] e civile, cioè del risarcimento dei danni.[4]
Considerato che gli esercenti le professioni sanitarie e le strutture sanitarie trattano dati personali idonei a rivelare lo stato di salute dei pazienti il Codice della privacy regolamenta, con una serie di disposizioni molto precise, i diritti e la dignità personale dei pazienti, in particolare l’indebita conoscenza da parte di terzi di informazioni idonee a rivelare il loro stato di salute. Per il GDPR costituiscono «dati relativi alla salute quelli personali attinenti alla salute fisica o mentale di una persona, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute».[5] I dati sullo stato di salute sono ricompresi nella più vasta categoria dei “dati soggetti a trattamento speciale”[6] in quanto in grado di rivelare dettagli molto intimi della persona, e per tale motivo maggiormente tutelati.
Il Regolamento europeo GDPR tutela la dignità della persona in tutti i suoi aspetti. Vieta espressamente di trattare i dati idonei a rilevare caratteristiche personali specifiche della persona come, per esempio, origine razziale o etnica, opinioni politiche, orientamento sessuale, convinzioni religiose, adesione a sindacati o partiti, nonché i dati genetici, biometrici intesi a identificare in modo univoco una persona fisica.[7] Questi sono infatti i dati più delicati, dai quali potrebbe più facilmente derivare un danno dalla loro eventuale diffusione, per il soggetto interessato. Da tutto ciò consegue che tutti gli operatori sanitari, se a conoscenza di notizie riservate riguardanti una persona, non solo quindi quelle sulla salute, hanno l’obbligo di non rivelarle, poiché andrebbero incontro ad una violazione della privacy dei pazienti.
Ha avuto modi precisare la Cassazione in una recente sentenza che “il fatto stesso di comunicare l’esigenza di un trattamento sanitario e, quindi, l’esistenza di una “malattia” in senso lato, intesa dunque come situazione che renda necessario un trattamento sanitario, attiene a dato sulla salute: non occorre cioè, a tal fine, che sia specificato di quale trattamento o di quale malattia si tratti” (Cassazione, ordinanza n. 28417 dell’11.10.2023). Quindi, in sostanza, la violazione si concretizza anche in presenza di un generico riferimento ad un trattamento sanitario, senza specificare quale esso sia.
Trattamento illecito dei dati: quali sanzioni?
Molto spesso, in ambito sanitario capita che i dati di un paziente vengano forniti a terzi, come parenti, familiari, conviventi, etc. Questo si verifica soprattutto quando bisogna dare informazioni sullo stato di salute o sulle terapie da seguire. In questo caso, il paziente deve aver acconsentito preventivamente a tali comunicazioni, perchè è un diritto del paziente decidere di non voler rendere noti a terzi le informazioni relative al proprio stato salute. A fini preventivi il GDPR richiede che chiunque “abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso”.[8]
In caso di violazione della privacy dei pazienti sono previste sanzioni dal punto di vista penale, civile, disciplinare e, nel caso della struttura sanitaria, anche amministrativo, molto pesanti.[9]. Vediamo di seguito, brevemente, le singole fattispecie.
Sanzioni disciplinari
Eventuali casi di violazione della privacy dei pazienti sono sanzionati dal codice deontologico sia medico che infermieristico. Il Codice di deontologia medica prevede tra gli obblighi peculiari del medico la tutela «della riservatezza dei dati personali e della documentazione in suo possesso riguardante le persone anche se affidata a codici o sistemi informatici» (art. 10). Analoghe misure sono contenute nel Codice deontologico dell’Infermiere (art. 19).
Sanzioni penali
IL GDPR dispone che il professionista sanitario possa trattare i dati inerenti l’erogazione delle prestazioni sanitarie senza il consenso del paziente in quanto soggetto già tenuto alla riservatezza e al segreto professionale,[10] motivo per il quale una eventuale violazione acquista ancora più forza e gravità (attenzione a non confondere il consenso al trattamento dei dati personali con il “consenso informato” che è un consenso al trattamento sanitario e per il quale è necessario firmare un apposito modulo). La violazione del “Segreto professionale”, di cui all’art. 622 del codice penale, riguarda non solo i professionisti dipendenti della struttura sanitaria ma anche coloro che in virtù del loro stato non sono ancora strutturati, per esempio gli studenti medici, gli studenti infermieri e gli specializzandi.[11] Anche per l’azienda si può configurare una responsabilità penale, per esempio, in caso di trattamento illecito dei dati personali.[12] mentre è previsto l’arresto fino a 2 anni o l’ammenda da 10.000 a 50.000 euro nel caso in cui non vengano messe in atto adeguate misure di sicurezza per la protezione della privacy.[13]
Risarcimento danni al paziente (responsabilità civile)
Nel caso in cui il paziente subisca un danno relativo al trattamento illecito dei propri dati personali, anche qualora il fatto non sia di particolare gravità, ha diritto ad un equo risarcimento. Sono tenuti a risarcire, in questo caso, per inosservanza del Regolamento europeo GDPR, le seguenti figure:[14]
- a) il Titolare del trattamento dei dati personali (ravvisabile in un’azienda sanitaria nella figura del Direttore Generale);
- b) il Responsabile, cioè colui che è delegato dal titolare al trattamento dei dati (ravvisabile nella figura del Direttore Sanitario o del Direttore di Unità Operativa “ex primario”);
- c) gli Incaricati cioè le “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile”. Si tratta, in questo caso, di tutti coloro che utilizzano i dati personali dei pazienti nello svolgimento dell’attività lavorativa (l’infermiere, il medico, farmacisti, odontoiatri, veterinari, psicologi, ostetriche, ecc.). Tutte queste figure, come quelle apicali, sono chiamate a rispondere di eventuali danni, soprattutto nei casi di grave negligenza o imprudenza.
Facciamo di seguito alcuni esempi in cui la violazione della privacy dei pazienti ha dato luogo a responsabilità civile, quindi ad un risarcimento danni, per gli operatori sanitari o le strutture sanitarie interessate:
– Una Coordinatrice infermieristica (ex “Caposala”) è stata condannata al risarcimento dei danni (7500 euro) per aver rivelato ai parenti di una degente lo stato di tossicodipendenza della stessa.[15] La condotta, che già di per se integrava la violazione della privacy dei pazienti, è ancora più grave considerando che la paziente aveva espressamente richiesto a tutto il personale del reparto di non rivelare ai familiari il suo stato, come emerso dalla cartella infermieristica prodotta agli atti.
– Un altro caso di violazione della privacy è derivata dall’aver spedito una relazione medica contenente notizie circa lo stato di salute e la vita sessuale di una coppia a un indirizzo errato.[16]
– In un altro caso un’infermiera ha tentato di contattare la paziente non tramite cellulare bensì chiamando il numero di casa, interloquendo cosi con il marito della stessa, che era all’oscuro dello stato di salute della consorte.[17] Per il Garante della Privacy la condotta dell’infermiera ha comportato, nell’utilizzo di un numero telefonico diverso da quello indicato dalla paziente per eventuali contatti, la conoscenza indesiderata, da parte di un terzo non legittimato, in questo caso il marito, del motivo del ricovero della paziente, nella fattispecie l’interruzione volontaria di gravidanza.
– Una sanzione ha riguardato un chirurgo il quale accludeva l’elenco degli interventi chirurgici da lui effettuati in carriera alla domanda di partecipazione a un avviso pubblico per l’affidamento dell’incarico di direzione di struttura complessa, con tanto di nome, cognome, reparto di ricovero, data e tipologia di intervento per ogni paziente.[18]
– Il Garante ha sanzionato per 16.000 euro per illecito trattamento di dati un medico per aver utilizzato gli indirizzi di ex pazienti per inviare lettere a sostengo di un candidato alle elezioni politiche regionali, senza che gli interessati avessero espresso alcuno specifico consenso al riguardo.
– Un altro caso di violazione della privacy dei pazienti ha riguardato un medico che nel corso di un congresso proiettava alcune diapositive relative a un caso clinico da lui trattato riportando i dati del paziente, l’anamnesi della patologia, alcuni dettagli sui ricoveri e sugli interventi chirurgici, ed altro ancora. Tutto ciò ha reso identificabile il paziente il quale era completamente all’oscuro dell’utilizzo illecito dei suoi dati.[19]
Sulla base di tali considerazioni si comprende quanto sia importante per la struttura sanitaria formare il proprio personale al rispetto della privacy dei pazienti, cosi come predisporre idonee procedure interne e misure di sicurezza adeguate. Allo stesso tempo è importante che l’operatore sanitario mantenga la riservatezza sui dati di cui sia venuto a conoscenza in virtù della propria attività, senza divulgarli a terzi al di fuori dei casi strettamente inerenti le cure e l’assistenza.
In un altro articolo abbiamo parlato degli aspetti relativi alla privacy in caso di chiamata al servizio di emergenza 118 (link).
Siamo anche su Facebook (qui). Puoi condividere il presente articolo attraverso i pulsanti che trovi in basso.
BIBLIOGRAFIA
[1] D.Lgs. 30 giugno 2003, n. 196 “Codice in materia di Protezione dei Dati Personali” (c.d. “Codice della privacy”)
[2] D.Lgs. 10 agosto 2018, n. 101 “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonchè alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”
[3] D.Lgs. 30 giugno 2003, n. 196, integrato con le modifiche introdotte dal D.Lgs. 10 agosto 2018, n. 101. Capo II (Illeciti penali). Artt. da 167 a 172
[4] Regolamento (UE) 2016/679 “GDPR General Data Protection Regulation” (Regolamento europeo sulla privacy). Art. 82
[5] Regolamento (UE) 2016/679 “GDPR General Data Protection Regulation” (Regolamento europeo sulla privacy). Art. 4
[6] Regolamento (UE) 2016/679 “GDPR General Data Protection Regulation” (Regolamento europeo sulla privacy). Art. 9
[7] Regolamento (UE) 2016/679 “GDPR General Data Protection Regulation” (Regolamento europeo sulla privacy). Art. 9
[8] Regolamento (UE) 2016/679 “GDPR General Data Protection Regulation” (Regolamento europeo sulla privacy). Art. 83
[9] Regolamento (UE) 2016/679 “GDPR General Data Protection Regulation” (Regolamento europeo sulla privacy). Art. 32
[10] Regolamento (UE) 2016/679 “GDPR General Data Protection Regulation” (Regolamento europeo sulla privacy). Art. 9.3
[11] Benci L. “Aspetti giuridici della professione infermieristica”. Mc Graw Hill, 2011, pag. 136
[12] D.Lgs. 10 agosto 2018, n. 101. Art. 15
[13] Codice per la privacy, Titolo III, articoli 161 e seguenti
[14] Regolamento (UE) 2016/679 “GDPR General Data Protection Regulation” (Regolamento europeo sulla privacy). Art. 82
[15] Tribunale di Pordenone, sentenza 16 aprile 2010
[16] Zeppilli V. “Responsabilità medica e privacy“. Articolo pubblicato online sul sito di informazione giuridica StudioCataldi il 24 febbraio 2021 (link)
[17] Ibidem
[18] Doc. web n. 9583597, provvedimento del Garante della privacy dell’11 marzo 2021
[19] Rabita G.L., Pedicone A. “Privacy: quando è il dipendente a rispondere delle violazioni”. Articolo pubblicato online sul sito di informazione giuridica StudioCataldi il 29 giugno 2022