Pubblicato il

Violazione della privacy dei pazienti, quali rischi per i sanitari?

C’è ancora poca informazione negli operatori sanitari in merito alla normativa sulla privacy. Vediamo in questo articolo quando si parla di violazione della privacy dei pazienti e cosa si rischia in caso di violazioni accertate

 

Esistono regole molto rigide che disciplinano l’uso e il rilascio di informazioni riguardanti la salute dei pazienti da parte degli operatori sanitari. Il decreto legislativo 196/2003 è la normativa che in Italia si occupa della protezione dei dati personali, nota anche come “Codice della privacy”.[1] Il principio che impone il rispetto del trattamento dei dati è sancito anche a livello europeo, tanto che nel 2018 la normativa italiana ha dovuto adeguarsi al GDPR (General Data Protection Regulation), il nuovo Regolamento europeo che definisce nuovi principi in relazione alla tematica della privacy in sanità e nuovi standard riguardo al trattamento dei dati personali.[2]

Il Codice della privacy, aggiornato alla normativa europea considera la violazione dei dati un vero e proprio reato, punito sia dal punto di vista penale[3] che civile (risarcimento danni).[4]

Considerato che gli esercenti le professioni sanitarie e gli organismi sanitari pubblici trattano i dati personali idonei a rivelare lo stato di salute dei pazienti il Codice della privacy regolamenta, con una serie di disposizioni molto dettagliate, i diritti e la dignità personale dei pazienti, in particolare l’indebita conoscenza da parte di terzi di informazioni idonee a rivelare il loro stato di salute. Costituiscono «dati relativi alla salute quelli personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute».[5] Questi dati sono ricompresi nella più vasta categoria dei dati soggetti a trattamento speciale[6] in quanto in grado di rivelare dettagli molto intimi della persona, e per tale motivo maggiormente tutelati

Da tutto ciò consegue che tutti gli operatori sanitari, se a conoscenza di notizie riservate riguardanti una persona, hanno l’obbligo di non rivelarle, poiché andrebbero incontro ad una violazione della privacy dei pazienti. Il professionista dovrà infatti necessariamente venire a conoscenza, in virtù del proprio lavoro, di una serie di dati identificativi e clinici (es. anamnesi, stato di salute, farmaci assunti) e, d’altra parte, egli stesso, nel trattare il paziente, andrà a produrre una serie di dati relativi alla salute di quest’ultimo (es. lastre, referti, ecc.).

Il Regolamento europeo GDPR vieta anche espressamente di trattare, oltre i dati sullo stato di salute, i dati idonei a rilevare caratteristiche personali specifiche della persona come per esempio l’origine razziale o etnica, opinioni politiche, orientamento sessuale, convinzioni religiose, adesione a sindacati o partiti, nonché i dati genetici, biometrici intesi a identificare in modo univoco una persona fisica.[7] Questi sono infatti i dati più delicati, dai quali potrebbe derivare un danno dalla diffusione, per il soggetto interessato.

 

Rischi e sanzioni derivanti dal trattamento illecito dei dati sanitari

Molto spesso, in ambito sanitario capita che i dati di un paziente vengano forniti a terzi, come parenti, familiari, conviventi, etc. Questo, ad esempio, si verifica quando bisogna dare informazioni sullo stato di salute o sulle terapie da seguire. In questo caso, il paziente deve essere cosciente e aver acconsentito alla comunicazione. Naturalmente è un diritto del paziente decidere di non voler rendere noti a terzi le informazioni relative al proprio stato salute.

In caso di violazione della privacy dei pazienti sono previste sanzioni dal punto di vista penale, civile, disciplinare e, nel caso della struttura, anche amministrativo, molto pesanti.[8]

A fini preventivi il GDPR richiede che chiunque “abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso”.[9]

 

Sanzioni disciplinari

Eventuali casi di violazione della privacy dei pazienti sono sanzionati anche dal codice deontologico medico e infermieristico. Il Codice di deontologia medica, in particolare, prevede tra gli Obblighi peculiari del medico la tutela «della riservatezza dei dati personali e della documentazione in suo possesso riguardante le persone anche se affidata a codici o sistemi informatici» (art. 10). Analoga disposizione è contenuta nel nuovo Codice deontologico dell’Infermiere, del 2019 (art. 19).

 

Sanzioni penali

IL GDPR dispone che il professionista sanitario possa trattare i dati inerenti l’erogazione delle prestazioni sanitarie senza il consenso del paziente in quanto soggetto già tenuto al Segreto professionale,[10] motivo per il quale la violazione in tali casi acquista ancora più forza e gravità (attenzione a non confondere il consenso al trattamento dei dati con il “consenso informato”). La violazione del Segreto professionale, di cui all’art. 622 del codice penale, riguarda non solo i professionisti già dipendenti della struttura ma anche di coloro che in virtù del loro stato vengano a conoscenza di determinate informazioni, per esempio gli studenti medici o gli allievi infermieri.[11]

Anche per l’azienda si può configurare una responsabilità penale, per esempio, in caso di trattamento illecito dei dati personali[12] [13]

 

Risarcimento danni al paziente

Il GDPR,  il Regolamento europeo sulla privacy, distingue due figure: il “Titolare” del trattamento dei dati personali (in ambito sanitario ravvisabile nella figura del Direttore Generale dell’Azienda sanitaria) e il “Responsabile” cioè colui che è preposto dal titolare al trattamento dei dati (solitamente individuato nella figura del Direttore Sanitario). Sia i Titolari che i Responsabili sono tenuti a risarcire i diretti interessati per eventuali danni a loro cagionati per inosservanza del Regolamento GDPR.[14] 

Il GDPR fa riferimento anche a “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile”. Sono coloro che in concreto utilizzano i dati personali, in ambito ospedaliero ravvisabili nella figura dell’infermiere, del medico o degli altri esercenti una professione sanitaria (farmacisti, odontoiatri, veterinari, psicologi, ostetriche, professionisti della riabilitazione, optometristi, ecc.). Anche queste figure, naturalmente, possono essere chiamati a rispondere di eventuali danni  ma solo nei casi di grave negligenza o imprudenza.

Di seguito alcuni esempi in cui la violazione della privacy dei pazienti ha dato luogo a responsabilità per gli operatori sanitari o le strutture sanitarie.

– Una Coordinatrice infermieristica è stata condannata al risarcimento dei danni (7500 euro) per aver rivelato ai parenti lo stato di tossicodipendenza di una degente ricoverata in un reparto di ostetricia.[15] La condotta, che già di per se integra la violazione della privacy dei pazienti, è ancora più grave considerando che la paziente aveva espressamente richiesto al personale del reparto di non rivelare ai familiari il suo stato di tossicodipendenza, come emerso dalla cartella infermieristica prodotta agli atti.

– Un altro di violazione della privacy è derivata dall’aver spedito una relazione medica contenente notizie circa lo stato di salute e la vita sessuale di una coppia a un indirizzo errato.[16]

– In un altro caso un’infermiera ha tentato di contattare la paziente non tramite cellulare bensì chiamando il numero di casa, interloquendo cosi con il marito della stessa.[17] Per il Garante della Privacy la condotta dell’infermiera ha comportato, nell’utilizzo di un numero telefonico diverso rispetto a quello indicato dalla paziente per eventuali contatti, l’esplicita correlazione, da parte di un terzo non legittimato (cioè il marito), tra l’interessata ed un determinato reparto di degenza indicativo di uno specifico trattamento, nella fattispecie l’interruzione volontaria di gravidanza.

– Una sanzione ha riguardato un chirurgo il quale accludeva l’elenco degli interventi chirurgici da lui effettuati in carriera alla domanda di partecipazione a un avviso pubblico per l’affidamento dell’incarico di direzione di struttura complessa, con tanto di nome, cognome, reparto di ricovero, data e tipologia di intervento effettuato su ogni paziente.[18]

– Il Garante ha sanzionato per 16.000 euro per illecito trattamento di dati un medico che aveva utilizzato gli indirizzi di ex pazienti per inviare lettere a sostengo di un candidato alle elezioni politiche regionali, senza che gli interessati avessero espresso alcun specifico consenso al riguardo.

– Un altro caso di violazione della privacy dei pazienti ha riguardato un medico che nel corso di un congresso ha proiettato alcune diapositive relative a un caso clinico da lui trattato riportando i dati del paziente, ed in particolare: le iniziali, l’età, il sesso, l’anamnesi della patologia, alcuni dettagli sui ricoveri e sugli interventi chirurgici, ed altro ancora. Tutto ciò ha reso identificabile il paziente il quale era completamente ignaro dell’utilizzo dei suoi dati.[19]

Sulla base delle considerazioni formulate si comprende quanto sia importante per la struttura sanitaria formare ed aggiornare il personale; monitorare e vigilare sulla loro attività; predisporre delle procedure interne e delle misure di sicurezza adeguate. Allo stesso tempo è importante che l’operatore sanitario mantenga la riservatezza sui dati di cui si venga a conoscenza in virtù dell’attività svolta, senza divulgarli a terzi al di fuori dei casi strettamente inerenti la cura e l’assistenza ai pazienti.

 

 

In un altro articolo abbiamo parlato degli aspetti relativi alla privacy in caso di chiamata al servizio di emergenza (link).

Siamo anche su Facebook (qui). Puoi condividere il presente articolo attraverso i pulsanti che trovi in basso.

 

BIBLIOGRAFIA

[1] D.Lgs. 30 giugno 2003, n. 196 “Codice in materia di Protezione dei Dati Personali” (c.d. “Codice della privacy”)

[2] D.Lgs. 10 agosto 2018, n. 101 “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati  personali,  nonchè  alla  libera  circolazione  di  tali  dati  e  che  abroga  la direttiva  95/46/CE  (regolamento  generale  sulla  protezione  dei  dati)

[3] D.Lgs. 30 giugno 2003, n. 196, integrato con le modifiche introdotte dal D.Lgs. 10 agosto 2018, n. 101. Capo II (Illeciti penali). Artt. da 167 a 172

[4] Regolamento (UE) 2016/679 “GDPR General Data Protection Regulation” (Regolamento europeo sulla privacy). Art. 82

[5] Regolamento (UE) 2016/679 “GDPR General Data Protection Regulation” (Regolamento europeo sulla privacy). Art. 4

[6] Regolamento (UE) 2016/679 “GDPR General Data Protection Regulation” (Regolamento europeo sulla privacy). Art. 9

[7] Regolamento (UE) 2016/679 “GDPR General Data Protection Regulation” (Regolamento europeo sulla privacy). Art. 9

[8] Regolamento (UE) 2016/679 “GDPR General Data Protection Regulation” (Regolamento europeo sulla privacy). Art. 83

[9] Regolamento (UE) 2016/679 “GDPR General Data Protection Regulation” (Regolamento europeo sulla privacy). Art. 32

[10] Regolamento (UE) 2016/679 “GDPR General Data Protection Regulation” (Regolamento europeo sulla privacy). Art. 9.3

[11] Benci L. “Aspetti giuridici della professione infermieristica”. Mc Graw Hill, 2011, pag. 136

[12] D.Lgs. 10 agosto 2018, n. 101. Art. 15

[13] Regolamento (UE) 2016/679 “GDPR General Data Protection Regulation” (Regolamento europeo sulla privacy). Art. 149

[14] Regolamento (UE) 2016/679 “GDPR General Data Protection Regulation” (Regolamento europeo sulla privacy). Art. 82

[15] Tribunale di Pordenone, sentenza 16 aprile 2010

[16] Zeppilli V. “Responsabilità medica e privacy“. Articolo pubblicato online sul sito StudioCataldi il 24 febbraio 2021 (link)

[17] Ibidem

[18] Doc. web n. 9583597, provvedimento del Garante della privacy dell’11 marzo 2021

[19] Rabita G.L. e Pedicone A. “Privacy: quando è il dipendente a rispondere delle violazioni”. Articolo pubblicato online sul sito StudioCataldi il 29 giugno 2022

 

Creative Commons License