Vediamo in questo articolo quando si parla di violazione della privacy dei pazienti e cosa rischiano gli operatori sanitari in caso di violazione
Esistono regole molto rigide che disciplinano l’uso e il rilascio di informazioni riguardanti la salute dei pazienti da parte degli operatori sanitari. Il decreto legislativo 196/2003 è la normativa che in Italia si occupa della protezione dei dati personali, nota anche come “Codice della privacy”.[1] Nel 2018 la normativa italiana ha dovuto adeguarsi al GDPR (iniziali per “General Data Protection Regulation”), il nuovo Regolamento europeo che definisce i principi base in relazione alla tematica della privacy in sanità e nuovi standard riguardo al trattamento dei dati personali.[2] Sarà bene memorizzare questa sigla perchè la utilizzeremo spesso nel proseguo dell’articolo.
Per privacy si intende il diritto alla riservatezza delle informazioni personali e della vita privata di qualunque individuo. La violazione della privacy, dunque, integra un reato che viene commesso nel momento in cui si utilizzano in modo illecito (senza il consenso dell’avente diritto) i suoi dati personali. Il Codice della privacy, aggiornato al Regolamento europeo GDPR considera la violazione dei dati un vero e proprio reato, punito sia dal punto di vista amministrativo ma anche penale[3] e civile (cioè del risarcimento dei danni).[4]
Considerato che gli esercenti le professioni sanitarie e gli organismi sanitari pubblici trattano dati personali idonei a rivelare lo stato di salute dei pazienti il Codice della privacy regolamenta, con una serie di disposizioni molto precise, i diritti e la dignità personale dei pazienti, in particolare l’indebita conoscenza da parte di terzi di informazioni idonee a rivelare il loro stato di salute. Per il GDPR costituiscono «dati relativi alla salute quelli personali attinenti alla salute fisica o mentale di una persona, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute».[5] I dati sullo stato di salute sono ricompresi nella più vasta categoria dei “dati soggetti a trattamento speciale”[6] in quanto in grado di rivelare dettagli molto intimi della persona, e per tale motivo maggiormente tutelati.
Il Regolamento europeo GDPR vieta espressamente di trattare i dati idonei a rilevare caratteristiche personali specifiche della persona come, per esempio: origine razziale o etnica, opinioni politiche, orientamento sessuale, convinzioni religiose, adesione a sindacati o partiti, nonché i dati genetici, biometrici intesi a identificare in modo univoco una persona fisica.[7] Questi sono infatti i dati più delicati, dai quali potrebbe più facilmente derivare un danno dalla loro eventuale diffusione, per il soggetto interessato. Da tutto ciò consegue che tutti gli operatori sanitari, se a conoscenza di notizie riservate riguardanti una persona, non solo quindi quelle sulla salute, hanno l’obbligo di non rivelarle, poiché andrebbero incontro ad una violazione della privacy dei pazienti.
Trattamento illecito dei dati: quali sanzioni?
Molto spesso, in ambito sanitario capita che i dati di un paziente vengano forniti a terzi, come parenti, familiari, conviventi, etc. Questo si verifica soprattutto quando bisogna dare informazioni sullo stato di salute o sulle terapie da seguire. In questo caso, il paziente deve essere cosciente e aver acconsentito preventivamente a tale comunicazione. Naturalmente è un diritto del paziente decidere di non voler rendere noti a terzi le informazioni relative al proprio stato salute. A fini preventivi il GDPR richiede che chiunque “abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso”.[9]
In caso di violazione della privacy dei pazienti sono previste sanzioni dal punto di vista penale, civile, disciplinare e, nel caso della struttura, anche amministrativo, molto pesanti.[8]. Vediamo di seguito, brevemente, le singole fattispecie.
Sanzioni disciplinari
Eventuali casi di violazione della privacy dei pazienti sono sanzionati dal codice deontologico medico e infermieristico. Il Codice di deontologia medica prevede tra gli obblighi peculiari del medico la tutela «della riservatezza dei dati personali e della documentazione in suo possesso riguardante le persone anche se affidata a codici o sistemi informatici» (art. 10). Analoga disposizione è contenuta nel Codice deontologico dell’Infermiere (art. 19).
Sanzioni penali
IL GDPR dispone che il professionista sanitario possa trattare i dati inerenti l’erogazione delle prestazioni sanitarie senza il consenso del paziente in quanto soggetto già tenuto alla riservatezza e al segreto professionale,[10] motivo per il quale la violazione in tali casi acquista ancora più forza e gravità (attenzione a non confondere il consenso al trattamento dei dati con il “consenso informato”). La violazione del “Segreto professionale”, di cui all’art. 622 del codice penale, riguarda non solo i professionisti già dipendenti della struttura sanitaria ma anche coloro che in virtù del loro stato non sono ancora strutturati, per esempio gli studenti medici, gli specializzandi o gli allievi infermieri.[11] Anche per l’azienda si può configurare una responsabilità penale, per esempio, in caso di trattamento illecito dei dati personali.[12] mentre è previsto l’arresto fino a 2 anni o l’ammenda da 10.000 a 50.000 euro nel caso in cui non vengano messe in atto adeguate misure di sicurezza per la protezione della privacy.[13]
Risarcimento danni al paziente (responsabilità civile)
Nel caso in cui il paziente subisca un danno relativo al trattamento illecito dei propri dati personali, anche qualora non sia di particolare gravità, ha diritto ad un equo risarcimento. Sono tenute a risarcire, in questo caso, per inosservanza del Regolamento europeo GDPR, le seguenti figure:[14]
- a) il Titolare del trattamento dei dati personali (ravvisabile in un’azienda sanitaria nella figura del Direttore Generale);
- b) il Responsabile, cioè colui che è preposto dal titolare al trattamento dei dati (ravvisabile nella figura del Direttore Sanitario o del Direttore di Unità Operativa “ex primario”);
- c) le persone autorizzate al trattamento dei dati personali che hanno ricevuto delega sotto l’autorità diretta del titolare o del responsabile. Si tratta, in concreto, di tutti coloro che utilizzano i dati personali dei pazienti per la loro attività (in ambito ospedaliero l’infermiere, il medico o gli altri esercenti una professione sanitaria come farmacisti, odontoiatri, veterinari, psicologi, ostetriche, professionisti della riabilitazione, optometristi, ecc.). Quindi anche queste figure, come quelle apicali, sono chiamate a rispondere di eventuali danni, soprattutto nei casi di grave negligenza o imprudenza.
Facciamo di seguito alcuni esempi in cui la violazione della privacy dei pazienti ha dato luogo a responsabilità civile per gli operatori sanitari o le strutture sanitarie interessate:
– Una Coordinatrice infermieristica è stata condannata al risarcimento dei danni (7500 euro) per aver rivelato ai parenti lo stato di tossicodipendenza di una degente ricoverata in un reparto di ostetricia.[15] La condotta, che già di per se integrava la violazione della privacy dei pazienti, è ancora più grave considerando che la paziente aveva espressamente richiesto a tutto il personale del reparto di non rivelare ai familiari il suo stato, come emerso dalla cartella infermieristica prodotta agli atti.
– Un altro caso di violazione della privacy è derivata dall’aver spedito una relazione medica contenente notizie circa lo stato di salute e la vita sessuale di una coppia a un indirizzo errato.[16]
– In un altro caso un’infermiera ha tentato di contattare la paziente non tramite cellulare bensì chiamando il numero di casa, interloquendo cosi con il marito della stessa, che era all’oscuro circa alcune notizie riguardanti la paziente.[17] Per il Garante della Privacy la condotta dell’infermiera ha comportato, nell’utilizzo di un numero telefonico diverso da quello indicato dalla paziente per eventuali contatti, la conoscenza indesiderata, da parte di un terzo non legittimato cioè il marito, del motivo del ricovero della consorte, nella fattispecie l’interruzione volontaria di gravidanza.
– Una sanzione ha riguardato un chirurgo il quale accludeva l’elenco degli interventi chirurgici da lui effettuati in carriera alla domanda di partecipazione a un avviso pubblico per l’affidamento dell’incarico di direzione di struttura complessa, con tanto di nome, cognome, reparto di ricovero, data e tipologia di intervento per ogni paziente.[18]
– Il Garante ha sanzionato per 16.000 euro per illecito trattamento di dati un medico per aver utilizzato gli indirizzi di ex pazienti per inviare lettere a sostengo di un candidato alle elezioni politiche regionali, senza che gli interessati avessero espresso alcun specifico consenso al riguardo.
– Un altro caso di violazione della privacy dei pazienti ha riguardato un medico che nel corso di un congresso proiettava alcune diapositive relative a un caso clinico da lui trattato riportando i dati del paziente, l’anamnesi della patologia, alcuni dettagli sui ricoveri e sugli interventi chirurgici, ed altro ancora. Tutto ciò ha reso identificabile il paziente il quale era completamente ignaro dell’utilizzo illecito dei suoi dati.[19]
Sulla base di tali considerazioni si comprende quanto sia importante per la struttura sanitaria formare il proprio personale al rispetto della privacy dei pazienti, cosi come predisporre idonee procedure interne e misure di sicurezza adeguate. Allo stesso tempo è importante che l’operatore sanitario mantenga la riservatezza sui dati di cui sia venuto a conoscenza in virtù della propria attività, senza divulgarli a terzi al di fuori dei casi strettamente inerenti la cura e l’assistenza ai pazienti.
In un altro articolo abbiamo parlato degli aspetti relativi alla privacy in caso di chiamata al servizio di emergenza 118 (link).
Siamo anche su Facebook (qui). Puoi condividere il presente articolo attraverso i pulsanti che trovi in basso.
BIBLIOGRAFIA
[1] D.Lgs. 30 giugno 2003, n. 196 “Codice in materia di Protezione dei Dati Personali” (c.d. “Codice della privacy”)
[2] D.Lgs. 10 agosto 2018, n. 101 “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonchè alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”
[3] D.Lgs. 30 giugno 2003, n. 196, integrato con le modifiche introdotte dal D.Lgs. 10 agosto 2018, n. 101. Capo II (Illeciti penali). Artt. da 167 a 172
[4] Regolamento (UE) 2016/679 “GDPR General Data Protection Regulation” (Regolamento europeo sulla privacy). Art. 82
[5] Regolamento (UE) 2016/679 “GDPR General Data Protection Regulation” (Regolamento europeo sulla privacy). Art. 4
[6] Regolamento (UE) 2016/679 “GDPR General Data Protection Regulation” (Regolamento europeo sulla privacy). Art. 9
[7] Regolamento (UE) 2016/679 “GDPR General Data Protection Regulation” (Regolamento europeo sulla privacy). Art. 9
[8] Regolamento (UE) 2016/679 “GDPR General Data Protection Regulation” (Regolamento europeo sulla privacy). Art. 32
[9] Regolamento (UE) 2016/679 “GDPR General Data Protection Regulation” (Regolamento europeo sulla privacy). Art. 83
[10] Regolamento (UE) 2016/679 “GDPR General Data Protection Regulation” (Regolamento europeo sulla privacy). Art. 9.3
[11] Benci L. “Aspetti giuridici della professione infermieristica”. Mc Graw Hill, 2011, pag. 136
[12] D.Lgs. 10 agosto 2018, n. 101. Art. 15
[13] Codice per la privacy, Titolo III, articoli 161 e seguenti
[14] Regolamento (UE) 2016/679 “GDPR General Data Protection Regulation” (Regolamento europeo sulla privacy). Art. 82
[15] Tribunale di Pordenone, sentenza 16 aprile 2010
[16] Zeppilli V. “Responsabilità medica e privacy“. Articolo pubblicato online sul sito di informazione giuridica StudioCataldi il 24 febbraio 2021 (link)
[17] Ibidem
[18] Doc. web n. 9583597, provvedimento del Garante della privacy dell’11 marzo 2021
[19] Rabita G.L., Pedicone A. “Privacy: quando è il dipendente a rispondere delle violazioni”. Articolo pubblicato online sul sito di informazione giuridica StudioCataldi il 29 giugno 2022
