È necessario prestare particolare attenzione a pubblicazioni, convegni o divulgazioni scientifiche di studi clinici che trattino di casi concreti, accertandosi che il paziente sia stato preventivamente informato, abbia dato il suo specifico consenso all’uso dei suoi dati e che gli stessi siano stati opportunamente anonimizzati.

Con questa premessa, il Garante per la protezione dei dati personali ha emessi sanzioni nei confronti di un medico, di una Ausl e di un’associazione di medici chirurghi per l’utilizzo di documenti sulla salute di un paziente in occasione di un convegno e per la loro pubblicazione on-line.

 

Il caso

Una AUSL ha inviato al Garante per la protezione dei dati personali una comunicazione di violazione di dati personali ai sensi dell’art. 33 del Regolamento (cd. data breach) concernente la diffusione dei dati sulla salute di un paziente.

In sintesi, le diapositive riportanti i dati e le immagini di un paziente – incluse le iniziali del paziente, l’età, il sesso, l’anamnesi dettagliata della patologia sofferta, i dettagli dei ricoveri effettuati e degli interventi chirurgici subiti nell’arco di oltre 35 anni, l’unità di chirurgia che aveva effettuato gli interventi, i giorni di degenza, le immagini diagnostiche e le fotografie dell’interessato durante gli interventi – venivano utilizzate da un medico in servizio presso la stessa Azienda e proiettate in occasione di un congresso medico organizzato da una Società Scientifica di chirurgia, con successiva vittoria del premio “Migliore caso clinico 2017”. Le diapositive riportanti i dati e le immagini del paziente venivano poi pubblicate sul sito della Società, con possibilità di chiunque di risalire alle immagini attraverso motore di ricerca.

Il paziente, venuto a conoscenza della diffusione dei suoi dati, intraprendeva azione legale nei confronti dell’AUSL, in quanto le predette informazioni non erano tali da garantire l’impossibilità di identificare il soggetto che aveva subito gli interventi.

Esaminiamo la posizione dei diversi soggetti coinvolti nella violazione ed il contenuto dei provvedimenti del Garante.

 

La posizione del medico

Dalla documentazione in atti emergeva che il medico in questione era stato attivamente coinvolto nella cura del paziente ed aveva utilizzato, ai fini della predisposizione delle diapositive, i dati e i documenti sanitari presenti negli archivi informatici dell’AUSL, senza esserne stato espressamente autorizzato né dal paziente, né dall’AUSL.

Dall’istruttoria emergeva che il paziente aveva prestato il consenso al trattamento dei suoi dati per finalità di cura, per la costituzione e l’alimentazione del dossier sanitario da parte dell’AUSL, e che quest’ultima aveva informato il paziente del fatto che il trattamento dei dati avveniva anche per il perseguimento della finalità di “indagine epidemiologica e ricerca scientifica”.

Secondo la difesa del medico, l’identità del paziente era stata adeguatamente celata con l’impiego delle sole iniziali del nome, “come da prassi durante l’esposizione dei casi clinici”. I restanti elementi (anamnesi, sesso, età e tempi dei trattamenti) non sarebbero altro che informazioni consuete, atte e necessarie alla proficua discussione del caso clinico tra la Comunità scientifica, che comunque non avrebbero consentito di risalire al soggetto, garantendone la non identificabilità.

Sulla base dell’istruttoria e nonostante le difese opposte dal medico, il Garante ha ritenuto che:

  • la disciplina in materia di protezione dei dati personali prevede – in ambito sanitario – che le informazioni sullo stato di salute possano essere comunicate solo all’interessato e vieta espressamente la diffusione dati idonei a rivelare lo stato di salute degli interessati
  • il medico aveva trattato i dati personali e documenti clinici relativi al paziente al di fuori delle finalità di cura per le quali l’AUSL l’aveva autorizzato ad accedere agli strumenti informativi aziendali
  • dati personali e sensibili del paziente e le sue immagini diagnostiche e fotografiche erano stati utilizzati dal medico senza il consenso informato dell’interessato e senza un’efficace anonimizzazione
  • con specifico riferimento alla pubblicazione di casi clinici, anche il Codice di Deontologia Medica prevede che “il medico assicur(a) la non identificabilità dei soggetti coinvolti nelle pubblicazioni o divulgazioni scientifiche di dati e studi clinici” (art. 11 – Riservatezza dei dati personali)
  • nel caso di specie, le informazioni presenti sulle diapositive e, in particolar modo, le iniziali del paziente, l’età, i dettagli dei ricoveri e dell’anamnesi, nonché le numerose immagini fotografiche avevano di fatto reso il paziente identificabile
  • il consenso espresso dal paziente al trattamento dei suoi dati per fini di indagine epidemiologica e ricerca scientifica non era idoneo ad autorizzare il medico a tale trattamento, posto che era stato rilasciato esclusivamente a favore dell’AUSL, per trattamenti eseguiti attraverso il dossier sanitario aziendale.

Sulla base di quanto precede, il Garante ha irrogato nei confronti del medico – il quale è stato sottoposto anche a procedimento disciplinare – una sanzione amministrativa pecuniaria di Euro 5.000,00.

 

La posizione della Società Scientifica

Per quanto concerne la posizione della Società Scientifica, uno dei passaggi fondamentali dell’istruttoria del Garante concerne il fatto che il modello di iscrizione al concorso “Migliore caso clinico dellanno non riportava alcuna autorizzazione specifica, da parte del medico concorrente, alla pubblicazione delle diapositive sul sito web della Società di chirurgia. Secondo l’Ufficio del Garante, l’autorizzazione – concessa dal medico alla Società Scientifica – all’“uso in esclusiva” dellelaborato oggetto di concorso non includeva anche e specificamente l’autorizzazione alla diffusione dei dati e documenti del paziente, ivi contenuti, mediante relativa pubblicazione sul sito internet.

La pubblicazione sul sito della Società di chirurgia delle predette diapositive ha dunque assunto il connotato della diffusione di dati sulla salute, espressamente vietata.

Ciò fermo, e considerato che:

– a seguito di notizia della contestazione del paziente, le diapositive sono state immediatamente rimosse dal sito della Società e quest’ultima ha anche dato incarico ad un consulente informatico per la deindicizzazione dei contenuti rimossi

– la Società ha prontamente adottato una “politica di sicurezza e procedura per la protezione dei dati personali” e un “Regolamento per la presentazione e pubblicazione degli elaborati da parte dei Relatori” agli eventi organizzati dall’Associazione stessa, nonché ha previsto l’obbligo di rilascio un esplicito impegno scritto da parte dei Relatori stessi a fornire esclusivamente elaborati predisposti nel rispetto dell’art. 11 del Codice di Deontologia Medica, delle disposizioni del GDPR, del Codice Privacy e dei contenuti dei provvedimenti del Garante

– la Società ha inoltre assunto l’impegno di pubblicare, in futuro, eventuali case studies solo in un’apposita un’area riservata del sito istituzionale, con accesso limitato ai soli soci, ai relatori e gli addetti alle professioni sanitarie, escludendone l’indicizzazione dai motori di ricerca,

il Garante ha ritenuto di irrogare alla Società Scientifica la sanzione pecuniaria di soli Euro 2.000,00.

 

La posizione dell’AUSL

Per finire, in merito alla posizione dell’AUSL, si osserva che la condotta contestata alla stessa da parte del Garante consiste nella mancata adozione di misure tecniche ed organizzative volte a ridurre il rischio che il personale autorizzato ad accedere, per finalità di cura, ai dati personali e ai documenti clinici dei pazienti (del cui trattamento è titolare l’AUSL stessa), potesse utilizzare i medesimi dati e documenti per finalità diverse da quelle autorizzate, senza la previa l’autorizzazione dell’AUSL e l’anonimizzazione dei dati.

Purtuttavia, l’istruttoria ha dimostrato che:

– l’AUSL era del tutto estranea all’evento organizzato dalla Società Scientifica, non avendo rilasciato al medico alcuna autorizzazione per l’utilizzo del logo aziendale in occasione della presentazione, né rilasciato il suo patrocinio a favore della manifestazione

– l’AUSL si è subito attivata per cercare di limitare i danni derivanti dalla diffusione dei dati del paziente, altresì avviando procedimenti disciplinari nei confronti degli otto sanitari citati nelle diapositive

– già prima dell’episodio, la struttura aveva promosso iniziative volte a regolamentare l’utilizzo dei documenti aziendali per la partecipazione a convegni e seminari, addirittura promuovendo, a livello regionale, l’adozione di un codice di condotta in materia (poi effettivamente approvato dal Garante Privacy in data 14.1.2021).

Pertanto, nei confronti dell’AUSL, il Garante ha irrogato solo un ammonimento a rispettare le previsioni del Regolamento contenute nell’art. 5, par. 1, lett. f) del Regolamento.

Avv. Elena Bassan

Ci aggiorniamo presto con nuovi consigli pratici!

Nel frattempo resta collegato e iscriviti alla newsletter per non perdere i prossimi aggiornamenti.

A presto!

 

Shares
Share This