Due pazienti di un Centro medico hanno avanzato un reclamo verso il Garante per la protezione dei dati personali (di seguito, “Garante”) nel quale hanno lamentato una violazione. In particolare, i due pazienti hanno dichiarato di aver ricevuto periodicamente dal Centro medico sul numero privato SMS come promemoria di appuntamenti per visite mediche mai richieste, e di aver rinvenuto, nella dichiarazione dei redditi 730 precompilata, talune fatture (che ammontavano complessivamente a 4.000,00 euro) emesse sul proprio codice fiscale concernenti prestazioni relative all’anno 2021 erogate dal Centro medico, dagli stessi mai effettuate.
Le verifiche del Garante sul trattamento dati
A seguito della richiesta di informazioni del Garante, il Centro medico ha fornito riscontro, rappresentando che per motivi diversi ha inserito nel proprio database utilizzato per attività medico-sanitarie il nominativo di 2 omonimi.
In relazione ai fatti descritti nel reclamo e all’esito del riscontro fornito dal titolare, il Garante ha ritenuto che il Centro abbia effettuato un trattamento di dati in violazione del principio di esattezza e di integrità e riservatezza dei dati (art. 5 par. 1, lett. d) e f) del GDPR Regolamento UE 679/2016, di seguito “Regolamento”) e, mediante la compilazione della fattura relativa alle prestazioni usufruite dall’omonimo contenente le informazioni (indirizzo e codice fiscale) del reclamante, ha effettuato una comunicazione di dati relativi alla salute (desumibili dalla prestazioni effettuate presso il Centro, con riferimento alle quali sono state emesse le relative fatture) in assenza di un idoneo presupposto giuridico, in violazione dei principi di base del trattamento di cui all’art. 9 del Regolamento e degli obblighi in materia di sicurezza di cui all’art. 32 del Regolamento.
Le osservazioni
A seguito dell’attività istruttoria del Garante, si osserva che:
1. per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)”; e, per “dati relativi alla salute”, ricompresi tra le categorie “particolari” di informazioni personali, i “dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, n. 1 e 15 del Regolamento; considerando n. 35);
2. le informazioni personali devono essere trattate nel rispetto dei principi applicabili al trattamento dei dati personali, elencati nell’art. 5 del Regolamento. In particolare, i dati devono essere “esatti e, se necessario, aggiornati” e “devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono stati trattati” (principio di «esattezza»); i dati devono essere, altresì, “trattati in maniera da garantire un’adeguata sicurezza (…) compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti o dalla perdita, dalla distruzione o dal danno accidentali” (principio di «integrità e riservatezza») (art. 5, par. 1, lett. d) e f) del Regolamento). L’adeguatezza di tali misure deve essere valutata da parte del titolare del trattamento rispetto alla natura dei dati, all’oggetto, alle finalità del trattamento e al rischio per i diritti e le libertà fondamentali degli interessati, tenendo conto dei rischi che derivano dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso a dati personali trasmessi, conservati o comunque trattati (art. 32, par. 1 e 2 del Regolamento);
3. in ambito sanitario le informazioni sullo stato di salute possono essere comunicate solo all’interessato e possono essere comunicate a terzi sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso, previa delega scritta di quest’ultimo (art. 9 del Regolamento e art. 84 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101).
Conclusioni
In conclusione, tenuto conto dell’istruttoria, gli elementi forniti dal Centro, in qualità di titolare del trattamento, nelle memorie difensive non sono idonei ad accogliere le richieste di archiviazione. Infatti, considerato che l’avvenuta prestazione di un servizio di assistenza sanitaria riferita ad una persona specificatamente indicata costituisce un’informazione riconducibile alla nozione di dato sulla salute ai sensi dell’art. 4, par. 1, n. 15 del Regolamento e del Cons. n. 35, si rileva che il Centro ha effettuato un trattamento di dati in violazione del principio di esattezza e di integrità e riservatezza dei dati del reclamante e del suo omonimo (art. 5 par. 1, lett. d) e f) del Regolamento) e, mediante l’erronea compilazione della fattura, ha effettuato una comunicazione di dati relativi alla salute (desumibili dalle prestazioni effettuate presso il Centro, con riferimento alle quali sono state emesse le relative fatture) in assenza di un idoneo presupposto giuridico, in violazione dei principi di base del trattamento di cui all’art. 9 del Regolamento e degli obblighi in materia di sicurezza di cui all’art. 32 del Regolamento.
Per tali ragioni si rileva l’illiceità del trattamento di dati personali effettuato dal Centro, nei termini di cui in motivazione, per la violazione degli artt. 5, par. 1, lett. d) e f), 9 e 32 del Regolamento.
In tale quadro, preso atto della violazione degli artt. 5, par. 1, lett. d) e f), 9 e 32 del Regolamento causata dalla condotta del Centro, si applica una sanzione amministrativa pecuniaria, ai sensi dell’art. 83, par. 4, lett. a) e par. 5, lett. a) del Regolamento, di euro 10.000,00 (diecimila).
Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.
