Privacy: violazioni in aumento. Ecco la relazione 2013 del Garante

Nel 2013 sono state contestate dal Garante della privacy 850 violazioni amministrative (in aumento rispetto alle 578 dell'anno precedente) e riscosse sanzioni per 4 milioni di euro. Sono i dati presentanti a Palazzo Madama dall'Autorità garante per la protezione dei dati personali, composta da Antonello Soro, Augusta Iannini, Giovanna Bianchi Clerici, Licia Califano. Nel mirino dell'Authority anche il trattamento dei dati personali da parte di soggetti pubblici e privati a fini di prevenzione, diagnosi, cura e riabilitazione.

La richiesta al Governo da parte del Garante è stata quella di un rafforzamento della struttura di vigilanza. «Di fronte alla complessità delle questioni con cui tutti i giorni ci misuriamo - sottolinea Soro - e alle sfide sempre nuove nei numerosi settori che dobbiamo presidiare, avvertiamo forte e urgente la necessità di potenziare la struttura dell'Authority, adeguandola ai nuovi compiti. E auspichiamo che il Governo e il Parlamento vogliano condividere e sostenere il nostro impegno in questa direzione».

Soro ricorda che «una grande democrazia, nel tempo della società digitale, ha il dovere di investire con coraggio in protezione dei dati personali, per difendere i diritti dei cittadini e insieme la sicurezza dello Stato. Il nostro obiettivo - assicura il Garante - è quello di essere sempre più all'altezza dei compiti del nostro tempo, nell'interesse dei cittadini e dell'intero Paese».

Per il presidente del Senato, Pietro Grasso, la presentazione della relazione, offre l'opportunità di una riflessione sulla situazione attuale del sistema della tutela del diritto alla riservatezza e sui suoi possibili sviluppi. «Questo diritto, fondamentale per il cittadino e la persona - spiega Grasso - in un mondo permeato dalla tecnologia risulta in costante mutamento e necessita di un alto grado di riflessione, aggiornamento, protezione e di una sempre più attenta opera di vigilanza. Se é vero che la riservatezza e i dati personali sono l'aspetto e il valore più intimo e privato di una persona, è anche vero che sempre più l'individuo, spesso inconsapevole dei rischi e delle autorizzazioni che firma senza leggere, fa veicolare volontariamente aspetti e momenti delicati della sua vita».

«Dal punto di vista collettivo invece - continua Grasso - a complicare il quadro bisogna ricordare che esistono anche altri diritti, non meno fondamentali e garantiti dalla nostra Carta Costituzionale, che con il diritto alla riservatezza devono essere contemperati e correttamente bilanciati». Ad esempio nel caso del trattamento dei dati sanitari, «specialmente in caso di malattie di rilevanza sociale, che non deve ledere mai la dignità del malato».

Alcuni casi di violazione della privacy in sanità. C'è il caso di un assessore alla tutela della salute che aveva inviato una e-mail a tutte le donne che si erano rivolte alla sua segreteria per protestare contro la chiusura di un centro specializzato nella cura delle patologie tumorali della mammella per spiegare la scelta di riconversione del presidio sanitario. Ma come è accaduto in altri casi nel 2012, la mail inviata dall'assessore conteneva i nominativi di tutte le pazienti che afferivano al centro oncologico, in un campo visibile a tutti i destinatari della comunicazione. «Sul caso l'Autorità ha avviato un procedimento sanzionatorio - si legge nella relazione - circa l'avvenuta comunicazione a terzi di dati idonei a rivelare lo stato di salute senza il consenso degli interessati, che si è concluso con il pagamento della sanzione da parte del contravventore».

L'informativa sulla privacy. L'Autorità ha continuato ad occuparsi anche delle modalità con cui le strutture sanitarie pubbliche e private forniscono l'informativa agli interessati e acquisiscono il loro consenso per i trattamenti di dati personali necessari ai fini di cura. Rilevante l'iniziativa di un azienda sanitaria di far condividere l'elenco nominativo dei bambini presi in carico tra i diversi servizi di neuropsichiatria infantile distrettuali al fine di evitare duplicazioni e sovrapposizioni nell'erogazione delle prestazioni sanitarie.

L'Autorità ha evidenziato «che qualora il titolare del trattamento intenda comunicare dati sensibili per fini di cura a soggetti diversi dall'interessato, in assenza di una disposizione normativa al riguardo, deve richiedere uno specifico consenso informato a quest'ultimo; nel caso in cui l'interessato sia incapace di intendere o volere, il consenso dovrà essere manifestato da parte del legale rappresentante».

Prove tecniche di Fse. Costante è stata l'attenzione nei confronti delle problematiche legate alla realizzazione a livello nazionale del Fascicolo sanitario elettronico (Fse). In merito all'utilizzo dei dossier sanitari da parte delle strutture sanitarie sono state avviate diverse istruttorie, sia d'ufficio che a seguito di specifiche segnalazioni, per verificare se i sistemi in uso rispettino le misure indicate dal Garante nelle "Linee guida in tema di Fascicolo sanitario elettronico (Fse) e di dossier sanitario" (provv. 16 luglio 2009, doc. web n. 1634116).

Sotto la lente del Garante, in particolare, l'esigenza di limitare l'accesso al dossier sanitario da parte del personale non sanitario operante nelle strutture assistenziali. In questo ambito la relazione evidenzia che a seguito dell'intervento dell'Autorità, un'azienda per i servizi alla persona ha modificato i parametri di accesso ai dossier sanitari consentendo al solo personale che ha in cura i pazienti di visualizzarne le informazioni sanitarie (nota 28 febbraio 2013). Prima dell'intervento dell'Autorità tale accesso era consentito anche al personale amministrativo e di direzione gestionale dell'azienda.

La consegna dei referti. Diverse violazioni riguardano la consegna dei referti e della documentazione sanitaria. Viene infatti frequentemente segnalata la consegna di referti a soggetti diversi dall'interessato in busta aperta o senza verificare l'esistenza della delega per il ritiro degli stessi.

Il rispetto della dignità della persona. Altri casi riguardano il mancato rispetto della dignità della persona. Diverse segnalazioni ricevute lamentavano ad esempio le modalità di consegna di specifici presìdi, utilizzati da persone incontinenti o stomizzate (ad es., cateteri, ausili per evacuazione e per stomia, raccoglitori e assorbenti per urina), recapitati in pacchi trasparenti o recanti sulla parte esterna o sulla bolla di consegna l'indicazione in chiaro della tipologia del contenuto, oppure consegnati al vicino di casa o al portiere, in assenza di autorizzazione dell'interessato; in alcuni casi, i predetti presìdi sarebbero stati lasciati addirittura incustoditi davanti la porta di ingresso della dimora dell'interessato.

Tra le misure individuate dal Garante: effettuare la consegna preferibilmente nelle mani dell'interessato; non lasciare il presidio incustodito nelle vicinanze del luogo indicato dall'interessato; imballare il presidio in un contenitore non trasparente sprovvisto di indicazione circa il suo contenuto; consegnarlo a terzi (ad es., vicino di casa, parente, portiere) solo su indicazione dell'interessato.

Il problema Hiv. Particolarmente complesso e delicato è il trattamento dei dati personali nell'ambito dell'erogazione delle prestazioni mediche a pazienti affetti da Hiv. Al Garante sono infatti pervenute alcune segnalazioni con riferimento all'esibizione del codice di esenzione dalla partecipazione al costo per le prestazioni di assistenza sanitaria previsto per le infezioni da HIV. Alcuni interessati, specie se residenti in piccoli centri, lamentano inoltre di dover effettuare le pratiche amministrative per il rilascio o il rinnovo dell'esenzione da Hiv nella propria Asl di residenza, ove spesso è impiegato personale che, per le ragioni più varie, può avere conoscenza diretta dei pazienti.

I dati genetici e la ricerca. Un nodo fondamentale è quello delle ricerche scientifiche in campo medico biomedico ed epidemiologico effettuate mediante l'utilizzo di dati genetici e di campioni biologici raccolti a fini di tutela della salute. In alcuni casi l'autorizzazione generale (adottata con provv. 13 dicembre 2012, sentito il ministro della Salute, che acquisisce, a tal fine, il parere del Consiglio superiore di sanità) consente di procedere al trattamento dei dati anche in assenza del consenso degli interessati. «Ciò quando, a causa di particolari ragioni - sottolinea l'Autorità per la privacy - non è possibile informare gli interessati malgrado sia stato compiuto ogni ragionevole sforzo per raggiungerli e a condizione che sia acquisito il parere favorevole del competente comitato etico a livello territoriale e sia rilasciata un'apposita autorizzazione dal Garante ai sensi dell'art. 90 del Codice».