Se sei un medico o lavori nel settore della cura alla persona, questo segue è un articolo che ti permetterà di capire se stai trattando i dati dei tuoi pazienti nella maniera corretta.
Tutto è iniziato nel 2017, quando un paziente viene curato, in maniera eccellente da una equipe medica guidata da una dottoressa, in servizio presso l’unità locale socio sanitaria n. 9 Scaligera. La tecnica utilizzata per trattare il paziente e i risultati ottenuti dalla dottoressa le valgono il premio come miglior caso clinico del 2017 da parte della Società Triveneta di Chirurgia.
Fin qui tutto bene fatto salvo che al paziente non è piaciuto che le foto del suo corpo fossero diffuse al di fuori dell’ospedale.
Ed è quindi accaduto che la ULSS9 Scaligera è stata costretta a inviare al Garante Privacy una comunicazione di violazione di dati personali, ai sensi dell’art. 33 del GDPR, circa la diffusione dei dati sulla salute del paziente, mediante la proiezione, da parte della dottoressa, in un congresso medico di alcune diapositive relative ad un caso clinico dalla stessa affrontato e la successiva pubblicazione delle stesse sul sito della Società Triveneta di chirurgia.
Secondo quanto comunicato, a seguito dell’azione legale intrapresa dal predetto paziente, l’Azienda si è fatta parte attiva affinché fossero eliminate le suddette diapositive dal sito della Società, intervenendo, anche, sulla “possibilità di risalire alle immagini attraverso motore di ricerca”.
Qual è il problema?
Qual è il problema? Semplice, la dottoressa ha trattato i dati personali e i documenti clinici relativi al predetto paziente, al di fuori delle finalità di cura per le quali la ULSS9 aveva autorizzato la stessa ad accedere agli strumenti informativi aziendali, senza procedere a richiedere una specifica autorizzazione al titolare del trattamento e senza effettuare un’efficace anonimizzazione dei dati e dei documenti.
Le informazioni presenti sulle predette diapositive, in particolar modo, le inziali del paziente, l’età, i dettagli dei ricoveri e dell’anamnesi, nonché le numerose immagini fotografiche hanno reso infatti identificabile il paziente. Quest’ultimo, secondo quanto risultato in atti e sopra indicato, non ha prestato alla professionista il proprio consenso informato in merito a tale trattamento di dati personali, non potendosi qualificare idoneo, quale base giuridica del trattamento, il consenso prestato alla ULSS9 per i trattamenti finalizzati a “indagine epidemiologica e ricerca scientifica” effettuati attraverso il dossier sanitario aziendale. Ciò, in quanto tale consenso non è stato rilasciato nei confronti dei trattamenti effettuati dalla dottoressa, bensì da quelli posti in essere dalla predetta Azienda sanitaria, attraverso il dossier sanitario aziendale, in qualità di titolare del trattamento.
Inoltre la dottoressa non aveva richiesto alcuna autorizzazione alla ULSS9 per l’utilizzo di dati e documenti clinici di cui la stessa è titolare, acquisendo copia dei dati e dei documenti utilizzati nelle predette diapositive, dopo aver acceduto direttamente agli strumenti informativi, in uso presso la stessa Azienda sanitaria, in qualità di medico e persona autorizzata al trattamento dei dati personali.
Quali conseguenze?
La messa a disposizione dei predetti dati personali e delle immagini diagnostiche e fotografiche, non anonimizzate, in occasione del predetto Premio, senza il consenso informato dell’interessato e senza l’autorizzazione del titolare del trattamento degli stessi dati (Azienda ULSS 9 Scaligera) ha determinato quindi una violazione dei principi di base del trattamento di cui agli artt. 5, par. 1, lett. a) e c), 6 e 9 del Regolamento.
La violazione delle predette disposizioni ha reso quindi applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, lett. a) del Regolamento.
La dottoressa, oltre ad essere stata oggetto di procedimento disciplinare in merito ai fatti sopra riportati, ha subito l’ingiunzione di una sanzione di 5.000 euro. Ciò perchè non si è attenuta al Codice di deontologia medica approvato dalla Federazione nazionale degli ordini dei medici chirurghi e degli odontoiatri nel 2014, che prevede che “il medico assicur(a)(i) la non identificabilità dei soggetti coinvolti nelle pubblicazioni o divulgazioni scientifiche di dati e studi clinici” (art. 11 – Riservatezza dei dati personali).
E la Società Triventa di Chirurgia? “Solo” una sanzione da 2.000 euro.
Se quindi adotti come modus operandi per farti pubblicità la pratica di pubblicare sui social o siti web le foto dei tuoi pazienti, qualche riflessione (almeno 2) è il momento di farle.
La prima riguarda una poca attenzione all’utilizzo di dati, intendendo sia immagini che informazioni relative a persone. Nel caso di specie, forse, sarebbe bastata una più attenta scelta dei dati da trattare nel giudizio in questione per evitare risarcimenti e richieste di danno.
Una seconda riflessione di carattere pratico – operativo riguarda i contenuti delle informativa e la scelta di formulazione del consenso.
Spesso questi due adempimenti vengono presi alla leggera e senza riflettere su cosa si voglia fare di quei dati che si stanno raccogliendo, magari limitandosi a “copiare” le scelte del nostro concorrente o di qualche conoscente o amico.
Cari medici quindi, attenzione ai contenuti dell’informativa e ai consensi da far sottoscrivere ai vostri pazienti!