L’Autorità per la privacy ha comminato una sanzione di 16mila euro a un medico che ha utilizzato gli indirizzi di circa 3.500 ex-pazienti per inviare lettere a sostegno di un candidato alle elezioni politiche regionali del 4 marzo 2018, senza che gli interessati avessero espresso alcun specifico consenso a riguardo.
Il medico competente è un titolare autonomo del trattamento. Lo stesso vale per la compagnia di assicurazione che gestisce i sinistri di un ente pubblico appaltante. Invece l'amministratore di condominio è un responsabile esterno e i condomini sono contitolari. Sono i chiarimenti forniti dal Garante della privacy, che si possono leggere nella Relazione dell'attività svolta nell'anno 2019 (presentata al Parlamento il 23 giugno 2020). Non è sempre facile individuare il ruolo privacy rivestito da soggetti, società, professionisti. Per questo diventa decisivi i provvedimenti del Garante, che fanno chiarezza. Passiamo in rassegna, dunque, le soluzioni offerte nel 2019 dall'autorità garante.
In Europa è scoppiato il caso dei medici che divulgano sui social informazioni sensibili dei pazienti. Un fenomeno che ha serie ripercussioni legali: le Autorità cominciano infatti ad affrontare il problema. Ad esempio, recentemente il Garante di Cipro ha fatto una multa di 14.000 euro ad un medico che aveva pubblicato su Internet i dati sensibili di un paziente senza il suo consenso.
Per la Corte di cassazione, non bisogna dimenticare che la violazione del segreto professionale si ha solo se la notizia è comunicata a chi non la conosce. Il reato di rivelazione del segreto professionale è previsto e punito dall'articolo 622 del codice penale, che prevede la pena della reclusione fino a un anno o della multa da 30 a 516 euro per tutti coloro che, avendo notizia di un segreto per ragione del proprio stato o ufficio o della propria professione o arte, lo rivelano senza giusta causa o lo impiegano a proprio o altrui profitto.
Per chi si occupa di dati, il 2020 doveva essere il solito anno tumultuoso. Come per quelli precedenti, erano stati messi in preventivo tempo ed energie per analizzare i nuovi databreach, studiare nuove casistiche, decrittare nuove decisioni e provvedimenti, definire nuove interpretazioni e quindi attendersi su tutti fronti una larga dose di novità, che effettivamente ci sono state. Niente di nuovo, si fa per dire, in un comparto così abituato ai cambiamenti perché sottobraccio al rapido progresso tecnologico; ma chi si aspettava una novità così grande? Il Covid-19, infatti, per tutto il mondo della privacy, del data protection, e delle tecnologie è una macroscopica prova di resistenza.
Il singolo medico non deve nominare il Dpo (responsabile della protezione dei dati); per le finalità di cura non si deve chiedere il consenso, mentre ci vuole per refertazione online, fascicolo e dossier sanitario elettronico; medici, farmacie e aziende sanitarie devono compilare il registro dei trattamenti. Sono alcune delle precisazioni fornite dal Garante della privacy (provvedimento n. 55 del 7 marzo 2019) a proposito dell'applicazione in ambito sanitario del regolamento Ue sulla protezione dei dati n. 2016/679.
