Articolo pubblicato su altalex
Secondo il Garante della privacy i dati raccolti devono essere connessi al tipo di intervento da effettuare o di piano di cura da intraprendere
Con ordinanza del 10.06.2021 (qui il link) il Garante privacy commina una sanzione di € 20.000,00 ad un dentista per aver raccolto, all’atto di accettazione del paziente, informazioni sulle malattie infettive tra le quali quelle relative all’HIV indipendentemente dal tipo di intervento da effettuare o di piano di cura da intraprendere.
1. Il reclamo
La vicenda in commento origina da un reclamo di un paziente che si è visto sottoporre dal dentista presso il quale si era presentato dopo aver acquistato un buono su Groupon, un questionario al fine di poter accedere ai servizi dentistici offerti presso il suo studio medico. Attraverso il suddetto questionario, distribuito e poi raccolto all’atto dell’accettazione del paziente, veniva richiesto, nell’ambito di una raccolta anamnestica generale, di dichiarare di avere o avere avuto malattie infettive anche (se sospette) quali tubercolosi, epatite A, B, C e HIV (AIDS).
Il reclamante ha rappresentato che, dopo aver fornito l’informazione relativa alla sua positività all’infezione da HIV, il medico avrebbe avvertito lo stesso di non poter prestare l’attività professionale richiesta, in quanto “la sua diagnosi di sieropositività all’HIV non gli permetteva di scongiurare un possibile contagio del personale e degli altri pazienti”.
2. Le controdeduzioni del medico
Nelle proprie difese il medico ha rappresentato che è una prassi consolidata, quella di svolgere, nell’esercizio dell’attività di medico chirurgo odontoiatra, indiscriminatamente ad ogni paziente che richiede un trattamento di qualsiasi genere, un’anamnesi generale sul suo stato di salute. La ablazione tartaro o igiene orale professionale, la quale non può essere mai eseguita previa una visita orale completa e che viene annoverata tra le prestazioni che il paziente di una struttura pubblica o privata per la prima volta può richiedere, non va considerata un trattamento medico di secondo piano.
Specifica, poi, il sanitario che nel momento in cui ha raccolto le informazioni di cui è stata contestata l’eccedenza, non si era più nella fase di “accettazione” preliminare del rapporto medico-paziente, bensì nella fase esecutivo-medica del rapporto professionale”.
Il questionario anamnestico generale “incriminato”, che sarebbe stato illecitamente predisposto e poi fatto sottoscrivere al reclamante, si inseriva proprio e già “nell’ambito del processo di cura”, ciò che proprio i precedenti del Garante richiamati nella nota di contestazione consentono di configurare come attività pienamente legittima da parte del medico (cfr. i provvedimenti del 12/11/2009 n. 35 del 12 novembre 2009, doc. web 1673588, ed il provvedimento prescrittivo di cui al doc. web 1686068).
Se poi si considera che il professionista svolge la propria professione in forma individuale e non si avvale di personale amministrativo e non ha mai rifiutato sic et simpliciter di fornire la prestazione odontoiatrica (circostanza che, in mera ipotesi, rileverebbe a livello civilistico) ma nel caso di specie si è limitato a chiedere al paziente che le informazioni circa la bassa carica virale fossero comprovate clinicamente con analisi recenti, dichiarandosi poi disponibile a fornire la prestazione sanitaria, emerge come, in astratto, la violazione sarebbe di carattere colposo.
Considerate queste circostanze, non è neppure possibile distinguere chiaramente la fase dell’accettazione (“di primo contatto”) dell’utente da quella dell’effettivo contatto diagnostico medico-paziente, dal momento che l’una e l’altra fase sono realizzate sempre dallo stesso soggetto che è, appunto, professionista stesso e sono, per questa assorbente ragione, destinate in qualche modo sempre a confondersi de facto.
Tale differente situazione, alla luce del principio costituzionale di ragionevolezza (art. 3 Cost.), impone una diversità di trattamento. Il caso dello studio del professionista singolo, che riceve e cura il paziente presso il proprio studio ove opera da solo, è dunque concretamente diverso da quello di un centro di medicina organizzato e strutturato in cui operino dieci professionisti nel quale, per forza di cose, la fase di “accettazione” inquadra la fase di “primo” e mero contatto amministrativo fra la struttura ed un utente e non arriva né può confondersi con quella successiva, personale/professionale fra paziente ed il singolo professionista a cui egli viene affidato per ricevere le cure effettive.
3. Esito dell’attività istruttoria
Secondo il Garante privacy, gli elementi portati alla sua attenzione dal titolare nelle memorie difensive e nell’audizione risultano insufficienti a superare le contestazioni sollevate dall’Ufficio con l’atto di avvio del procedimento e, quindi, a consentire l’archiviazione del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Preliminarmente, evidenzia che nel caso in esame, non risulta di agevole distinzione la fase di accettazione, nella quale il paziente viene per la prima volta in contatto con lo studio e la fase più propriamente di diagnosi e cura, nella quale le informazioni sulla salute vengono raccolte al fine di conoscere la storia clinica del paziente e di individuare, per lo stesso, la più corretta terapia.
In ogni caso, ove, in generale, la richiesta di acquisire le informazioni avvenga al momento dell’avvio della relazione medica in vista della corretta programmazione del piano di cura più adeguato al singolo caso, lo specialista può legittimamente raccogliere anche il dato relativo all’eventuale presenza di un’infezione da HIV, se la predetta informazione anamnestica sia ritenuta dal medico curante necessaria in funzione del tipo di intervento sanitario o di piano terapeutico da eseguire sul paziente, ferma restando la volontà del paziente di decidere, in modo consapevole (e quindi informato) e responsabile, di non comunicare al medico alcuni eventi sanitari che lo riguardano.
Evidenzia, sul punto, il Collegio che non spetta al Garante analizzare la pertinenza e la necessità delle informazioni raccolte per perseguire la specifica finalità di cura, in quanto si tratta di una valutazione di tipo tecnico scientifico e non giuridico, di competenza unicamente dello specialista sanitario, il quale è chiamato a considerare tutti gli aspetti relativi allo stato della salute che possono rilevare ai fini della cura di un paziente.
Ciò premesso, accogliendo l’ipotesi prospettata nelle memorie difensive, secondo la quale la raccolta delle informazioni relative alla presenza di malattie infettive (ivi compresa l’infezione da HIV) è avvenuta nell’ambito dell’attività di cura da parte del dentista, il presupposto giuridico di tale raccolta sarebbe rinvenibile nel perseguimento di una finalità di diagnosi, assistenza o terapia sanitaria, indicata nell’art. 9, par. 2, lett. h) del Regolamento.
Tuttavia, si rileva che la predetta attività di cura non è stata, in concreto, realizzata, considerato che lo specialista ha comunicato al paziente di non poterlo sottoporre alle prestazioni richieste. Pertanto, anche ove in linea con l’assunto secondo il quale la citata raccolta sarebbe avvenuta nell’ambito dell’attività di cura, e tralasciando gli eventuali profili di deontologia medica, sui quali l’Autorità non è competente, la circostanza che la prestazione medica non sia stata, nei fatti, attuata per volontà del medico, fa venir meno il presupposto giuridico fondante il trattamento dei dati relativi alla salute, in particolare, consistente nell’acquisizione dell’informazione relativa alla presenza dell’infezione da HIV.
Emerge, quindi, che la raccolta della predetta informazione non ha avuto il fine concreto di valutare la migliore terapia per il paziente, offrendogli la prestazione richiesta, eventualmente anche con un rafforzamento delle protezioni dal rischio del contagio (la cui adozione, si ricorda, è, in ogni caso, con riferimento a quelle di carattere generale, obbligatoria per tutti gli operatori, nelle strutture sanitarie ed assistenziali, pubbliche e private; a queste si aggiungono le precauzioni specifiche per gli operatori odontoiatrici, “considerato che, allo stato attuale delle conoscenze scientifiche, non è possibile identificare con certezza tutti i pazienti con infezione da HIV”-cfr. premesse e artt. 1 e 4 del citato d.m. 28 settembre 1990), quanto, piuttosto, quello di allontanare il paziente rifiutando le cure dallo stesso richieste.
Pertanto, vengono confermate le valutazioni preliminari dell’Ufficio e rilevata l’illiceità del trattamento di dati personali effettuato dal Dentista, in violazione dell’art. 5 del Regolamento, nei termini di cui in motivazione.
4. Conclusioni
Con l’ordinanza in commento, il Garante quantifica l’ammontare della sanzione in € 20.000,00 tenendo in considerazione in primo luogo la natura dei dati trattati (particolari o cd. sensibili, art. 9 gdpr), relativi all’infezione da HIV, per le quali il legislatore ha previsto una tutela rafforzata dell’interessato (art. 83, par. 2, lett. a, e, g gdpr) ed in secondo luogo il pregiudizio subito dall’interessato per l’effetto della condotta del medico, in quanto non ha ricevuto la prestazione sanitaria richiesta (art. 83, par. 2, lett. K gdpr).
Come circostanze attenuanti l’Autorità indipendente ha considerato la collaborazione da subito offerta dal medico nel corso dell’istruttoria, ma ha escluso che la violazione possa rientrare nel novero di quelle a carattere colposo (art. 83, par. 2, lett. b, f gdpr).
Considerando che la sanzione è stata irrogata nei confronti di uno studio composto dal un solo professionista per una sola violazione accertata su un singolo paziente, sarebbe stato interessante conoscere il livello di compliance del sanitario rispetto agli altri adempimenti previsti nel provvedimento sulla disciplina per il trattamento dei dati relativi alla salute in ambito sanitario.
Come è noto, infatti, il trattamento dei dati sulla salute prevede, tra gli altri, lo scrupoloso rispetto della disciplina sul consenso (da richiedere per la consultazione del fascicolo sanitario elettronico, la consegna del referto online, l’utilizzo di app mediche, la fidelizzazione della clientela ecc), l’adozione di informative sul trattamento dei dati (art. 13 gdpr), la tenuta e l’aggiornamento del registro dei trattamenti (art. 30 gdpr) e la nomina di un DPO (art 37 gdpr) quantomeno nei casi in cui è obbligatoria.
In altre parole, conoscere se il Dentista sanzionato abbia dimostrato il rispetto del principio di accountability sul trattamento dei dati dei propri pazienti, ci offrirebbe la possibilità di valutare, in funzione nomofilattica, se e in che modo tale circostanza ha influito nella severa quantificazione della sanzione operata dal Garante.