I dati relativi alla salute – ha di recente nuovamente sottolineato l’Autorità Garante per la protezione dei dati personali – godono di una tutela rafforzata e, fatte salve le eccezioni previste dalla norma, ne è vietata la diffusione.
L’Autorità ha altresì ribadito che la trasparenza amministrativa non può violare la privacy delle persone.
Per questi motivi, il Garante Privacy ha recentemente sanzionato per 46mila euro l’Azienda sanitaria locale Roma 1, che aveva pubblicato in chiaro sul proprio sito web tutti i nominativi e i dati relativi alla salute dei soggetti che avevano fatto richiesta di accesso civico nel 2017 e 2018.
Nella maggior parte dei casi – ha messo in evidenza il Garante –, gli atti riguardavano la documentazione sanitaria degli interessati, fra cui cartelle cliniche, accertamenti di invalidità, test, relazioni tecniche, e altro ancora.
La prima grave violazione rilevata dall’Autorità Garante per la protezione dei dati personali, che si è attivata d’ufficio, è stata quindi la diffusione dei dati sulla salute dei soggetti interessati, informazioni relative sia allo stato fisico che mentale, compresa la prestazione di servizi di assistenza sanitaria.
Nel pubblicare i Registri di accesso – ha spiegato l’Autorità per la privacy –, la Asl ha inoltre violato il principio di “minimizzazione” dei dati, che non sono risultati limitati a quanto necessario rispetto alle finalità di trasparenza amministrativa, per le quali sono trattati, e le disposizioni della disciplina in materia di trasparenza e delle Linee guida Anac sull’accesso civico, che stabiliscono di oscurare i dati personali eventualmente presenti.
Nel determinare la sanzione, il Garante della Privacy ha comunque tenuto conto di alcuni elementi attenuanti, come, in particolare, il carattere del tutto accidentale della condotta, l’assenza di segnalazioni o lamentele dei soggetti interessati, il tempestivo intervento della Asl per porre rimedio alla violazione, la collaborazione con l’Autorità e le misure tecniche e organizzative messe poi in atto a garanzia dei dati personali.