Secondo quanto affermato recentemente dal Garante Privacy, è necessario prestare particolare attenzione a pubblicazioni o divulgazioni scientifiche di studi clinici.
Accertandosi che il paziente sia stato preventivamente informato e abbia dato il suo consenso. Inoltre, verificando e che i suoi dati siano stati opportunamente anonimizzati.
Lo ha ricordato il Garante per la protezione dei dati personali nel sanzionare, in tre diversi provvedimenti, un dottore, una Ausl e un’associazione di medici chirurghi coinvolti nella pubblicazione on-line di documenti sulla salute di un paziente.
Il caso di violazione dei dati personali (data breach) era stato segnalato al Garante da una Azienda sanitaria locale chiamata in causa da un paziente.
La persona, dopo essersi curato presso la struttura, aveva trovato fotografie e altre informazioni riferibili alla sua salute pubblicate sul sito di un’associazione medica. Tali documenti erano reperibili anche tramite comuni motori di ricerca.
Nel corso dell’istruttoria è emerso che un dottore aveva scaricato documenti dell’interessato dagli archivi informatici dell’Azienda Sanitaria.In seguito, il medico li aveva utilizzati per una relazione in un congresso medico.
Aveva poi usato il materiale della presentazione per partecipare a un concorso gestito da un’associazione di chirurghi. Il suo lavoro scientifico era stato anche pubblicato in rete senza alcuna forma di ulteriore oscuramento.
Inoltre, dai riscontri è emerso che il dottore, pur essendo autorizzato ad accedere alla documentazione medica per finalità di cura, non aveva chiesto il consenso al paziente. Né aveva ottenuto il permesso alla Ausl, di poterla utilizzare per informazione scientifica.
Il medico non aveva neppure proceduto a effettuare a un’efficace anonimizzazione dei dati usati per le diapositive e la successiva relazione scientifica.
Durante l’istruttoria il dottore aveva provato a giustificare la diffusione della documentazione sanitaria sulla base del consenso rilasciato alla Ausl dal paziente, per il trattamento dei suoi dati per finalità di “indagine epidemiologica e ricerca scientifica”.
Nel provvedimento il Garante Privacy ha però ricordato che quello specifico consenso, peraltro rilasciato solo all’Azienda, non giustifica in ogni caso la divulgazione dei dati sanitari, e che il dottore aveva trattato dati personali e documenti clinici al di fuori delle finalità di cura. Per tali motivi ha ricevuto dall’Autorità una sanzione di 5.000 euro.
L’associazione chirurgica che aveva pubblicato la relazione con i dati sanitari sul proprio sito, tra l’altro senza l’autorizzazione del dottore vincitore del premio, ha invece ricevuto una sanzione di 2.000 euro.
Nel terzo provvedimento, il Garante Privacy ha rilevato che la violazione dei dati causata dal medico si era verificata in quanto l’Azienda sanitaria non aveva adottato tutte le misure tecniche e organizzative volte a ridurre il rischio che il proprio personale autorizzato ad accedere ai documenti clinici per finalità di cura, potesse poi utilizzarli per altri scopi.
L’episodio è però risultato isolato e gestito in maniera tempestiva da parte della struttura sanitaria che, tra l’altro, aveva già promosso iniziative volte a regolamentare l’utilizzo dei documenti aziendali per la partecipazione a convegni e seminari, addirittura promuovendo a livello regionale l’adozione di un apposito codice di condotta approvato dal Garante stesso. La Ausl ha ricevuto quindi solo un ammonimento.
