L’Autorità Garante per la protezione dei dati personali ha emesso lo scorso 13 febbraio due significativi provvedimenti (il n. 81 e il n. 82) nei confronti di due medici per il trattamento illecito di dati personali a fini di propaganda elettorale.
Con i provvedimenti il Garante ha sottolineato le criticità legate all’utilizzo di dati sanitari e informazioni personali dei pazienti per scopi non conformi alle normative sulla protezione dei dati.
Indice degli argomenti
Provvedimenti del Garante
In merito al provvedimento n. 81, un chirurgo oncologo, aveva inviato lettere elettorali a circa 50 pazienti oncologiche con cui aveva instaurato un rapporto di fiducia nel corso delle cure.
Il messaggio faceva esplicito riferimento alla malattia delle destinatarie, sollecitando la loro fiducia elettorale sulla base della precedente fiducia medica.
Il Garante ha rilevato che il trattamento dei dati personali, da parte dell’oncologo, avveniva in violazione del Regolamento (UE) 2016/679 (Gdpr), in particolare con riferimento ai principi di liceità, correttezza e trasparenza (art. 5, par. 1, lett. a) Gdpr); di limitazione della finalità (art. 5, par. 1, lett. b) Gdpr) e al divieto generale di trattamento dei dati sulla salute senza idoneo presupposto normativo (art. 9 Gdpr).
Le sanzioni
Per tali violazioni, il Garante ha inflitto una sanzione di 10.000 euro e ha ordinato la pubblicazione del provvedimento, oltre a trasmetterlo all’Ordine dei medici chirurghi e degli odontoiatri per eventuali provvedimenti deontologici.
In riferimento al provvedimento n. 82 invece un medico di medicina generale, inviava un’email elettorale a circa 500 pazienti, inserendo tutti i destinatari nel campo visibile della posta elettronica.
Nel messaggio veniva richiesta espressamente la preferenza elettorale, utilizzando gli indirizzi raccolti nello studio medico per finalità di comunicazione sanitaria.
Le contestazioni del Garante
Con il provvedimento, l’Autorità ha contestato al medico le seguenti violazioni:
- utilizzo dei dati personali (e-mail) per fini non coerenti con la finalità della raccolta (art. 5, par. 1, lett. a) e b) Gdpr);
- mancanza di consenso specifico per la propaganda elettorale (art. 9, par. 1 Gdpr);
- violazione dei principi di integrità e riservatezza (art. 5, par. 1, lett. f) GDPR), avendo reso visibili reciprocamente gli indirizzi e-mail dei pazienti.
Anche in questo caso, il Garante ha applicato una sanzione di 10.000 euro, ordinato la pubblicazione del provvedimento e segnalato il medico all’Ordine professionale.
L’uso illecito dei dati sanitari a fini di propaganda elettorale
Entrambi i casi mettono in evidenza un utilizzo illecito dei dati personali dei pazienti, con violazioni dirette del Gdpr e del Codice della Privacy italiano (D.lgs. 196/2003) e nello specifico:
- l’uso di dati sanitari senza idonea base giuridica;
- l’abuso del rapporto fiduciario tra medico e paziente per finalità elettorali;
- la mancata adozione di misure di sicurezza adeguate per il trattamento dei dati personali.
Inoltre, il Garante ha sottolineato l’obbligo per i professionisti sanitari di rispettare i principi deontologici, che vietano l’uso della professione per trarre indebiti vantaggi.
Con i provvedimenti il Garante ha ribadito il principio secondo cui i dati personali raccolti nell’ambito dell’attività di cura della salute da parte dei sanitari non sono utilizzabili per fini di propaganda elettorale senza uno specifico consenso degli interessati, rappresentando un chiaro monito nei confronti degli operatori sanitari affinché rispettino i limiti imposti dal Gdpr e dalle normative nazionali sulla protezione dei dati personali.
