Continua l’attività di interpretazione e applicazione del General Data Protection Regulation UE 2016/679 (“GDPR”) da parte delle Autorità di controllo europee.
La Commission nationale de l’informatique et des libertés (CNIL) ha irrogato una sanzione di 500.000 euro per chiamate indesiderate.
Nel contempo, il Garante per la protezione dei dati personali spagnolo (AEPD) ha pubblicato delle linee guida sul trattamento dei dati sanitari.
1. Chiamate indesiderate: la CNIL irroga una sanzione di cinquecentomila euro
1.1 La decisione e le sue motivazioni. Il 21 novembre 2019, l’Autorità nazionale francese per la protezione dei dati personali ha comminato una sanzione di 500.000 euro nei confronti di una società titolare del trattamento a seguito della ricezione del reclamo di un’interessata. La predetta società effettuava infatti campagne di contatto telefonico per il tramite di diversi call center situati, per la maggior parte, in Nord Africa. Nella denuncia, da cui il procedimento del CNIL origina, l’interessata lamentava di essere destinataria delle chiamate promozionali nonostante si fosse più volte opposta: sia telefonicamente, sia con l’invio di una lettera alla sede centrale della società.
La procedura sanzionatoria è stata avviata dall’Autorità solo dopo aver inutilmente prescritto alla società l’adozione di misure correttive necessarie per adeguarsi alla normativa sulla protezione dei dati personali.
Al compimento dell’attività istruttoria, la CNIL ha rilevato:
(i) violazione del principio di minimizzazione dei dati, in quanto la società, nel registrare le conversazioni telefoniche effettuate dagli operatori, avrebbe raccolto dati ultronei rispetto alle finalità perseguite (es. dati relativi allo stato di salute e commenti offensivi). L’Autorità ha dunque prescritto l’adozione di sistemi in grado di captare i dati non rilevanti, ad esempio tramite parole chiave, e di impedirne la raccolta;
(ii) omessa informativa, in quanto la società non avrebbe informato gli interessati del fatto che la conversazione con l’operatore sarebbe stata oggetto di registrazione o, comunque, non avrebbe fornito alcuna informazione relativa al trattamento dei dati personali effettuato. La CNIL ha sottolineato che le informazioni prescritte devono essere rese all’interessato al momento della raccolta dei dati personali presso il medesimo. L’invio dell’informativa tramite e-mail, una volta terminata la chiamata con l’operatore durante la quale i dati sono già stati ottenuti, non può essere considerato adeguato;
(iii) violazione del diritto di opposizione, in quanto la società non avrebbe implementato alcun sistema “centralizzato” in grado di individuare gli interessati che avevano esercitato il loro diritto di opposizione contro campagne di marketing e, quindi, non dovevano essere contattati. L’Autorità ha rimarcato l’importanza di adottare una soluzione affidabile quale, ad esempio, un sistema di consultazione automatizzata dei recapiti telefonici non contattabili ogniqualvolta l’operatore intende effettuare una chiamata promozionale;
(iv) mancata collaborazione con l’Autorità di controllo, in quanto i numerosi solleciti dell’Autorità al fine di ottenere informazioni e documenti, poi ottenuti solo parzialmente, mostrerebbe il disinteresse della società per il rispetto della normativa relativa alla protezione dei dati personali;
(v) mancanza di garanzie adeguate per il trasferimento extra-UE, in quanto la società avrebbe disciplinato il trasferimento dei dati personali tramite l’adozione di clausole contrattuali che non sono in linea né con quelle della Commissione europea, né con quelle di un’Autorità di controllo.
1.2 Le sanzioni: Nel decidere se imporre una sanzione amministrativa e l’ammontare della stessa, la CNIL ha tenuto conto degli impatti negativi che le violazioni rilevate hanno avuto sui soggetti contattati, anche sottolineando come il procedimento in esame sia stato avviato a seguito del reclamo presentato da un’interessata. L’Autorità ha inoltre disposto la pubblicazione della decisione adottata in diversi siti web, con obbligo di non omettere il nome della società sanzionata per un periodo di due anni. Tale ultima misura, si legge nella decisione, sarebbe utile anche a rendere i soggetti che nel futuro potranno essere contattati dalla società consapevoli dei loro diritti.
2. Le linee guida dell’AEPD sul trattamento dei dati sanitari
2.1 I principi applicabili al trattamento dei dati personali. Le istruzioni pubblicate dall’AEPD si rivolgono al personale medico e ai pazienti con lo scopo di assicurare piena consapevolezza circa le peculiarità che caratterizzano il trattamento dei dati sanitari. A questi, infatti, il GDPR garantisce un particolare regime di protezione.
(i) La liceità del trattamento. Ai sensi dell’art. 6(1)(b) e (c) del GDPR, il trattamento dei dati personali è lecito se necessario “all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso” o “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento”. In tal senso,sottolinea l’AEPD, il previo consenso del paziente non sarà necessario, ad esempio, per finalità di medicina preventiva o del lavoro. La possibilità di ricorrere a motivi d’interesse pubblico o alla salvaguardia di interessi vitali per legittimare il trattamento è residuale. Il consenso deve comunque essere sempre ottenuto qualora le informazioni sullo stato di salute vengano trattate per finalità promozionali;
(ii) La limitazione delle finalità. L’AEPD chiarisce cosa deve intendersi per finalità non incompatibile ai sensi dell’art. 5(1)(b) del GDPR nell’ambito del trattamento dati sanitari. Conformemente al Considerando 33 del GDPR (“Gli interessati dovrebbero avere la possibilità di prestare il proprio consenso soltanto a determinati settori di ricerca o parti di progetti di ricerca (…)”), se il paziente ha prestato il proprio consenso al trattamento dei suoi dati per finalità di ricerca specifica, ad esempio di ricerca per la cura del tumore al colon, le informazioni possono lecitamente essere utilizzate anche per altre ricerche nel campo oncologico. D’altra parte, si afferma, i dati personali raccolti e trattati al fine di prestare l’assistenza richiesta al paziente possono essere lecitamente trattati per l’ulteriore finalità di ricerca scientifica.
(iii) L’esattezza dei dati. Le informazioni contenute nei database sanitaridovranno essereesatte e, se necessario, aggiornate.Circa le informazioni contenute nelle cartelle cliniche, sarà il professionista sanitario a dover valutare quali dati possano e debbano essere cancellati e quali, eventualmente, rettificati.
(iv) La limitazione della conservazione. I dati contenuti nelle cartelle cliniche dovranno essere conservati per tutta la durata della prestazione di assistenza sanitaria. Le suddette informazioni potranno comunque essere utilizzate per studi epidemiologici, insegnamento e ricerca e conservati sino al perseguimento di tali ulteriori finalità. In questi ultimi casi, i dati identificativi del paziente dovrebbero essere separati dai dati sanitari a questo riferibili. Al riguardo va segnalato che la posizione dell’Autorità spagnola sul punto non sarebbe replicabile in Italia, dove, in base alla Circolare n. 90/1986 del Ministero della Sanità italiano, “le cartelle cliniche, unitamente ai relativi referti, vanno conservate illimitatamente” essendo, le stesse, indispensabili “a garantire la certezza del diritto, oltre a costituire preziosa fonte documentaria per le ricerche di carattere storico sanitario”.
Ancora aperti appaiono comunque alcuni punti circa il rispetto dei principi applicabili al trattamento in ambito sanitario. Le linee guida non si occupano di fornire ai titolari del trattamento alcuna indicazione al fine di garantire il rispetto del principio di limitazione delle finalità nel caso di condivisione dei dati contenuti, ad esempio, in biobanche. Per altri versi, l’AEPB si limita a enunciare criteri di applicazione generici senza comunque fornire indicazioni operative su questo come su altri punti, come nel caso del principio di esattezza dei dati trattati e la “libera” valutazione del personale sanitario circa la cancellazione o rettifica delle informazioni del paziente.
2.2 I diritti dell’interessato. Nell’ambito del trattamento di dati relativi allo stato di salute, deve essere garantito il pieno rispetto di tutti i diritti che il GDPR riconosce in capo all’interessato. L’Autorità ha tenuto comunque a evidenziare particolari cautele e/o limitazioni che riguardano l’esercizio di alcuni diritti. In particolare:
(i) il diritto di accesso: il paziente ha il diritto di ottenere“la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali” e alle informazioni elencate all’art. 15(1) del GDPR, fatti sempre salvi i diritti di terzi. In particolare, i professionisti sanitari possono opporsi a che il paziente che ha esercitato il diritto di accesso conosca le considerazioni di carattere soggettivo dagli stessi espresse nel fornire l’assistenza medica;
(ii) il diritto alla cancellazione: l’AEPB si riferisce alla cancellazione delle informazioni afferenti la storia clinica del paziente come eccezionale, secondo due ordini di ragioni. Data la peculiarità delle attività solitamente legate al trattamento dei dati sanitari (i.e. fornire l’assistenza sanitaria necessaria), solo l’operatore sanitario è in grado di stabilire quali informazioni possono essere cancellate. Le informazioni contenute nella cartella clinica, inoltre, possono essere utilizzate anche per finalità di ricerca o, comunque, legate a interessi pubblici.
2.3 Le domande frequenti. L’AEPB risponde ad alcune domande frequenti nella sezione Q&A inclusa nelle linee guida:
(i) chi può accedere alla cartella clinica? La consultazione delle informazioni relative allo stato di salute del paziente da parte del Titolare del trattamento (solitamente il medico o la struttura sanitaria di riferimento) e dei soggetti esterni che forniscono servizi relativi all’assistenza dell’interessato (es. esami del sangue o altre tipologie di esami) nominati Responsabili del trattamento, deve essere necessaria al fine di garantire la corretta cura del paziente. Le strutture sanitarie che non adottano misure adeguate a garantire l’accesso ai dati sanitari ai soli soggetti appositamente autorizzati e nell’espletamento delle loro mansioni potranno essere sanzionate;
(ii) i genitori possono accedere al fascicolo sanitario dei propri figli con età compresa tra i 14 e i 18 anni? L’accesso ai dati sanitari del minore è essenziale per adempiere all’obbligo di assistenza dei figli ed è limitato ai soggetti che esercitano la potestà genitoriale. Gli altri membri della famiglia non potranno accedere;
(iii) in caso di assenza per malattia, quali informazioni deve contenere il certificato di malattia da trasmettere al datore di lavoro? Il documento dovrà includere esclusivamente, oltre ai dati identificativi del lavoratore, la data da cui inizia l’assenza per malattia, la causa, il codice diagnostico, la durata stimata dell’assenza e, qualora lo stato del paziente è connesso a una diagnosi precedente, i giorni di assenza del lavoratore in tale ultima circostanza. Il certificato dovrà far riferimento alla data in cui è prevista la successiva visita medica;
(iv) il soggetto che assiste il paziente ricoverato può richiedere un certificato alla struttura sanitaria per giustificare la sua assenza dal posto di lavoro? Nel rispetto del principio di minimizzazione, la certificazione che la struttura sanitaria potrà rilasciare in tali circostanze deve contenere esclusivamente le seguenti informazioni: nome e cognome del paziente, data e ora del ricovero, numero approssimativo dei giorni di ricovero. Non si potrà, spiega l’AEPB, far menzione dello stato di salute del paziente, dell’unità di ammissione e dell’eventuale tipologia di intervento subito;
(v) le informazioni sullo stato di salute del paziente o sui risultati di esami effettuati possono essere comunicate telefonicamente? La struttura sanitaria potrà effettuare tali comunicazioni telefonicamente esclusivamente, evidenzia l’Autorità, previa adozione di una procedura che garantisca l’identificazione del richiedente quale paziente/interessato. Ad esempio, tramite la richiesta di nome e cognome, numero identificativo, numero di tessera sanitaria.