Dati sanitari sotto chiave

PRIVACY/ Il garante bacchetta un’azienda sanitaria troppo leggera
L’ospedale non può inviare Tac ai fornitori
di Antonio Ciccia Messina

Dati sanitari senza libertà di circolazione. L’ospedale non può mandare le Tac dei pazienti al fornitore delle apparecchiature diagnostiche, per un uso autonomo da parte di quest’ultimo. Neanche se il fornitore esterno è stato nominato responsabile esterno del trattamento e neppure se i dati sono anonimizzati. Lo scudo a tutela delle informazioni sulla salute è alzato dal Garante della privacy, che ha bacchettato un’azienda sanitaria e una società fornitrice di apparecchiature di alta diagnostica (newsletter del 23/9/2019 n. 457). La società in questione, una volta ricevute le immagini dall’Asl, attraverso un software, ha estratto, anonimizzato e pseudonimizzato i dati, per poi allegare le immagini rielaborate alla documentazione necessaria per partecipare a una gara d’appalto e, in seguito, depositarle agli atti di un contenzioso giudiziario. Nel caso specifico, l’Asl ha sbagliato perché ha comunicato informazioni sulla salute di alcuni pazienti identificati in assenza di un’adeguata base normativa. E, a sua volta, la società ha sbagliato, perché ha eseguito trattamenti per finalità proprie (partecipazione alla gara e difesa in giudizio) non riconducibili a quelle per le quali era stata designata responsabile del trattamento. Sono, invece, attività tipiche del responsabile esterno le attività di manutenzione per garantire l’efficienza dell’apparecchiatura e la qualità delle immagini della Tac. A chiusura dell’istruttoria il Garante ha avviato i procedimenti per l’applicazione delle sanzioni amministrative (quelle del vecchio codice della privacy, poiché i fatti risalgono a prima dell’operatività del Regolamento Ue sulla protezione dei dati 2016/679 o Gdpr). La vicenda rimette sotto i riflettori la materia della privacy sanitaria, ancora in attesa delle misure di garanzia previsti dall’articolo 2-speties del codice della privacy. Peraltro, la mancata adozione di tali misure di garanzia non può essere addotta a pretesto di condotte lassiste, poiché il compiuto sistema delle tutele, costruito anteriormente al Gdpr, è del tutto compatibile con il quadro europeo della protezione dei dati e i provvedimenti del Garante conservano efficacia (articolo 22, comma 4 dlgs 101/2018).
© Riproduzione riservata

Fonte: