Con un recente provvedimento sanzionatorio per l’importo di 20 mila euro nei confronti di uno studio dentistico, l’Autorità Garante per la protezione dei dati personali è intervenuta chiarendo l’ambito della raccolta dei dati per finalità di anamnesi da parte di un professionista della sanità e precisandone i limiti operativi. Nel caso oggetto di istruttoria, il reclamo del paziente riguardava la richiesta da parte dello studio dentistico di compilare un questionario preliminare, all’interno del quale si specificava “di evidenziare anche se si ha avuto (o si sospetta) di avere malattie infettive, quali tubercolosi, epatite A, B, C e HIV (AIDS).” e il fatto che, successivamente all’informazione riguardante la propria sieropositività veniva a questi impedito l’accesso alla prestazione di pulizia dentale richiesta.
I rilievi formulati del Garante hanno portato alla contestazione della violazione dei principi di liceità, correttezza e trasparenza, nonché di minimizzazione dei dati. Emerge infatti con particolare riguardo l’aspetto dell’effettiva discriminazione subita in concreto dall’interessato, consistente nel mancato accesso alla prestazione sanitaria richiesta. Per tale motivo, infatti, è venuta meno per lo studio dentistico (quale titolare del trattamento) la possibilità di avvalersi della base giuridica di cui all’art. 9 par. 2 lett. h) GDPR per la raccolta dei dati sanitari del paziente. In primo luogo, perché tali dati non sono stati trattati nell’ambito del processo di cura dal momento che vi è stato un rifiuto della prestazione bensì per regolare (e in concreto: rifiutare) l’accesso alla prestazione richiesta. In secondo luogo, perché le norme che regolano la protezione del contagio professionale da HIV all’interno delle strutture sanitarie prevedono l’adozione delle precauzioni per la protezione dal contagio “nei confronti della generalità delle persone assistite” (L. 5 giugno 1990, n. 135 e D.M. 28 settembre 1990), senza dunque discriminare in alcun modo ad un paziente eventualmente sieropositivo l’accesso alle prestazioni.
Da ciò, deriva una raccolta non necessaria dei dati rispetto alle finalità del trattamento svolto, e dunque la contestata violazione dell’art. 5 GDPR che ha comportato l’applicazione della sanzione “per aver effettuato un trattamento di dati non pertinente rispetto alle finalità per le quali sono stati trattati.”.
Un ulteriore spunto offerto dal Provvedimento riguarda la ricerca della distinzione fra fase di accettazione (e dunque: primo contatto con lo studio) e di diagnosi e cura (e dunque: anamnesi, individuazione della terapia, formazione del diario clinico) del paziente. Viene espressamente riconosciuta la liceità della raccolta dei dati sanitari del paziente nella seconda fase e, nello specifico, nell’indagine anamnestica condotta da parte del medico in accordo alla propria libertà professionale che definisce la pertinenza e necessità della raccolta delle informazioni presso il paziente, il quale ha comunque diritto a decidere “in modo consapevole (e quindi informato) e responsabile, di non comunicare al medico alcuni eventi sanitari che lo riguardano.”.
Un’attenta progettazione, verifica e riesame delle attività di trattamento, soprattutto quando riguarda dati e interessati per cui sono previste tutele rafforzate, anche in assenza dei presupposti per cui è obbligatorio lo svolgimento di una valutazione d’impatto, è senz’altro un caveat da tenere bene a mente.
