2522
Annullata una sanzione privacy da 50.000 euro all’AUSL Romagna: la comunicazione con il marito della paziente era conforme al GDPR
Il Tribunale di Ravenna accoglie il ricorso dell’AUSL Romagna e riconosce che nessuna delle informazioni fornite dall’infermiera rientra nella definizione di dato personale relativo alla salute fornita dal GDPR
Un’ordinanza di ingiunzione di 50.000 euro comminata dal Garante Privacy all’AUSL della Romagna, è stata annullata a seguito del ricorso proposto dall’azienda sanitaria.
La vicenda, come segnalato nel nostro Informaiop n. 389, riguarda la telefonata fatta erroneamente dalla struttura sanitaria al marito di una paziente che si era allontanata dal reparto dopo una interruzione volontaria di gravidanza.
Nello specifico, l’AUSL era stata sanzionata poiché un’infermiera aveva chiamato in emergenza un numero telefonico diverso da quello fornito dalla signora per essere contattata, per darle indicazioni sull’assunzione di un farmaco salvavita, e a questo numero aveva risposto il marito della donna.
Al marito l’infermiera aveva solo riferito di telefonare dal reparto di ginecologia e di dover parlare urgentemente con la paziente per una terapia. Questa sola interazione aveva comportato, a parere del Garante, «l'esplicita correlazione da parte di un soggetto terzo non legittimato tra l'interessata e un determinato reparto di degenza indicativo di uno specifico stato di salute (in violazione degli artt. 5 par. 1 lett. a) e 9 del Regolamento)».
Il Tribunale di Ravenna, accogliendo il ricorso dell’AUSL Romagna, assistita dagli avvocati Silvia Stefanelli e Maria Livia Rizzo dello Studio legale Stefanelli&Stefanelli, ha invece riconosciuto che nessuna delle informazioni fornite dall’infermiera rientra nella definizione di dato personale relativo alla salute fornita dal Considerando 35 del Regolamento europeo sulla protezione dei dati (GDPR).
Non è infatti possibile risalire allo stato di salute della paziente tramite la sola indicazione di una terapia non specificata nell’ambito di una prestazione sanitaria fornita genericamente nel reparto di ginecologia. Ciò dal momento che le terapie prescritte in un reparto di ginecologia possono essere le più varie e non necessariamente coincidere con la gestione post-operatoria di una interruzione di gravidanza.
In definitiva, il Giudice ha ricondotto la nozione di dato relativo alla salute nei limiti del dettato legislativo del GDPR. Infatti, come emerge dalla lettura del Considerando 35, per aversi una comunicazione di «dato relativo alla salute» occorre che siano rivelate informazioni connesse allo stato di salute fisica e mentale passata, presente o futura del paziente. Al contrario, la generica associazione di un paziente ad un reparto (che peraltro svolge non solo degenza ma anche attività ambulatoriale comprensiva di screening routinari) non dice nulla sullo stato di salute del paziente stesso: quindi non può essere considerata un «dato relativo alla salute».