Anche i medici, trattando i dati dei pazienti, devono adempiere al GDPR con le modalità chiarite dal provvedimento del Garante n. 55/2019 del marzo scorso. Ma non era prevedibile la leggerezza con cui alcuni di loro postano immagini e dati dei pazienti sui social.
Un fenomeno che ha serie ripercussioni legali: le Autorità cominciano infatti ad affrontare il problema. Ad esempio, recentemente il Garante di Cipro ha fatto una multa di 14.000 euro ad un medico che aveva pubblicato su Internet i dati sensibili di un paziente senza il suo consenso.
Come spiega nei dettagli il rapporto dell’authority guidata da Eleni Loizidou Nicolaidou, il chirurgo aveva filmato con il suo telefonino una persona che era ricoverata in ospedale per sottoporsi a un intervento di rinoplastica, e aveva poi postato sul web le immagini prima e dopo l’operazione a scopo dimostrativo senza riportare il nome del paziente, ignorando però che questo era comunque riconoscibile dal volto, e che pur avendo acconsentito implicitamente ad essere ripreso, non aveva però dato alcuna consapevole autorizzazione a diffondere quel video per finalità pubblicitarie tramite il profilo ufficiale Instagram della clinica, che peraltro aveva 4 mila follower.
Ancora più clamoroso è il caso italiano: il primario della Chirurgia Generale dell’Ospedale AGP di Piedimonte Matese, ha pubblicato sia dati riguardanti la salute di una paziente che il suo credo religioso, scrivendo sul suo profilo: ”Oggi sono triste e contemporaneamente inc….to nero. Una paziente è venuta meno nel mio reparto perché ha rifiutato una trasfusione di sangue. Era testimone di Geova. L’avrei salvata al 100% ma ha rifiutato ed è morta”.
Se da una parte il primario nel suo post ha omesso di riportare il nominativo della donna a cui faceva riferimento, (probabilmente pensando di mantenerne così l’anonimato), non ha però tenuto conto che il comune menzionato è un piccolo paese della provincia di Caserta.
In questo modo, la persona interessata, pur se non identificata, risulta identificabile.
Qualora vi fosse necessità di chiarire perché si può commettere una violazione della privacy di un individuo anche senza menzionarne espressamente il nome, e per cui in molti casi neanche basta “pseudonimizzarlo” scrivendone solo le iniziali puntate, occorre soffermarsi attentamente sulla nozione di “dato personale” riportata all’art 4 del Regolamento UE 2016/679, che definisce come tale “qualsiasi informazione riguardante una persona fisica identificata o identificabile“.
Il volto della prima persona menzionata, operata al naso a Cipro, è quindi un dato personale perché può essere identificata direttamente per chi lo vede, mentre l’insieme di minuziosi dettagli forniti dal medico di Piedimonte Matese costituiscono comunque dati personali perché consentono di identificare indirettamente la donna defunta.
Ragion per cui allo stesso modo anche un apparente anonimo numero di matricola sul braccialetto identificativo che viene messo sul polso del paziente al momento del ricovero in ospedale è anch’esso un dato personale, cosi come le credenziali fornite dal laboratorio di analisi per scaricare il proprio referto online sono pure dati personali.
Commenti, video, selfie che vengono postati in rete da parte di medici sta diventando un tema di discussione e fonte di preoccupazione di portata nazionale.
Urge sensibilizzare gli interessati riguardo la portata dei diritti e le modalità per esercitarli, così come i titolari del trattamento devono acquisire la cultura della protezione dei dati che trattano, che trova validi strumenti non solo nella normativa GDPR, ma prima ancora nel Codice Deontologico.