Privacy in sanità e risarcimento danni
Il tema della privacy in sanità richiama alla mente le casistiche di violazione della privacy stessa, soprattutto quando ci riferiamo a quegli accessi ai documenti sanitari effettuati non per erogare prestazioni mediche, ma per esclusive ragioni personali, descritte come mera curiosità.
Gli accertamenti svolti, a seguito del verificarsi di queste situazioni, evidenziano a volte che le misure adottate dall’ospedale, a tutela del dossier sanitario aziendale, non si sono dimostrate idonee ad assicurare un’adeguata tutela dei dati personali dei pazienti e a proteggerli da trattamenti non autorizzati, determinando così un trattamento illecito di dati.
La struttura sanitaria è tenuta a risarcire il danno sofferto dal paziente in conseguenza della diffusione dei dati sensibili contenuti nella cartella clinica, a meno che non dimostri di aver adottato tutte le misure necessarie per garantire il diritto alla riservatezza del paziente ed evitare che i dati relativi ai test sanitari e alle sue condizioni di salute possano venire a conoscenza di altre persone.
Ma quando scatta esattamente il risarcimento? Cosa bisogna provare e quali sono gli obblighi a cui sono sottoposti i sanitari perché io possa dire che nel caso specifico la privacy è stata violata?
Nel rispondere alle domande, in questo articolo vedremo che cosa comporta la violazione della privacy in sanità, chi sono i soggetti responsabili in caso di violazione del trattamento dei dati e quali sono i presupposti di un’eventuale richiesta risarcitoria in caso di violazioni accertate.
Cosa si intende per privacy in sanità
Il termine privacy è una parola di derivazione inglese con la quale ci riferiamo al diritto alla riservatezza di ogni persona a tenere intimi determinati aspetti, dati, informazioni, atti relativi alla propria persona , impedendo che siano divulgati a terzi senza il proprio consenso e la propria autorizzazione.
Ma, per capire quando si è di fronte ad un trattamento di dati personali, è utile partire dalle definizioni che fornisce il Codice in materia di privacy in merito a:
- che cos’è un dato personale, in sanità
- che cosa si intende per trattamento dei dati in ambito sanitario
I dati personali sono quelli che rivelano informazioni sullo stato di salute di un soggetto, sono quelli cioè attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria.
Per trattamento dei dati personali si intende qualsiasi operazione compiuta sui dati stessi come la raccolta, la registrazione, l’organizzazione, la conservazione, la comunicazione, la diffusione etc.
L’ampiezza delle definizioni ci fa comprendere che il tema della privacy in sanità è tutt’altro che astratto, ma anzi, reale e quotidiano, atteso che, in tutte le attività sanitarie si concretizza un comportamento che comporta un trattamento di dati personali.
Quali sono le regole da osservare
Il Codice sulla protezione dei dati personali stabilisce regole per il trattamento dei dati personali in ambito sanitario per tutelare la privacy e la dignità dei pazienti tenendo conto del ruolo professionale di medici e del personale paramedico.
In particolare, tra gli obblighi che devono essere rispettati troviamo:
- la consegna dell’informativa privacy,
- la nomina dei collaboratori come persone autorizzate al trattamento di dati personali, (titolare del trattamento)
- la nomina dei soggetti come responsabili della protezione dei dati (responsabile del trattamento)
Obbligo del sanitario è quello di informare il paziente al momento della raccolta dei dati, per metterlo nelle condizioni di di conoscere ed accedere ai dati raccolti, di opporsi per motivi legittimi al loro trattamento o di contrastare ed impedire eventuali abusi d’utilizzo.
Le informazioni possono essere fornite per il complessivo trattamento dei dati e devono essere semplici, chiare, concise, trasparenti e facilmente accessibili.
Un altro aspetto molto importante che stabilisce il codice in materia di privacy in sanità è quello per cui il trattamento dei dati è sempre consentito per:
- motivi di interesse pubblico rilevante, anche di natura sanitaria (come ad esempio emergenze conseguenti a sismi, pandemie sicurezza alimentare);
- finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale e per finalità di cura.
Deve trattarsi di trattamenti essenziali per il raggiungimento di finalità connesse alla cura della salute ed effettuate da personale soggetto al segreto professionale.
In pratica, quindi, per le finalità di cura il consenso del paziente ai fini privacy non è necessario ( i medici, infatti, sia per obbligo deontologio che di legge, sono tenuti al segreto professionale), ciceversa il consenso torna ad essere necessario quando il trattamento dei dati del paziente non ha finalità di cura in senso stretto: ad esempio se il medico utilizza i dati dei pazienti per fidelizzazione dei clienti o per fini promozionali o anche informativi (es. newsletter).
Al di fuori, quindi, delle ipotesi prescritte, per procedere al trattamento deve essere richiesto il consenso esplicito del soggetto interessato.
Il consenso deve essere libero, specifico, informato e soprattutto espresso.
Il Garante per la protezione dei dati Personali, ha individuato di recente determinate situazioni in cui è assolutamente necessario il consenso al trattamento dei dati:
- Consultazione del Fascicolo Sanitario Elettronico
- Consegna del referto on line
- Utilizzo di APP Mediche
- Fidelizzazione della clientela
- Finalità promozionali o commerciali
- Finalità elettorali
Uno strumento molto in uso, oggi, e per il quale è richiesto il consenso, è quello del fascicolo sanitario elettronico.
Il fascicolo sanitario elettronico è un documento elettronico che contiene i dati sanitari di ogni paziente, quali patologie, interventi chirurgici, esami clinici, farmaci prescritti, documentazione sui ricoveri.
E’ consultabile on line sia dall’interessato, sia da altri soggetti, ma per farlo è possibile solo se i soggetti sono stati preventivamente autorizzati; previa autorizzazione è, inoltre, aggiornabile da medici, farmacisti ed enti ospedalieri. Il paziente deve poter scegliere, in piena libertà, se far costituire o meno un fascicolo sanitario elettronico (Fse), con tutte o solo alcune delle informazioni che lo riguardano.
A tal fine occorre ricevere un’adeguata informativa che chiarisca chi (medici di base o di reparto) provvede al trattamento e assicuri la possibilità di oscurare la visibilità di alcuni eventi clinici.
A chi non volesse aderire al fascicolo Sanitario Elettronico è comunque assicurato il diritto di usufruire delle prestazioni sanitarie che ha richiesto.
Va detto, che il personale sanitario potrà consultarlo solo per finalità sanitarie (prevenzione, diagnosi, cura e riabilitazione dell’interessato). Non potranno, pertanto, accedervi invece periti, compagnie di assicurazione, e datori di lavoro ad esempio.
Conseguenze dell’illecito trattamento dei dati: risarcimento danni
Da tutto ciò capiamo che tutti gli operatori sanitari, se a conoscenza di notizie riservate riguardanti una persona, hanno l’obbligo di non rivelarle, poiché vanno incontro non solo ad una violazione di norme giuridiche, ma anche ad una rottura del rapporto di fiducia con il paziente.
Non solo.
E’ utile sapere che, anche gli organi di informazione, nel fare riferimento allo stato di salute di una persona, sono tenuti al rispetto della dignità e del diritto alla riservatezza e al decoro personale, specialmente quando si tratta di malattie gravi o terminali. In questi casi è dovere del giornalista astenersi dal pubblicare dati analitici di interesse strettamente personale (ad esempio è stata vietata la diffusione anche tramite sito web delle generalità delle persone alle quali le notizia si riferivano).
Ora, venendo all’aspetto sanzionatorio, la Legge prevede una serie di misure per sanzionare il trattamento illegittimo dei dati personali.
Tra queste misure troviamo anche la possibilità che chi subisce un trattamento illegittimo dei dati personali di chiedere il risarcimento per i danni subiti.
In particolare, è previsto che chi subisce un danno, materiale o immateriale causato da una violazione della Privacy ha diritto di ottenere il risarcimento del danno dal titolare o dal responsabile del trattamento.
Il danno che in questi casi puoi chiedere è rappresentato dai pregiudizi subiti, sia dal punto di vista strettamente economico (danni patrimoniali), sia a livello non economico riguardanti le tue attività quotidiane e le tue sofferenze interiori (danno non patrimoniale).
Una cosa importante da riconoscere al riguardo è che non basta la violazione di una regola stabilita dal codice della privacy, o la semplice diffusione dei dati personali senza il proprio consenso per avere diritto al risarcimento.
Ci devono essere infatti altri due presupposti, oltre alla condotta illecita (attiva od omissiva che costituisce violazione della Privacy) che devono essere soddisfatti e che sono:
- il danno;
- il nesso di causalità tra la condotta e il danno.
Il risarcimento, infatti, non scatta in automatico, ma avviene se si dimostrano i pregiudizi che sono derivati alla propria riservatezza dalla diffusione di quel trattamento, come nei casi in cui l’illecita diffusione dei dati provochi un forte senso turbamento e vergogna, tale da giustificare una seria e grave lesione della propria sfera intima personale.
Queste circostanze devono essere dimostrare e provate con testimoni e documenti.
Ricapitolando per essere risarciti occorre dimostrare.
- l’esistenza delle conseguenze pregiudizievoli che hai subito
- l’esistenza di una condotta che viola la Privacy (per farti altri esempi: l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati, furto o perdita di dispositivi informatici contenenti i dati personali, alterazione dei dati stessi, impossibilità di accedere ai dati elettronici etc.);
- un collegamento tra i primi due elementi (cioè che i danni che lamenti siano stati effettivamente provocati da quel comportamento senza il quale nulla sarebbe successo o cambiato nella tua vita).
Come in ogni iter risarcitorio, è buona cosa rivolgersi ad un avvocato attraverso cui inviare una formale richiesta di risarcimento al titolare del trattamento.
La richiesta, oltre alla formale messa in mora in relazione al pagamento dei danni subiti, dovrà contenere i motivi per cui si considera illegittimo il trattamento.
Per verificare se vi è stata nel tuo caso una lesione sensibile della privacy che fa scattare il diritto ad essere risarciti per danni, puoi valutare sin d’ora la possibilità di richiedere un colloquio gratuito di orientamento con un avvocato qualificato; per ottenerlo ti basterà compilare il modulo che trovi QUI.

Avv. Angelo Forestieri
Avvocato con focus sulla Responsabilità civile e il Risarcimento danni alla persona e autore di varie pubblicazioni nei principali portali giuridici sui temi della responsabilità medica e della struttura sanitaria.
Puoi contattare l'Avvocato attraverso il modulo della pagina "contatti" all'interno del Sito.