Quanto è facile conoscere la positività di un soggetto: la privacy dei cittadini è a rischio? I controlli del Garante

Durante questa emergenza sanitaria, quello che sta succedendo, in maniera sempre più frequente, è la possibilità, per un numero elevatissimo di soggetti, di doversi sottoporre a trattamenti sanitari quali tamponi, test sierologici e altre analisi, oppure di trovarsi nella situazione che venga rilevata la possibile positività al virus, ad esempio all'ingresso in azienda se venga rilevata una temperatura superiore ai 37,5° oppure per la positività di un collega.

Queste circostanze stanno diventando familiari a tutti noi ma spesso sottovalutiamo che assumono connotati ancor più importanti se si tratta il problema da una prospettiva diversa, quella della privacy. 

Dati sanitari: cosa sono e quali tutele prevede il legislatore. 
Riportiamo integralmente da 

La potenziale gravità di queste vicende [v. il caso Milano Cor] sotto il profilo della violazione della privacy dei soggetti coinvolti risiede nella tutela non adeguata rispetto a una categoria di dati personali che, più di altre, può comportare pregiudizi e possibili effetti negativi, qualora sfuggisse alla sfera di controllo del soggetto a cui si riferisce. Quelli trattati nelle ipotesi sopra analizzate, infatti, sono dati sanitari, definiti ai sensi dell’articolo 4 GDPR come “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute”, definizione ulteriormente ampliata nel Considerando 35 del GDPR, dove viene precisato che sono considerabili tali anche “le informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica, compresi i dati genetici e i campioni biologici; e qualsiasi informazione riguardante, ad esempio, una malattia, una disabilità, il rischio di malattie, l’anamnesi medica, i trattamenti clinici o lo stato fisiologico o biomedico dell’interessato, indipendentemente dalla fonte, quale, ad esempio, un medico o altro operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro”.

Questa tipologia di dati viene ricompresa nella categoria dei dati particolari dall’articolo 9 GDPR, trattandosi di informazioni in grado di rivelare aspetti molto personali del soggetto, così come l’origine razziale e le opinioni politiche.

Data la particolare valenza di questi dati, il legislatore, sia europeo, che nazionale, ha predisposto in primis una sorta di divieto generale al trattamento di questi dati, seguito però, ovviamente, da una serie di eccezioni, rappresentate dalla manifestazione del consenso dell’interessato, dalla sussistenza di un pubblico interesse, dalla necessità di tutelare un interesse vitale, nonché per finalità di medicina preventiva, del lavoro e altri trattamenti sanitari.

L’impianto di tutele predisposto per la protezione di questa tipologia di dati si fonda su specifiche ragioni e, soprattutto, sulle possibili conseguenze negative per il soggetto interessato in caso di loro violazione. Si pensi, ad esempio, ai rischi di:

• esposizione dei dati in questione alla conoscenza di soggetti terzi, non autorizzati, che potrebbero utilizzare in mala fede i dati acquisiti;

• possibili risvolti negativi sul piano reputazionale, sia nella sfera privata che in quella professionale;

• possibile esposizione ad attacchi mirati, volti all’acquisizione e all’utilizzo di questi dati per varie forme di ricatto, truffa o sostituzione di persona, tutte fattispecie perseguibili penalmente.

L’accertamento di una violazione di questi livelli di tutela fa quindi scaturire conseguenze importanti sul piano della responsabilità e conseguentemente su quello sanzionatorio: il GDPR sul punto prevede, all’articolo 83, sanzioni amministrative pecuniarie fino a 20 milioni di euro, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Conclusioni

Alla luce di quanto descritto e vista l’importanza di garantire un livello di tutela elevato per la categoria dei dati sanitari, è auspicabile una maggiore attenzione da parte di tutti,  istituzioni, aziende, organizzazioni e di tutti coloro che, a vario titolo, trattano questi dati, per la sicurezza di tali informazioni.

Resta legittimo il trattamento di tali dati sanitari di soggetti, purchè ne resti garantita sicurezza e protezione in tutte le fasi del trattamento, in particolare nel momento della loro comunicazione.

Eventuali leggerezze, determinano gravi violazioni che saranno valutate, e pesantemente sanzionate, dall’Autorità Garante.