Innumerevoli sono le attività che ogni giorno si svolgono all’interno di un contesto sanitario.
Principalmente si tratta di attività di diagnosi, cura, assistenza, riabilitazione e quanto altro contribuisca a garantire la salute e la sicurezza delle cure.
Al pari di quanto scritto finora, esiste un altro aspetto, essenziale, vitale e determinante alla stregua degli elementi sopra indicati: la privacy.
Dal punto di vista formativo, nella maggior parte dei casi, tali fattori sono affidati a corsi obbligatori, calati dall’alto senza via di scampo. Tutto ciò rischia di generare disinteresse e malavoglia nel parteciparvi.
Eppure, quanto stiamo per descrivere rappresenta un alert, una buccia di banana sulla quale “facilmente” scivolare, nonostante la diligenza di uno dei protagonisti della nostra storia.
All’interno del nostro racconto si andranno a miscelare aspetti pratici, giuridici e regolamentari: di fatto si fonderanno caratteristiche peculiari delle professioni sanitarie, unitamente al rispetto del Codice penale e civile, il tutto contestualizzato e “incorniciato” da articoli estratti all’interno del Regolamento 2016/679, comunemente definito GDPR.
Ma veniamo a noi: una donna viene ricoverata presso il reparto di ginecologia per l’intervento di interruzione volontaria della gravidanza, fornendo un numero telefonico, da utilizzare per i successivi contatti; il giorno della dimissione, durante la consegna delle raccomandazioni da osservare e i farmaci da prendere, l’infermiera addetta a tale attività viene chiamata per un’urgenza, di conseguenza chiede alla paziente di attenderla, al fine di verificare il pieno recepimento delle informazioni pronunciate in precedenza. Purtroppo, la donna decide di allontanarsi, tanto che la stessa infermiera, dovendo fornire necessarie indicazioni con riguardo al farmaco da assumere, tenta immediatamente di contattare la paziente utilizzando il numero scritto sul frontespizio della cartella clinica, senza notare che all’interno era presente l’ulteriore recapito telefonico, ed al marito, che aveva risposto, riferì di essere l’infermiera che doveva parlare con la moglie per una terapia, senza altro aggiungere. E qui sta la diligenza della collega! E tale diligenza, il Tribunale ha ritenuto che “non sia stata integrata la fattispecie dell'addebito, individuata dal Garante, per evere l'azienda sanitaria rivelato uno specifico stato di salute, comunicando a terzi dati idonei a rivelarlo, senza idonea base giuridica ed in violazione del diniego della stessa a consentirne la conoscenza da parte di soggetti terzi, in violazione del principio di correttezza”.
Nonostante l’azienda sanitaria avesse opportunamente comunicato al Garante della privacy quanto accaduto, quest’ultimo, in data 27 gennaio 2021 commina una sanzione pari ad euro 50.000,00, dichiarando illecito il trattamento dei dati personali della paziente.
La ASL, convinta di aver operato nel giusto, propone opposizione, accolta dal Tribunale con sentenza del 31 marzo 2022.
Il Garante collegava il profilo di responsabilità alla violazione del considerando 35 del regolamento 2016/679 (dati personali relativi alla salute: dati contenenti informazioni sulla salute fisica o mentale, come sui dati di registrazione a servizi di assistenza o prestazioni sanitarie, nonché un codice che identifichi il paziente a fini sanitari, quelle su esami e controlli effettuati su una parte del corpo e qualsiasi informazione concernente, ad esempio, una malattia, una disabilità, il rischio di malattie, l’anamnesi medica, i trattamenti clinici o lo stato fisiologico o biomedico dell’interessato.
Ebbene, il Tribunale ha invece ritenuto che nessuna di tali informazioni sia stata fornita dall’infermiera, in quanto le uniche informazioni derivate dalla telefonata attengono al reparto ed il generico riferimento ad una “terapia”: ma il reparto di ginecologia non è necessariamente di degenza, né compie solo interventi di interruzione volontaria di gravidanza; in virtù di quanto esposto il succitato Tribunale, ha concluso che la telefonata non configura una comunicazione contenente dati concernenti la salute giuridicamente rilevanti ai fini sanzionatori, in violazione del principio di correttezza.
Non soddisfatto di tale decisione, il Garante propone ricorso, sottolineando la violazione degli artt. 32 e 9 della Cost. e considerando 10, 35 e 51 del GDPR: in particolare sottolinea la necessità di rispettare le misure di sicurezza, dirette a prevenire “un’esplicita correlazione tra l’interessato e reparti o strutture, indicativa dell’esistenza di un particolare stato di salute. Ne deriva che la mera correlazione tra la paziente e il reparto di degenza abbia costituito un illecito trattamento dei dati sulla salute della stessa".
Questa nostra storia, raggiunge la Corte Suprema di Cassazione, la quale valutati tutti gli aspetti, i documenti in suo possesso, rinvia il caso al giudice di merito, fissando tuttavia, i seguenti criteri utili al nuovo pronunciamento:
a) La natura, la gravità e la durata della violazione tenendo in considerazione la natura, l’oggetto o la finalità del trattamento in questione, nonché il numero di interessati lesi dal danno;
b) Il carattere doloso o colposo della violazione;
c) Le misure adottare dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;
d) Il grado di responsabilità del titolare del trattamento;
e) Eventuali precedenti violazioni;
f) Il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
g) Le categorie di dati personali interessate dalla violazione;
h) La maniera in cui l’autorità di controllo ha preso conoscenza della violazione;
i) L’adesione ai codici di condotta;
j) Eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso.
La Corte ricorda inoltre che il giudice di merito dovrà prendere in considerazione, tra l’altro, anche:
· la condotta della paziente stessa, che non soltanto fornì entrambi i numeri di telefono per il contatto, ma, soprattutto, non attese, come le era stato chiesto ed indicato, il ritorno dell’infermiera per ottenere la corretta terapia;
· la condotta di estrema diligenza dell’infermiera nel preoccuparsi di reperire la paziente, sebbene questa si fosse inopportunamente e volontariamente allontanata prima del permesso di congedo medico dalla struttura.
Aldilà delle interpretazioni dei vari gradi di giudizio e, non da meno, oltre le criticità manifestate dallo stesso Garante della Privacy, è indispensabile a questo punto considerare tutti i dati sanitari, a tutti i livelli, dati sensibili, il cui utilizzo deve sempre prevedere il consenso esplicito dell'interessato, anche nella più semplice delle comunicazioni.
La sintesi riportata nel nostro commento ad una sentenza della Corte di Cassazione deve esserci da monito e non da meno, deve valorizzare a gran voce l’estrema diligenza dimostrata dalla collega, la quale, nel rispetto della riservatezza tipica dei contesti ostetrici e sanitari in generale, ha mostrato una professionalità peculiare della professione infermieristica. Non da meno, è mandatorio inglobare nel vivere quotidiano professionale, tutti gli aspetti (definiti Considerando) elencati all’interno del Regolamento 2016/679