Nella vicenda in questione, affronteremo una questione attinenente all’ambito della privacy.
1. I fatti
Alcuni mesi prima del provvedimento l’interessato aveva segnalato al Garante di aver visto presso il triage del pronto soccorso dell’ospedale di Arezzo un manifesto pubblicitario che raffigurava un operatore sanitario seduto ad una postazione di lavoro, all’interno del quale era possibile scorgere chiaramente “nome, cognome, data di nascita, luogo di nascita, residenza, numero libretto sanitario, scheda di pronto soccorso, data ingresso ora, data uscita, gravità della dimissione, prognosi, cura e medicinali prescritti” del reclamante.
A seguito di chiarimenti richiesti dal Garante, l’AUSL ha risposto fornendo alcune precisazioni:
- i dati dell’utente si sarebbero limitati al solo nome e cognome, determinandosi quindi una generica correlazione tra il soggetto e una prestazione di pronto soccorso senza alcuna specificità sullo stato di salute dello stesso;
- il posizionamento del cartellone pubblicitario nell’ingresso riservato ai pazienti del pronto soccorso era dovuto “a una mera disattenzione in un contesto temporale di eccezionalità stante il perdurare di uno stato di emergenza sanitaria”;
- tale ingresso all’epoca dei fatti era utilizzato “solo da pazienti in ingresso covid negativi”ed era un ambiente dove “di norma non si verificavano soste di pazienti o di altri utenti”;
- la diffusione del cartellone si era limitata alla sola sede del Pronto Soccorso dell’ospedale di Arezzo, non essendo stati rinvenuti altri esemplari del predetto cartellone presso le altre sedi territoriali dell’Azienda Sanitaria né in forma telematica “sulla pagina Facebook, sul sito internet e nella intranet aziendale”;
- il cartellone, dopo una permanenza nel locale di alcune settimane, “era stato poi rimosso e posto in un locale chiuso a chiave senza possibilità di accesso se non da personale appositamente autorizzato”.
Parallelamente al procedimento del Garante l’interessato aveva presentato denuncia presso l’Autorità giudiziaria.
2. Esito dell’istruttoria
Le osservaizoni del Grante Privacy, che accoglie il ricorso dell’interessato.
Occorre ricordare che la disciplina in materia di protezione dei dati personali prevede che le informazioni sullo stato di salute di un soggetto non possano essere diffuse e possano essere comunicate a un soggetto diverso dall’interessato “solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso previa delega scritta di quest’ultimo”.
Col provvedimento del 1 giugno 2023 n. 227 il Garante per la protezione dei dati personali ha comminato all’AUSL Toscana Sud Est la sanzione di 20.000 euro per aver violato gli artt. 5, 9 e 25 del GDPR e l’art. 2 septies, comma 8 del Codice Privacy (d.lgs 196/2003).
Le misure adottate dall’AUSL
Al fine di evitare future violazioni l’Azienda Sanitaria ha comunicato al Garante di aver adottato diverse procedure organizzative.
In primis l’Azienda ha predisposto “un percorso di addestramento dei neoassunti in corrispondenza dei nuovi ingressi a tempo indeterminato” durante il quale vengono trattati temi relativi al GDPR ed illustrato il Modello aziendale di data protection.
È stato aggiornato il Codice di Comportamento dell’AUSL Toscana Sud Est, nel quale sono ora riportate specifiche disposizioni relative alla protezione dei dati personali e all’utilizzo dei social; inoltre è stata predisposta una procedura aziendale “che disciplina la previsione di un presidio centralizzato a livello aziendale in ordine alla realizzazione di materiali con utilizzo di immagini su qualunque supporto (cartellonistica, brochure, video, foto, post, etc.) finalizzati alla pubblicazione/divulgazione nell’ambito delle iniziative istituzionali dell’Azienda”.
Infine è in corso di predisposizione una procedura aziendale che obbliga i direttori delle strutture che intendono realizzare materiale relativo a campagne di informazione, educazione e promozione della salute a raccordarsi con la struttura aziendale competente in materia di comunicazione ai fini di acquisire la preventiva valutazione da parte del Responsabile Protezione Dati dell’Azienda
