Segnali dal Garante: illegittimo che un medico utilizzi i dati dei pazienti per propaganda elettorale in assenza di consenso

Dalla medicina alla propaganda elettorale.

Ben 16.000 euro è la somma che dovrà pagare un medico per definire una sanzione pecuniaria che gli è stata inflitta lo scorso 14 febbraio dall’Autorità sulla Privacy.

Il fatto.

Un medico, che aveva prestato attività presso un importante ospedale oncologico, ha utilizzato gli indirizzi di circa 3.500 ex-pazienti per inviare lettere a sostegno di un candidato alle elezioni politiche regionali del 4 marzo 2018, senza che gli interessati avessero espresso, preventivamente, alcuno specifico consenso a riguardo.

La ricezione di tali missive ha generato una serie di segnalazioni, alcune anche pubblicate da mezzi stampa, con cui alcuni destinatari delle lettere avevano lamentato l’utilizzo dei propri dati personali senza aver, prima, prestato il loro consenso per ricevere tali comunicazioni. 

Il Garante, acquisita la segnalazione, ha attivato un’istruttoria nel corso della quale il medico si è difeso affermando di aver scritto ai suoi ex pazienti, che aveva già avuto in cura presso un importante Istituto oncologico, per informarli della sua nuova sede di lavoro, avendo cessato il suo rapporto professionale presso l’Istituto.

Sino a qui nulla di anomalo.

Nel prosieguo della sua difesa, il medico ha altresì riferito al Garante di aver “anche” informato i suoi ex pazienti che nelle imminenti elezioni avrebbe espresso il suo sostegno a un candidato, già assessore alla Sanità e al Welfare, e quindi aveva ritenuto di rispettare le norme consentendo ai destinatari di opporsi alla ricezione dei messaggi, mediante un link posto in calce alla email inviata.

La valutazione del Garante

Il Garante ha giudicato un tale trattamento di dati personali illecito per diversi profili.

Con il primo ha osservato che “le argomentazioni addotte non risultano idonee ad escludere la responsabilità della parte in ordine alle violazioni amministrative contestate. Per quanto concerne la violazione di cui all’art. 161 del Codice, si osserva che, in base all’art. 13, comma 4, del Codice, quando i dati non sono raccolti presso l’interessato, l’informativa deve essere resa al momento della registrazione dei dati o, quando è prevista la loro comunicazione, non oltre la prima comunicazione. Nel caso di specie, risulta accertato che la parte ha acquisito dall’IEO la mailing list contenente i nominativi e gli indirizzi e-mail dei propri pazienti, al momento della cessazione del proprio rapporto di lavoro; tuttavia, non risulta provato né documentato in atti che sia stata resa l’informativa agli interessati, al momento dell’acquisizione da parte del dott. XX dei suddetti dati, così come previsto dall’art. 13, comma 4, del Codice.”

Con il secondo rilievo, l’Autorità Garante ha contestato al medico la violazione di cui all’art. 162, comma 2-bis, del Codice rappresentando che “la condotta illecita contestata alla parte si riferisce all’utilizzo dei dati personali per finalità differenti da quelli di cura (che avevano giustificato l’originario trattamento), senza che gli interessati avessero espresso il proprio specifico e autonomo consenso. Infatti, la missiva oggetto dell’istruttoria, non si limitava a rendere noto ai pazienti gli spostamenti del professionista, ma indicava chiaramente il sostegno a un candidato nell’ambito delle consultazioni elettorali che si sarebbero svolte di lì a poco in Lombardia. Aspetto senz’altro censurabile sotto il profilo della protezione dei dati personali, posto che si tratta di una finalità perseguita dal dott. XX senza che gli interessati avessero espresso alcuna manifestazione di consenso al riguardo

Al termine dell’istruttoria il Garante visto il tenore delle norme violate, ovvero:

  • l’art. 161 del Codice, che punisce la violazione dell’art. 13 del medesimo Codice, che prevede la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro;
  • l’art. 162, comma 2-bis del Codice che prevede la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

ha ritenuto di dover determinare, ai sensi dell’art. 11 della legge n. 689/1981, l’ammontare della sanzione pecuniaria nella misura minima di euro 6.000,00 (seimila) per la violazione di cui all’art. 161, e nella misura minima di euro 10.000,00 (diecimila) per la violazione di cui all’art. 162, comma 2-bis, del Codice, per un ammontare complessivo pari a euro 16.000,00 (sedicimila)

Ad ulteriore chiarimento sulla materia il Garante, nella sua Newsletter del 29.04.2019:

  • ha ricordato quanto affermato con il provvedimento generale in materia di propaganda elettorale del 6 marzo 2014 ove “i dati personali raccolti nell’ambito dell’attività di tutela della salute da parte di esercenti la professione sanitaria e di organismi sanitari, non sono utilizzabili per fini di propaganda elettorale e connessa  comunicazione politica. Tale finalità non è infatti riconducibile agli scopi legittimi per i quali i dati sono stati raccolti“;
  • ha chiarito che, nonostante la sanzione sia stata comminata in base al vecchio Codice, i principi che la ispirano restano validi anche in base al nuovo Regolamento Ue, come di recente precisato nel suo provvedimento del 7 marzo 2019.

Scarica i provvedimenti integrali:

Segui e condividi i nostri contenuti anche sui social network...