Privacy: sanzione di 20.000 euro ad odontoiatra per aver raccolto dati del paziente

Ordinanza ingiunzione del Garante del 10 giugno 2021

La vicenda

L'odontoiatra XX consegnava al paziente Y, prima di eseguire qualsiasi cura, un questionario anamnesico nel quale veniva richiesto, tra l'altro, di indicare se si ha avuto o si sospetta di avere malattie infettive, quali tubercolosi, epatite (a-b-c) e HIV (Aids); il paziente compilava il questionario indicando di essere positivo all'HIV e l'odontoiatra XX avvertiva quindi il paziente Y di non poter prestare alcuna attività professionale in quanto "la sua diagnosi di sieropositività all'HIV non gli permetteva di scongiurare un possibile contagio del personale e degli altri pazienti"; il paziente Y presentava quindi un reclamo al Garante.

In fase di istruttoria ed in fase di audizione presso il Garante l'odontoiatra XX sosteneva di non aver eseguito ancora cure nei confronti del paziente e che il questionario era propedeutico alla successiva fase di cura.

Il Garante  osserva e condivido pienamente che

tuttavia, si rileva che la predetta attività di cura non è stata, in concreto, realizzata, considerato che lo specialista ha comunicato al paziente di non poterlo sottoporre alle prestazioni richieste. Pertanto, anche ove in linea con l'assunto secondo il quale la citata raccolta sarebbe avvenuta nell'ambito dell'attività di cura, e tralasciando gli eventuali profili di deontologia medica, sui quali l'Autorità non è competente, la circostanza che la prestazione medica non sia stata, nei fatti, attuata per volontà del medico, fa venir meno il presupposto giuridico fondante il trattamento dei dati relativi alla salute, in particolare, consistente nell'acquisizione dell'informazione relativa alla presenza dell'infezione da HIV.

Emerge, quindi, che la raccolta della predetta informazione non ha avuto il fine concreto di valutare la migliore terapia per il paziente, offrendogli la prestazione richiesta, eventualmente anche con un rafforzamento delle protezioni dal rischio del contagio 

Conclusioni del Garante

Al di là dei chiarimenti forniti in sede istruttoria e di audizione, che qui si omettono per brevità, il Garante osserva che:

-l'art. 5 del Regolamento prevede che i dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell'interessato e devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (c.d. principi di "liceità, correttezza, trasparenza" e "minimizzazione dei dati": art. 5, par. 1, lett. a) e c) del Regolamento);

- il Garante ha già ritenuto in contrasto con i predetti principi la raccolta, in fase di accettazione, di informazioni relative all'eventuale stato di sieropositività di ogni paziente che si rivolge per la prima volata allo studio medico, indipendentemente dal tipo di intervento clinico o dal piano terapeutico che lo stesso deve eseguire (cfr. Provv. 12 novembre 2009 n. 35, doc. web n. 1673588; cfr., altresì, Provv. 12 novembre 2009, doc. web n. 1686068, le cui prescrizioni sono ritenute compatibili con il Regolamento e con le disposizioni del decreto n. 101/2018; cfr. art. 22, comma 4, del citato d.lgs. n. 101/2018);

- la legge 5 giugno 1990, n. 135 (Programma di interventi urgenti per la prevenzione e la lotta contro l'AIDS) ha previsto specifiche disposizioni per la protezione del contagio professionale da HIV nelle strutture sanitarie ed assistenziali pubbliche e private, attuate con d.m. 28 settembre 1990 (art. 7). In considerazione dell'impossibilità "di identificare con certezza tutti i pazienti con infezione da HIV" il legislatore ha ritenuto che le "precauzioni finalizzate alla protezione dal contagio (...)" siano da adottare "nei confronti della generalità delle persone assistite" (cfr. premesse del citato decreto). In particolare, le specifiche precauzioni previste per gli operatori odontoiatrici devono essere adottate nei confronti di "ogni singolo paziente" (cfr. art. 4 del citato decreto).

Quindi il Garante ha emesso l'ordinanza-ingiunzione nei confronti del dott. X ed ai sensi dell'art. 83 par. 5 lett. a del Regolamento ha inflitto una sanzione pecuniaria di euro 20.000 oltre alla sanzione accessoria - ex art. 166 c. 7 del Codice - della pubblicazione, sul sito del Garante, della stessa ordinanza ingiunzione.