VEDI ANCHE Newsletter del 27 novembre 2023

[doc. web n. 9954241]

Provvedimento del 26 ottobre 2023

Registro dei provvedimenti
n. 497 del 26 ottobre 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, l’avv. Guido Scorza, componente, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”)”;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del Garante n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

RELATORE il prof. Pasquale Stazione;

PREMESSO

1. Il reclamo e l’attività istruttoria

Nel mese di XX, è pervenuto a questa Autorità un reclamo con il quale è stato lamentato il trattamento di numerosi dati sulla salute della reclamante in violazione della disciplina sulla protezione dei dati personali da parte della sig.ra Brambilla con particolare riferimento all’elaborazione di una tesi finale relativa al “Corso di diploma in osteopatia” presso la Scuola di formazione professionale XX (di seguito Scuola), dal titolo “Trattamento osteopatico per nevralgia del trigemino indotta da asportazione di neoplasia maligna al ganglio di Gasser”, a.a. 2020/2021.

A supporto di quanto lamentato, la reclamante ha prodotto copia della predetta tesi (inviata l’XX alla stessa a mezzo posta elettronica dalla predetta Scuola) nell’ambito della quale è descritto un caso clinico attraverso numerosi dettagli anamnestici, clinici, personali (es. composizione familiare, attività lavorativa) e documentali, corredati di puntuali riferimenti temporali, mediante i quali è possibile, anche se indirettamente, identificare la reclamante. Nella predetta tesi è inoltre riportato un documento clinico (questionario A.D.L.- index of indipendence in activities of daily living) in cui sono riportate numerose informazioni sullo stato di salute dell’interessata, i cui dati anagrafici sono stati solo sommariamente oscurati.

Secondo quanto rappresentato in atti, i dettagli clinici relativi alla reclamante sarebbero stati estratti dalla copiosa documentazione medica che l’interessata aveva inviato alla sig.ra Brambilla in occasione dei trattamenti osteopatici cui si era sottoposta, nonostante la stessa avesse esplicitamente richiesto la massima riservatezza (email del XX, in atti).

La reclamante ha inoltre rappresentato di aver chiesto chiarimenti alla sig.ra Brambilla in merito all’utilizzo dei suoi dati sanitari ai fini della redazione della predetta tesi e che quest’ultima ha negato di aver realizzato tale tesi sul caso clinico della reclamante, dichiarando che la tesi discussa presso la Scuola non riguardava la stessa ma altra fattispecie di cui ne ha inviato una copia alla stessa reclamante (documentazione in atti).

In relazione al predetto reclamo, questo Ufficio ha avviato un’istruttoria preliminare e ha chiesto informazioni alla sig.ra Brambilla (nota del XX, prot. n. XX), nonché alla citata Scuola.

La sig.ra Brambilla in riscontro alla predetta richiesta ha rappresentato, in particolare, che:

all’epoca dei fatti “esercitava la propria professione in maniera indipendente all’interno dello studio medico “Fenice”;

“ricevuta la richiesta di appuntamento, la signora Alice Brambilla […] in qualità di titolare del trattamento dati provvedeva come da prassi a sottoporre alla signora [….] la propria informativa sul trattamento dati personali di cui all’art. 13 del Regolamento […] e a richiedere il consenso al trattamento dei dati personali relativi al suo stato di salute con le seguenti finalità: i) esecuzione della prestazione professionale richiesta ii) ricerca scientifica […] sia per l’utilizzo nella tesi”;

“Nello specifico, il consenso è visibile […] con la presente dicitura: “acquisite le summenzionate informazioni fornitemi dal Titolare del trattamento ai sensi dell’art. 13 del Reg. Ue, e consapevole, in particolare che il trattamento potrà riguardare i dati relativi alla salute, presto il mio consenso per il trattamento dei dati anche, dati sanitari, necessari allo svolgimento delle operazioni indicate nell’informativa”;

“I dati clinici non sono soggetti a diffusione, se non a scopo di ricerca scientifica” (punto 6 dell’informativa, rubricato “Diffusione dei dati”);

“[…] vi è una manifestazione di volontà dell’interessata libera, specifica, informata e inequivocabile esplicitamente resa attraverso dichiarazione sottoscritta di proprio pugno in fondo a destra dell’informativa a che la professionista potesse trattare i dati non solo per la prestazione ma altresì per finalità scientifica, definizione attraverso la quale rientra pacificamente l’utilizzo dei dati per lo studio dei casi e la loro analisi in documenti di natura accademica quale è sicuramente la tesi della signora Brambilla”;

“la comunicazione successiva dell’interessata del XX […], non sposta […] quanto sopra in quanto il richiamo a tenere la massima riservatezza sui dati comunicati è un richiamo vago e generico e per nulla in grado di scalfire l’impianto consensualistico come da informativa sopra delineato, anzi l’invio dei dati rappresenta un ulteriore conferma per fatti concludenti del consenso al trattamento e che in mancanza di specifica richiesta di limitazione rispetto a un determinato trattamento deve essere considerata conferma totale quanto al contenuto riportato in informativa e al consenso su tutti i trattamenti in tale sede prestato”;

“I dati riversati nella tesi siano dati totalmente anonimizzati nell’accezione ritenuta valida da codesto Garante, ossia quella che per ritenere anonimo un dato che attraverso mezzi ragionevolmente disponibili possa permettere di re-identificare l’interessato (infatti nessuna delle ipotesi 1-3 di pag. 3 della richiesta informazioni è possibile)”;

“Ciò in quanto nel testo della tesi vengono riferiti dati clinici ed altri aspetti del paziente utili a inquadrare l’origine del dolore (anamnesi), ma mai in presenza di dati anagrafici o altri che possano ricondurre quanto riportato nella tesi all’identità della […] Reclamante, anche con riferimento alle pagine 26-33 [dell’elaborato della tesi] è evidente che sia impossibile risalire al nominativo della signora opportunamente offuscato”;

“In sintesi la titolare del trattamento oltre ad aver idoneamente consegnato l’informativa contenente tutte le informazioni richieste e raccolto dati e consenso al trattamento dei dati sanitari per entrambe le finalità, ha provveduto anche ad anonimizzare comunque i dati”;

“In ogni caso la tesi non è stata oggetto di pubblicazione né online né altrove da parte della titolare del trattamento. Essa è stata condivisa sono con “il relatore della tesi” e “la segreteria dell’istituto per finalità burocratiche di discussione e sua conservazione a fini legali”.

Sulla mitigazione degli effetti correlati al trattamento svolto, nella citata nota è stato dichiarato che:

la sig.ra Brambilla, per il tramite dei propri difensori, ha inviato una comunicazione alla predetta Scuola in cui è stata chiesta la conferma “dei soggetti cui loro hanno comunicato la tesi chiedendogli altresì di non comunicarla a terzi e in ogni caso di oscurare le pagine contenenti i dati clinici ivi contenuti”;

il trattamento è avvenuto in buona fede; il titolare del trattamento “ha fornito e fornisce la massima collaborazione; non ha mai ricevuto altri reclami o sanzioni” […] la finalità [del trattamento] sia stata quello di studio e ricerca per fini formativi professionali”;

“vi sia solo il reclamo di un interessato, non sia stato provato o riportato alcun danno, non vi si stata diffusione ma semplice comunicazione ai docenti (relatore e commissione) e agli apparati burocratici dell’ente (segreteria)”.

Tanto premesso, la sig.ra Brambilla ha rappresentato che nessun addebito le possa essere rivolto e, in subordine, ha chiesto che vengano “prese in considerazione tutte le circostanze attenuanti del caso in esame di cui all’art. 83 del Regolamento n. 2016/679 […]”.

In allegato alla predetta nota, la sig.ra Brambilla ha trasmesso copia dell’informativa e del consenso sottoscritto dalla reclamante, da cui emerge che:

al punto 1, rubricato “Finalità del trattamento dei dati”, è indicato che “il trattamento dei dati è finalizzato unicamente alla corretta e completa esecuzione del mio incarico professionale connesso con le attività di massoterapia e osteopatia svolte a tutela della sua salute”;

al punto 6, rubricato “diffusione dei dati”, è indicato che “i dati clinici non sono soggetti a diffusione se non a scopo di ricerca scientifica. Per lo svolgimento del presente incarico il professionista potrà altresì venire a conoscenza ed utilizzare dei dati sulla salute per il trattamento dei quali in ottemperanza alle disposizioni normative sopra richiamate (art. 6 del Reg. UE) è con la presente a richiedere espresso consenso”.

Con nota dell’XX, la Scuola, in riscontro ad una richiesta di informazioni dell’Ufficio del XX (prot. n. XX), ha dichiarato che i dati personali contenuti nella predetta tesi “non vengono pubblicati né su siti né su altri canali informativi sia cartacei sia digitali” e che “non sono accessibili da parte di terzi”.

Sulla base degli elementi acquisiti nell'ambito dell'istruttoria preliminare, l’Ufficio, con atto del XX (prot. n. XX), notificato in pari data mediante posta elettronica certificata,  ha avviato, ai sensi dell’art. 166, comma 5, del Codice, con riferimento alle specifiche situazioni di illiceità in esso richiamate, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2 del Regolamento, nei confronti della sig.ra Brambilla invitandola a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, l. n. 689 del 24 novembre 1981). 

In particolare, con il predetto atto l’Ufficio ha rilevato che la sig.ra Brambilla:

ha effettuato un trattamento di dati sulla salute della reclamante nell’ambito del completamento di un corso di formazione (tesi finale) in modo non conforme alla disciplina in materia di protezione dei dati personali;

ha fornito alla reclamante un’informativa priva degli elementi essenziali di cui all’art. 13 del Regolamento;

ha comunicato, senza un idoneo presupposto giuridico, i predetti dati sulla salute della reclamante a soggetti terzi (nello specifico al relatore della tesi e alla Scuola) che, tra l’altro, non risultano indicati tra i destinatari dei dati nell’informativa in atti;

ha effettuato un trattamento in violazione del principio di correttezza, in quanto a seguito di espressa richiesta della reclamante, ha negato di aver effettuato la tesi sul caso clinico che riguardava quest’ultima, inviando alla stessa una diversa tesi rispetto a quella effettivamente presentata alla scuola (documentazione in atti);

tutto ciò in violazione degli artt. 5, par. 1, lett. a), 6, 9, 12 e 13 del Regolamento;

Con nota del XX (pervenuta a mezzo Pec in data XX), la sig.ra Brambilla -per il tramite dei propri avvocati- ha fatto pervenire un documento denominato “integrazione documentale azioni correttive” in cui sono state illustrate le azioni intraprese a seguito all’apertura del procedimento da parte dell’Ufficio volte ad una “revisione del proprio sistema di gestione della privacy analizzando ed intervenendo, dal punto di vista tecnico ed organizzativo” aventi anche “rilevanza ai sensi dell’art. 83, par.2, lett. c) e d)”. In particolare, tali azioni hanno riguardato diverse aree tra cui:

la formazione, attraverso la partecipazione della stessa sig.ra Brambilla a diversi corsi in materia di trattamento dei dati personali in ambito sanitario;

la revisione dell’informativa da rendere agli interessati:

I. “con le indicazioni del Garante quanto alle inesattezze ivi contenute quanto all’identificazione della base giuridica e all’informazione mancante”;

II. con l’indicazione del “consenso di cui all’art. 9, par. 2, lett. a) […]  quale base giuridica per i dati sanitari in quanto la professione della reclamata pur trattando dati sanitari non è inquadrata in ordini con relativo obbligo di segreto professionale, pertanto, si ritiene sia la più idonea per colmare la copertura normativa data dal segreto professionale dettato per legge qui altrimenti mancante. Non è stato inserito alcun riferimento a motivi di ricerca e/o studio in quanto la reclamata ormai ha concluso il proprio percorso didattico”;

l’adozione di “un modello di nomina a responsabile del trattamento per eventuali collaboratori esterni (responsabili del trattamento)”;

la redazione di una valutazione d’impatto ai sensi dell’art. 35 del Regolamento;

l’adozione di specifiche misure tecniche e organizzative;

Alla luce di quanto sopra la sig.ra Brambilla, senza richiedere di essere audita, ai sensi dell’art. 166, comma 6 del Codice, ha chiesto che “nessuna sanzione debba esser[le] rivolta […], in subordine nella denegata e non creduta ipotesi di erogazione di sanzioni si chiede siano calcolate al minimo edittale per le motivazioni espresse sopra”

2. Esito dell’attività istruttoria

Preso atto di quanto rappresentato dalla sig.ra Brambilla nella documentazione in atti e nel richiamato documento denominato “integrazione documentale e azioni correttive”, si osserva che:

per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)”. Inoltre, “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4, n. 1 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 -di seguito, il “Regolamento”);

ai sensi del Regolamento i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («principio di liceità, correttezza e trasparenza»)”, “raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità («principio limitazione della finalità»), “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («principio di minimizzazione dei dati»)” e “trattati in maniera da garantire una adeguata sicurezza, mediante misure tecniche e organizzative adeguate («principio di minimizzazione dei dati»)” (art. 5, par. 1, lett. a), b) c) e f) del Regolamento);

con specifico riferimento alle particolari categorie di dati, tra cui rientrano i dati sulla salute, l’art. 9 del Regolamento sancisce un generale divieto al trattamento di tali dati a meno che non ricorra una delle specifiche esenzioni di cui al paragrafo 2;

il Garante ha più volte evidenziato che con la piena applicazione del Regolamento, diversamente dal passato, il professionista sanitario, soggetto al segreto professionale, non deve più richiedere il consenso del paziente per i trattamenti necessari alla prestazione sanitaria richiesta dall’interessato, indipendentemente dalla circostanza che operi in qualità di libero professionista (presso uno studio medico) ovvero all’interno di una struttura sanitaria pubblica o privata (cfr. provvedimento “Chiarimenti sull'applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario” del 7 marzo 2019, consultabile su www.gpdp.it, doc. web n. 9091942). Sul punto si evidenzia che l’osteopatia è stata riconosciuta come professione sanitaria dal d.P.R. n. 131/2021, secondo cui l’osteopata “esegue, in sicurezza e nel rispetto della dignità e della sensibilità del paziente, il trattamento manipolativo osteopatico”. Numerose associazioni di categoria hanno adottato codici deontologici che prevedono specifici obblighi di segretezza da parte degli osteopati nel trattamento dei dati dei pazienti (es. registro degli osteopati d’Italia del 26 giugno 2021; associazione italiana Osteopati Professionisti del 13 settembre 2012 aggiornato ad ottobre 2020; associazione degli osteopati esclusivi del 16.12.2020);

nei casi in cui il trattamento non sia strettamente necessario per finalità di cura e la base giuridica del trattamento sia rappresentata dal consenso dell’interessato, tenuto conto della natura di tali dati, particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, tale consenso deve essere prestato attraverso un atto positivo con il quale l’interessato manifesta una volontà libera, specifica, informata e inequivocabile relativa al trattamento dei dati personali che lo riguardano (art. 9, par. 2 lett. a) del Regolamento e par. 4 delle Linee guida 5/2020 sul consenso ai sensi del Regolamento (UE) 2016/679, adottate dal Comitato europeo per la protezione dei dati personali il 4 maggio 2020);

per comunicazione di dati personali si intende “il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dell'Unione europea, dal responsabile o dal suo rappresentante nel territorio dell'Unione europea, dalle persone autorizzate, ai sensi dell'articolo 2-quaterdecies, al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile, in qualunque forma, anche mediante la loro messa a disposizione, consultazione o mediante interconnessione”; per diffusione si intende “il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione” (art. 2-ter, comma 4 del Codice);

la disciplina in materia di protezione dei dati personali prevede inoltre che le informazioni sullo stato di salute non possano essere diffuse e possano essere comunicate solo all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso previa delega scritta di quest’ultimo (artt. 2-septies, comma 8 e art.166, comma 2, del Codice e art. 9 Regolamento);

i principi di trasparenza e correttezza implicano inoltre che l'interessato sia informato dell'esistenza del trattamento e delle sue finalità e che i dati personali siano trattati fornendo preventivamente agli interessati le informazioni di cui all’art. 13 del Regolamento (considerando n. 60 e art. 5, par. 1 lett. a) del Regolamento). Le informazioni poi devono essere rese in una forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro (Considerando 58 e art. 12 del Regolamento);

in caso di raccolta di dati personali presso l'interessato, il titolare del trattamento deve fornirgli, nel momento in cui i dati personali sono ottenuti, tutte le informazioni indicate all’art. 13 del Regolamento;

la disciplina in materia di protezione dei dati personali non trova invece applicazione in relazione ai dati anonimi. A tale riguardo, giova inoltre precisare che si considerano anonime le “(...) informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l'identificazione dell'interessato”, ciò anche per i trattamenti svolti per finalità statistiche o di ricerca (cfr. considerando n. 26 del Regolamento). Il rischio di reidentificazione dell’interessato va, tuttavia, accuratamente valutato tenendo conto di “tutti i mezzi, [...], di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l'insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l'identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici” (cfr. considerando n. 26 del Regolamento e WP29 Opinion 05/2014 on Anonymisation techniques, adottato il 10 aprile 2014). Un processo di anonimizzazione non può definirsi effettivamente tale qualora non risulti idoneo ad impedire che chiunque utilizzi tali dati, in combinazione con i mezzi “ragionevolmente disponibili”, possa:

1. isolare una persona in un gruppo (single-out);

2. collegare un dato anonimizzato a dati riferibili a una persona presenti in un distinto insieme di dati (linkability);

3. dedurre nuove informazioni riferibili a una persona da un dato anonimizzato (inference);

con specifico riferimento alla pubblicazione di casi clinici, il Codice di deontologia medica approvato dalla Federazione nazionale degli ordini dei medici chirurghi e degli odontoiatri nel 2014 (così come modificato nel 2016 e nel 2017) prevede che “il medico assicur(a)(i) la non identificabilità dei soggetti coinvolti nelle pubblicazioni o divulgazioni scientifiche di dati e studi clinici” (art. 11 - Riservatezza dei dati personali).

il Codice di condotta per l’utilizzo dei dati sulla salute a fini didattici e di pubblicazione scientifica approvato con il provvedimento del Garante n. 7 del 14 gennaio 2021 (doc. web n. 9535354), prevede espressamente che non rientrano nella spera di applicazione del predetto codice i trattamenti di dati personali effettuati per finalità di ricerca scientifica in campo medico, biomedico ed epidemiologico (punto 4 delle premesse).

Tanto premesso, risulta accertato che la sig.ra Brambilla:

ha effettuato un trattamento di dati sulla salute della reclamante attraverso la redazione della tesi finale relativa al “Corso di diploma in osteopatia” rilasciato dalla Scuola, dal titolo “Trattamento osteopatico per nevralgia del trigemino indotta da asportazione di neoplasia maligna al ganglio di Gasser”, a.a. 2020/2021, ciò in quanto dalla documentazione in atti emerge che la richiamata tesi reca -nella sezione descrittiva del caso clinico-, numerose informazioni e dati anamnestici e personali mediante i quali è possibile, anche se indirettamente, identificare l’interessata. Nella predetta tesi è inoltre riportato un documento clinico (questionario “ADL scale”) in cui sono indicate numerose informazioni sullo stato di salute dell’interessata, i cui dati anagrafici sono stati cancellati in modo approssimativo tale da non impedire di leggere il nome e cognome della reclamante e quindi di associare le informazioni anagrafiche della stessa a numerose informazioni relative alla suo stato di salute; la procedura di cancellazione manuale non può essere infatti definita idonea a rendere anonime le informazioni personali del caso clinico rappresentato, né può definirsi una procedura di “pseudonimizzazione” -giusta la definizione di cui all’art. 4, n. 4 del Regolamento – essendo piuttosto una semplice procedura manuale di oscuramento delle generalità degli interessati (cfr. al riguardo provvedimenti del 17.9.2020 doc. web n. 9479364 e n. 9479382 e del 2.3.2023 doc. web n. 9870171). Pertanto, si rileva che le numerose informazioni sanitarie presenti nell’elaborato della sig.ra Brambilla sono qualificabili come dati sulla salute in quanto consentono l’identificazione, seppure indiretta, della reclamante;

ha effettuato un trattamento di dati sulla salute della reclamante per finalità di pubblicazione scientifica di un elaborato finale di un corso di formazione in modo non conforme alla disciplina in materia di protezione dei dati personali in quanto, secondo quanto già rilevato dall’Autorità nel citato Codice di condotta, avrebbero dovuto essere perseguite attraverso il trattamento di dati anonimizzati alla luce dell’Opinion 05/2014 del WP29 ovvero, qualora non fosse possibile procedere all’anonimizzatine dei dati (es. per le peculiarità del caso clinico rappresentato), avrebbe dovuto acquisire uno specifico e informato consenso dell’interessata, che non può essere rinvenuto in quello acquisito in atti, in quanto non specifico e non informato in ordine alla finalità in questione (cfr. il Codice di condotta per l’utilizzo dei dati sulla salute a fini didattici e di pubblicazione scientifica approvato con il provvedimento del Garante n. 7 del 14 gennaio 2021, doc. web n. 9535354). Infatti, seppure l’informativa reca un generico riferimento alla diffusione dei dati clinici “a scopo di ricerca scientifica” (che peraltro la Sig.ra Brambilla dichiara di non perseguire) (punto 6 dell’informativa, rubricato “Diffusione dei dati”), tale attività non è stata indicata nelle finalità del trattamento (punto 1 dell’informativa);

ha fornito un’informativa alla reclamante priva degli elementi essenziali di cui all’art. 13 del Regolamento:

non essendo indicate tutte le finalità del trattamento (quale appunto l’attività di pubblicazione scientifica);

essendo erroneamente individuata la base giuridica del trattamento:

per finalità di cura, nell’art. 6 del Regolamento, che non concerne i dati sulla salute;

per finalità di ricerca scientifica, che è soggetta alla specifica disciplina di settore di cui al Regolamento e al Codice (artt. 5, 6, 7, 9 e 89 del Regolamento; artt. 104 e ss. del Codice; prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica, allegato 5 al provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del d.lgs. del 10 agosto 2018, n. 10, doc. web n. 9124510;Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica pubblicate ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101 del 19 dicembre 2018, allegato A5 al Codice, doc. web n. 9069637, che costituiscono condizione essenziale di liceità e correttezza dei trattamenti (art. 2-quater del Codice e art. 21, comma 5, del d.lgs. 10 agosto 2018, n. 101);

non essendo indicato nell’informativa il diritto dell’interessato di proporre il reclamo al Garante (art. 13, par. 2, lett. d) del Regolamento);

ha comunicato, senza un idoneo presupposto giuridico, i predetti dati sulla salute della reclamante a soggetti terzi (nello specifico il relatore della tesi e la Scuola XX) che, tra l’altro, non risultano indicati tra i destinatari dei dati nell’informativa in atti;

ha effettuato un trattamento di dati personali in violazione del principio di correttezza, in quanto a seguito di espressa richiesta della reclamante, ha negato di aver effettuato la tesi sul caso clinico della stessa, inviandole una diversa tesi rispetto a quella effettivamente presentata alla scuola (documentazione in atti).

2.1. elementi di criticità nel modello di informativa

In relazione alla documentazione trasmessa dalla Sig.ra Brambilla unitamente alle memorie difensive, nel prendere favorevolmente atto delle azioni correttive intraprese dalla stessa, si osserva che persistono alcuni specifici elementi di criticità nel modello di informativa aggiornato. In particolare, non risultano correttamente:

individuati i presupposti giuridici del trattamento dei dati personali non appartenenti alle categorie particolari (es. l’indicazione del legittimo interesse quale base giuridica per l’invio di newsletter);

indicate le basi giuridiche per un eventuale trasferimento dei dati all’estero;

indicato il periodo di conservazione dei dati, con riferimento al quale è riportata una formulazione contradditoria (“i dati saranno conservati fino quando sarà in essere il contratto e terminato questo per un massimo di 2 anni e comunque per il tempo necessario a soddisfare la finalità della raccolta e comunque i requisiti di legge”);

Il predetto modello contiene inoltre aspetti di contraddittorietà con riferimento all’utilizzo dei dati personali dei pazienti per finalità di “invio di newsletter” per “l’invio di materiale promozionale”. In particolare, nella sezione “invio newsletter” nel modello di informativa si afferma che non è effettuato alcun invio delle stesse, nonostante tale attività sia indicata tra i trattamenti effettuati nella sezione relativa alle basi giuridiche del trattamento.

Si rappresenta infine che resta salva la possibilità di considerare quale base giuridica del trattamento anche l’art. 9, par. 2, lett. h) e par. 3 del Regolamento, alla luce degli elementi sopra evidenziati ed in particolare in considerazione del fatto che l’osteopatia è stata riconosciuta come professione sanitaria nel d.P.R. n. 131/2021 e che numerose associazioni di categoria prevedono specifiche disposizioni in ordine al segreto professionale per i loro iscritti.

3. Conclusioni

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ gli ulteriori elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni, si confermano le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dalla sig.ra Brambilla nei termini di cui in motivazione, in violazione degli artt. 5, par. 1, lett. a), 6, 9 12 e 13 del Regolamento.

In tale quadro, alla luce delle azioni intraprese dalla Sig.ra Brambilla a seguito dell’avvio del procedimento sanzionatorio, si ritiene di dover ingiungere alla predetta professionista, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, le seguenti misure correttive da adottarsi entro 30 giorni dall’adozione del presente provvedimento: modifica e integrazione del modello di informativa da ultimo trasmesso sulla base degli elementi di criticità  individuati nel paragrafo 2 del presente provvedimento relativi alle basi giuridiche del trattamento, ivi comprese quelle per l’eventuale trasferimento dei dati verso Paesi terzi, e al periodo di conservazione dei dati.

Ciò premesso, tenuto conto che:

i dati della reclamante, ivi inclusi quelli sulla salute, non sono stati oggetto di diffusione, ma di comunicazione “[…]  all’ente formatore per la discussione della tesi. La violazione è stata limitata pertanto nel tempo e nel numero di persone (segreteria che non ha il compito di leggere gli elaborati e i docenti che tra l’altro sono spesso comunque professionisti tenuti al segreto professionale);

il fatto è imputabile ad un comportamento di natura “[…] colposa, la reclamata era convinta di avere raccolto il consenso, cosa che in effetti ha fatto, tuttavia ha confuso la finalità di ricerca con quella didattica pensando fossero equivalenti (o meglio disconoscendone la diversità). Da questo punto di vista si valuti che parliamo di una donna all’inizio della carriera che stava discutendo la tesi di diploma in una cerchia ristrettissima, inoltre è evidente che per uno studente la norma non è assolutamente di agevole comprensione”;

la sig.ra Brambilla per attenuare gli effetti della violazione, contestualmente all’avvio dell’istruttoria relativa al procedimento in esame, ha “In primo luogo […] richiesto alla segreteria [della Scuola di formazione] di non comunicare o diffondere ad altri soggetti la tesi”;

lo stesso ente di formazione ha espressamente dichiarato che i dati personali contenuti nella predetta tesi “non vengono pubblicati né su siti né su altri canali informativi sia cartacei sia digitali” e che “non sono accessibili da parte di terzi”.

sono state implementate misure parzialmente idonee a prevenire il ripetersi di eventi analoghi;

non risultano pervenuti ulteriori reclami né sono state comminate ulteriori sanzioni nei confronti della sig.ra Brambilla che ha da subito collaborato con l’Autorità;

il titolare del trattamento è una persona fisica con un fatturato che nell’anno 2022 ha raggiunto un importo pari a XX Euro (come da documentazione acquisita agli atti).

le circostanze del caso concreto inducono a qualificare lo stesso come "violazione minore", ai sensi del considerando 148 del Regolamento e delle Linee guida WP 253, riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del Regolamento (UE) n. 20161679, consentendo di ritenere che, relativamente al caso in esame, sia sufficiente ammonire la sig.ra Alice Brambilla, il titolare del trattamento, ai sensi degli artt. 58, par. 2, lett. b) del Regolamento, in relazione alla accertata violazione delle disposizioni contenute negli artt. 5, par. 1, lett. a), 6, 9 12 e 13 del Regolamento.

Si rileva infine che ricorrono i presupposti di cui all'art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all'esercizio dei poteri demandati al Garante.

TUTTO CIO’ PREMESSO IL GARANTE

a) ai sensi dell'art. 57, par. l, lett. a) del Regolamento, dichiara l'illiceità del trattamento dei dati personali effettuato dalla sig.ra Alice Brambilla CF XX, XX, per la violazione del principio di base del trattamento di cui all’art. 5, par. 1, lett. a), e degli artt. 6, 9 12 e 13 del Regolamento, nei termini di cui in motivazione;

b) ai sensi dell'art. 58, par. 2, lett. b) del Regolamento, ammonisce la predetta sig.ra Brambilla quale titolare del trattamento in questione, per aver violato gli artt. 5, par. 1, lett. a) 6, 9 12 e 13 del Regolamento, come sopra descritto;

INGIUNGE

ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, alla sig.ra Alice Brambilla entro il termine di giorni 30 dalla notifica del presente provvedimento, di modificare e integrare il modello di informativa sulla base degli elementi di criticità individuati nel paragrafo 2.1 del presente provvedimento relativi alle basi giuridiche del trattamento, ivi comprese quelle per l’eventuale trasferimento dei dati verso Paesi terzi, e al periodo di conservazione dei dati.

Al riguardo, si richiede alla Sig.ra Alice Brambilla di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto sopra ingiunto con il presente provvedimento e di fornire comunque riscontro adeguatamente documentato, ai sensi dell’art. 157 del Codice, entro il termine di giorni 20 dalla scadenza del termine sopra indicato; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’Autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 26 ottobre 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei