Garante per la protezione dei dati personali, provvedimento n. 226 del 1 giugno 2023
La società X propone ai MMG di aderire al progetto X, ossia di accettare che sul proprio gestionale, Medico 2000, venga aggiunta una funzionalità (add-on) che anonimizza i dati dei pazienti e li trasmette a X per la realizzazione del proprio progetto volto al miglioramento delle cure del paziente e di ricerca scientifica, sia epidemiologica che di farmacovigilanza. In cambio il medico oltre a ricevere non meglio definiti vantaggi nella gestione dei propri pazienti e il titolo di medico ricercatore, ottiene altresì un beneficio economico.
In estrema sintesi, X offre ai MMG un corrispettivo economico a fronte dall’impegno di questi ultimi di installare l’add-on, fornire i dati dei propri pazienti e di occuparsi, se del caso, di escludere dal processo di (ipotetica) anonimizzazione i dati dei pazienti che hanno manifestato il proprio dissenso (opt-out). Tutto ciò assicurando ai MMG, sempre per il tramite della società X, che attraverso l’add-on sia realizzata l’anonimizzazione dei dati. Inoltre, i MMG dovrebbero altresì essere chiamati a nominare la società individuata da X come parte terza -deputata a rafforzare il predetto ipotetico processo di anonimizzazione dei dati- quale responsabile del trattamento. Si rileva sin da subito, che ciò dimostra inequivocabilmente che i dati dei pazienti trasferiti dai MMG alla terza parte indicata da X sono di natura personale, altrimenti tale nomina non avrebbe alcun senso dal punto di vista della disciplina in materia di protezione dei dati personali.
Sul falso presupposto di acquisire dati anonimi, X fa quindi dei dati personali dei pazienti la merce di scambio a fronte della quale offrire ai MMG sia taluni non ben precisati servizi, sia un contributo economico. Tale circostanza determina rilevanti criticità, non solo sotto il profilo civilistico, in relazione al rispetto degli obblighi di correttezza e buona fede nelle relazioni contrattuali (art. 1175 e 1375 cc), ma anche sotto il profilo della protezione dei dati personali, in particolare in relazione ai principi di liceità, correttezza, trasparenza e tutela dell’autodeterminazione informativa del paziente, in quanto determina una sostanziale intromissione della società X nei rapporti giuridici tra il medico e il paziente e tra il medico e la società fornitrice del richiamato gestionale, utilizzato da questi ultimi per erogare le prestazioni di cura ai propri pazienti.
In relazione al caso di specie, le modalità di realizzazione dell’anonimizzazione è risultata in concreto inefficace
L’operazione di anonimizzazione verrebbe infatti in concreto realizzata solo ed esclusivamente a beneficio di X che, con il richiamato progetto, intende raccogliere dai MMG i dati personali dei pazienti in cura presso di essi, ritenuti erroneamente anonimizzati, esclusivamente per il perseguimento delle proprie finalità volte. Ciò risulta comprovato dalla determinante ingerenza che X ha avuto proprio sulla definizione delle tecniche di anonimizzazione/pseudonimizzazione implementate e migliorate nel corso del procedimento istruttorio avviato dall’Ufficio del Garante.
Le operazioni di trattamento in questione (in particolare la raccolta e la pseudonimizzazione dei dati personali dei pazienti dei MMG) sono pertanto svolte da X in assenza di una idonea base giuridica. La base giuridica di tale trattamento non può invero rinvenirsi nel contratto con i MMG, atteso che il contratto può costituire idonea condizione di liceità quando il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte (art. 6, par. 2, lett. b) del Regolamento). Ebbene nel caso esaminato gli interessati non sono parte del contratto ma i loro dati ne sono l’oggetto.
Né può ritenersi che il trattamento si possa basare sul consenso degli interessati ai quali sarebbe stata offerta la possibilità di esprimere solo il proprio diniego alla partecipazione al progetto. Come sopra riportato è previsto, infatti che il Paziente, dopo essere stato adeguatamente informato dal Medico sulle attività che il Medico stesso intende svolgere partecipando al progetto X, dichiari di non voler partecipare al progetto stesso, i suoi dati non verranno trattati dall’add-on presente nel software Medico 2000 e saranno quindi esclusi.
Il progetto prevede, quindi, per il paziente la facoltà di esercitare un opt-out, ossia di opporsi alla presunta (inesistente) anonimizzazione dei propri dati. La normativa e la giurisprudenza in materia di protezione dei dati personali sono costanti nel ritenere l’opt-out una forma di manifestazione della volontà inadeguata ad integrare un consenso valido, ciò con particolare riferimento ai dati inerenti alle particolari categorie, nel caso di specie relativi alla salute, dove il consenso deve essere esplicito, in quanto esso costituisce una deroga al divieto espresso di trattare tali tipologie di dati personali (cfr. Sentenza della Corte di Giustizia, Causa C-673/17, del 1 ottobre 2019; Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679, Versione 1.1 adottate il 4 maggio 2020, punto 81: provv. del 31 gennaio 2011, doc. web n. 1784528; provv. del 5 maggio 2013 doc. web n. 2543820).
Per tali ragioni si rileva l’illiceità del trattamento di dati personali effettuato dalla Società in violazione degli articoli 5, par. 1 lett. a), 9 e 13 del 32 Regolamento. La violazione delle predette disposizioni rende, altresì, applicabile la sanzione amministrativa