Privacy e utilizzo dei dati personali: come funziona per i liberi professionisti
Nei giorni scorsi ha avuto un certo risalto in Sicilia la pubblicazione su alcune testate online regionali e sui social, dell’audio di una telefonata in cui una persona che si qualificava come appartenente a uno studio dentistico chiedeva al paziente la disponibilità ad “aiutare” il figlio del professionista, candidato alle imminenti elezioni regionali che si terranno nell’isola. La notizia fornisce lo spunto per sottolineare ancora una volta l’enorme differenza che passa tra l’accessibilità al dato personale e la sua legittima utilizzabilità.
Un professionista, in qualità di titolare del trattamento, legittimamente detiene e tratta i dati personali dei propri clienti, in questo caso dei propri pazienti, per le finalità connesse all’esercizio della propria professione. Il fatto di poter accedere a tali informazioni, almeno nome, cognome e numero di telefono, non significa automaticamente però che esse possano essere utilizzate per qualsiasi fine.
Il perimetro dei possibili utilizzi dei dati personali è individuato dall’informativa che ogni titolare del trattamento deve dare, oralmente o per iscritto. Nella maggior parte dei casi viene data per iscritto per poter avere traccia dell’assolvimento di questo obbligo di legge. Talvolta viene anche fatta firmare per presa visione, per il medesimo motivo.
Non sempre invece serve il consenso. Per esempio, laddove il trattamento sia necessario per eseguire obblighi derivanti da un contratto del quale è parte la persona cui si riferiscono i dati oppure per adempiere, prima della conclusione del contratto, a specifiche richieste di detta persona. Ulteriori finalità, in genere, necessitano del consenso dell’interessato e tale consenso, per essere valido, deve essere espresso, libero, specifico, informato e documentato per iscritto.
In un caso del genere, quindi non è necessario ottenere il consenso del paziente per inviare la fattura via email, per telefonare e avvertire che l’appuntamento è posticipato ma è certamente necessario per finalità di propaganda elettorale.
Laddove non bastasse quanto previsto dal Codice Privacy, si può anche fare riferimento a quanto già in passato il Garante per la protezione dei dati personali ha stabilito, prendendo una posizione chiara sul punto. In un provvedimento del marzo 2014 si legge “I dati personali raccolti nell’esercizio di attività professionali e di impresa, ovvero nell’ambito dell’attività di tutela della salute da parte di esercenti la professione sanitaria e di organismi sanitari, non sono utilizzabili per fini di propaganda elettorale e connessa comunicazione politica. Tale finalità non è infatti riconducibile agli scopi legittimi per i quali i dati sono stati raccolti (art. 11, comma 1, lett. b, del Codice).
Ad esempio, non è lecito utilizzare particolari indirizzari o dati raccolti da strutture sanitarie, pubbliche e private, ovvero da singoli professionisti sanitari, nell’ambito delle attività di diagnosi e cura da essi svolti, al fine di veicolare messaggi di comunicazione politica volti a sostenere la candidatura di personale medico o comunque legato alla struttura sanitaria presso la quale l’interessato si è recato per fini di cura.”
La violazione del provvedimento del Garante può comportare, tra le altre cose, una sanzione amministrativa da 30mila a 180mila euro.
E proprio sotto il profilo sanzionatorio vale la pena di ricordare che le sanzioni pecuniarie subiranno un significativo aumento a partire dal 25 maggio 2018 quando sarà pienamente applicabile il nuovo regolamento europeo in materia di protezione dei dati personali. Il tempo stringe per adeguarsi alle nuove regole e per prevedere anche una formazione efficace dei propri dipendenti per limitare il più possibile gli usi illeciti dei dati personali raccolti.