Cosa ha deciso il Garante della Privacy nei confronti di Medico2000

Il provvedimento nei confronti di Medico2000 è stato emesso dal Garante Privacy in data 1° giugno 2023 disponendone la trasmissione alla Federazione Nazionale degli Ordini dei Medici Chirurghi e degli Odontoiatri (FNOMCeO) e agli Ordini Provinciali dei Medici Chirurghi e degli Odontoiatri affinché mettano a parte i propri iscritti. La sanzione che è stata emessa è pari a 15 mila euro. Una cifra che sembra bassa e non congrua al tipo di violazione ma che viene spiegata dal Garante stesso in fondo al provvedimento.

Nell’articolo con cui abbiamo iniziato la giornata di oggi ci siamo concentrati su quello che è successo e sulla violazione, in questo ci occupiamo del provvedimento e delle conseguenze per quella violazione.

LEGGI ANCHE >>> Il software per i medici di base che violava la privacy dei pazienti

Multa di 15 mila euro a Medico2000: le ragioni

Il trattamento ha riguardato – si legge nel provvedimento – «informazioni idonee a rilevare lo stato di salute dei pazienti di circa 547 medici di medicina generale» e, da parte di questi medici, «sotto il profilo riguardante l’elemento soggettivo non emerge alcun atteggiamento intenzionale da parte del titolare del trattamento dovendosi ritenere che le violazioni accertate siano avvenute in buona fede».

«Non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento (ruolo erroneamente attribuito ai medici di base n.d.R.)», si legge nel provvedimento. Oltre a questi punti, per decidere l’entità della sanzione è stato preso in considerazione non solo che «la Società ha posto in essere alcune misure correttive in relazione al trattamento dei dati personali effettuato, tuttavia persistono i profili di non conformità al quadro normativo vigente in materia di protezione dei dati personali sopra evidenziati» ma anche che «l’ultimo bilancio della Società risulta in perdita».

Un medico ha segnalato la questione al Garante

A segnalare la questione al Garante Privacy è stato un medico di base che – visto il modo in cui i dati venivano trattati – ha sollevato la questione dell’adeguatezza del procedimento. Oltre alla mancanza di idonee tecniche di anonimizzazione dei dati sanitari raccolti da quei medici, è stata individuata anche un’«erronea attribuzione del ruolo di titolare del trattamento ai medici di base, tenuto conto che finalità e mezzi del trattamento con particolare riferimento alla definizione delle tecniche di anonimizzazione risultavano definite dalla società», come si legge nella newsletter che il Garante ha condiviso in data 26 luglio.

I dati venivano forniti alla società nell’ambito della «realizzazione di un progetto internazionale volto a migliorare le cure dei pazienti attraverso la raccolta e l’analisi di dati sanitari» e ai medici veniva chiesto di aggiungere i dati dei loro pazienti al gestionale che, grazie alla funzionalità add-on, li avrebbe automaticamente anonimizzati. Per fare questo, «i medici ottenevano una serie di vantaggi, tra cui un compenso economico».

In virtù di tutto questo e ricapitolando, quindi, l’istruttoria del Garante ha fatto emergere «che le funzionalità del c.d. add-on, indicate dalla società, non consentivano l’effettiva anonimizzazione delle informazioni acquisite dai Mmg e che pertanto la società ha effettuato un trattamento illecito di dati personali pseudonimizzati in violazione dei principi di liceità e trasparenza»; oltre a ciò, «tra le altre violazioni accertate dal Garante privacy, vi è e anche l’erronea attribuzione del ruolo di titolare del trattamento ai medici di base, tenuto conto che finalità e mezzi del trattamento con particolare riferimento alla definizione delle tecniche di anonimizzazione risultavano definite dalla società».