Difficile immaginare l’inversione dei ruoli tra dentista e paziente e fantasticare uno scenario in cui a lamentarsi del “conto salato” sia il dentista.
Il nuovo regolamento sulla gestione e trattamento dei dati personali è riuscito a invertire i ruoli più di quanto numerosi film abbiano provato a fare sanzionando in maniera pesante il dentista reo di non aver rispettato la privacy.
L’utilità delle “multe particolari” a liberi professionisti.
Abbiamo già parlato in numerose occasioni di quanto il GDPR non faccia sconti a nessuno, mietendo “vittime” a dir poco insospettabili attraverso multe e sanzioni quantomeno strane: il dentista rappresenta solamente l’ultimo soggetto della lista.
Ogni sanzione oltre a fare giurisprudenza e dettare l’esempio (soprattutto verso chi diffida dell’importanza del rispetto del GDPR) aiuta a ricordare un concetto chiaro solo sulla teoria: la consulenza privacy non può essere una tantum.
La sanzione del Garante nei confronti del dentista: come sono andati i fatti
Tutto nasce nello studio dentistico, quando al paziente viene chiesto di compilare un modulo per rispondere in merito a eventuali patologie quali HIV, epatite e tubercolosi.
Appresa dal modulo la sieropositività del paziente, il dentista si è rifiutato di prestare servizio per “scongiurare un possibile contagio di personale e pazienti”.
A quel punto il paziente ha sporto reclamo al Garante per la modalità di trattamento dei dati, con il dentista che si giustificava ritenendo suo dovere, nonché prassi, chiedere queste informazioni per tutelare i propri pazienti.
Il Garante ha certificato la violazione del principio di minimizzazione del dato da parte del professionista.
La difesa del dentista verte sulla piattaforma di iscrizione
Un dettaglio apparentemente insignificante come la procura del contatto del dentista da parte del paziente, avvenuta su una delle tante piattaforme che consentono di incrociare domanda e offerta, avrebbe potuto cambiare le sorti del provvedimento.
La difesa del dentista infatti si basava principalmente sulla definizione della fase nella quale è stato sottoposto il questionario: secondo la difesa la fase di “accettazione” sarebbe rappresentata dall’iscrizione dell’utente alla piattaforma, mentre il questionario apriva la fase di “esecuzione”.
Nella fase di esecuzione sarebbe stato legittimo chiedere i dati sensibili al paziente. Richiederli prima (nella fase di accettazione) avrebbe invece rappresentato una violazione.
Cosa ha deciso il Garante e perché
Il Garante ha confermato la violazione, ritenendo il trattamento non pertinente rispetto alle finalità per le quali sono stati trattati.
Il Garante ha inoltre ammesso la difficoltà nel distinguere le varie fasi in presenza di tali piattaforme, chiarendo però che le informazioni sensibili utili al piano terapeutico vanno richieste dopo adeguata informativa per il consenso.
Inoltre il Garante ha fatto notare come la richiesta di informazioni fosse eccessiva, considerato il mancato svolgimento della terapia e come per le informazioni sensibili occorra la tutela rafforzata dell’interessato.
La sanzione ammonta a 20.000€ per aver causato al paziente conseguenze pregiudizievoli, ma senza carattere colposo, visto che la prestazione non è stata fornita.