Garante Privacy sanziona Psicologo per violazione privacy

A questo link l’ordinanza del Garante Privacy

1. per dato personale si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4, par. 1, punto n. 1 del Regolamento) e, per dati anonimi si intendono “(…) informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato” (cfr. Considerando n. 26 del Regolamento e WP29 Opinion 05/2014 on Anonymisation techniques, adottata il 10 aprile 2014)”;

2. si considerano “dati relativi alla salute”: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute (art. 4, par. 1, n. 15, del Regolamento);

3. i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»)”, devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»)” e “trattati in maniera da garantire un’adeguata sicurezza (…) compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti o dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)” (art. 5, par. 1, lett. a), c) e f) del Regolamento);

4. il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”; “nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati” (art. 32, par. 1 e 2 del Regolamento);

5.il trattamento dei dati personali è lecito solo se e nella misura in cui ricorre una delle condizioni previste dall’art. 6 del Regolamento (cfr. anche art. 2-ter, comma 3, del Codice). Con specifico riferimento alle informazioni sulla salute, si evidenzia che la disciplina in materia di protezione dei dati personali vieta espressamente la diffusione dei predetti dati (art. 2-septies, comma 8 e art. 166, comma 2, del Codice) e che, in ambito sanitario, tali informazioni possono essere comunicate solo all’interessato; possono essere, inoltre, comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso previa delega scritta di quest’ultimo (art. 9 Regolamento e art. 84 del Codice, in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101);

6. il Codice deontologico degli psicologi italiani, predisposto e aggiornato dal Consiglio nazionale dell’Ordine e sottoposto all’approvazione per referendum agli iscritti (art. 28, comma 6, lett. c) della legge 18 febbraio 1989, n. 56), prevede che “deve essere tutelato (…) il diritto dei soggetti alla riservatezza, alla non riconoscibilità ed all’anonimato”; “lo psicologo è strettamente tenuto al segreto professionale. Pertanto non rivela notizie, fatti o informazioni apprese in ragione del suo rapporto professionale, né informa circa le prestazioni professionali effettuate o programmate”; “nel caso di collaborazione con altri soggetti parimenti tenuti al segreto professionale, lo psicologo può condividere soltanto le informazioni strettamente necessarie in relazione al tipo di collaborazione”; “lo psicologo redige le comunicazioni scientifiche, ancorché indirizzate ad un pubblico di professionisti tenuti al segreto professionale, in modo da salvaguardare in ogni caso l’anonimato del destinatario della prestazione” (artt. 4, 9, 11, 15 e 16).