La sera dello scorso 25 maggio l’Agenzia di Tutela della Salute di Milano (ATS Milano) ha inviato per errore un numero imprecisato di SMS che invitavano i destinatari a mettersi in condizione di isolamento domiciliare perché entrati in contatto con un soggetto contagiato da Covid-19. Questo il testo del messaggio: “Ats Milano. Gentile Sig/Sig.ra lei risulta contatto di caso di coronavirus. Le raccomandiamo di rimanere isolato al suo domicilio, limitare il contatto con i conviventi e misurare la febbre ogni giorno. Se è un operatore sanitario si attenga alle indicazioni della sua azienda”.

L’invio sarebbe stato generato da un errore informatico; questo, stando a quanto spiegato nella Comunicazione Urgente ai Cittadini pubblicata sul sito dell’ATS che precisa anche come la rettifica agli interessati sia arrivata con altro SMS inviato solo “nel corso di martedì 26/05”.

Diversi milanesi – non è dato sapere quanti – hanno dunque passato una notte intera, e fors’anche buona parte della giornata seguente, nel terrore di esser stati contagiati. Probabilmente alcuni di loro:

• si saranno immediatamente blindati in una camera nell’angoscia di poter contagiare i propri familiari o si saranno impegnati per trovare un alloggio di fortuna in cui isolarsi;
• avranno riavvolto tremebondi il nastro della memoria, conteggiando tutte le persone viste negli ultimi giorni, magari avvisandole affinché si mettessero anch’esse prudenzialmente in isolamento (propagando così il panico in altri cittadini che lo avranno a loro volta riversato sui propri familiari e contatti);
• se non in smart working, avranno allertato il datore di lavoro (con relativa diffusione di allarme nell’organizzazione) e disdetto qualsiasi appuntamento.

Insomma, davvero un bel guaio e un potenziale danno per i malcapitati che hanno ricevuto il messaggio e le persone ad esse più vicine. Ad ora non trapelano informazioni che permettano di affermare se si sia trattato di un invio del tutto randomico (era un testo preparato per il caso di necessità partito fortuitamente?) oppure di un invio voluto ma erroneo quanto a destinatari (in ipotesi, il sistema potrebbe aver agganciato numerazioni diverse da quelle appartenenti ai reali interessati cui si voleva notificare il rischio sanitario).

Comunque sia andata, il pasticcio ascrivibile ad ATS Milano – che fa capo a Regione Lombardia – è in grado di generare danni alla persona. Per certi versi potrebbe aver cagionato patimenti similari (se non coincidenti) a quelli che possono derivare da un errore medico. Come stabilito a più riprese dalla giurisprudenza, una struttura sanitaria è responsabile dei danni, in primis di sofferenza psicologica, derivanti da uno scambio di referti clinici o, più in genere, dalla diagnosi di una patologia inesistente. La Cassazione (v. sentenze 1551/2007 e 14040/2013) ha stabilito che al paziente che riesca a provarne la sussistenza in questi casi debba riconoscersi non solo il danno alla salute più strettamente legato alla diagnosi errata – come il ricorso a cure non necessarie -, ma anche quello morale dovuto a stati di ansia e stress. Per la Suprema Corte, inoltre, i congiunti che subiscano le ripercussioni della sofferenza del familiare (ad esempio, modificando il proprio stile di vita o sviluppando anch’essi importanti forme di profonda preoccupazione per la salute del congiunto) possono ottenere risarcimento in via autonoma.

A prescindere da questi profili civilistici, qui interessa portare in evidenza un aspetto forse meno intuitivo della vicenda: il malfunzionamento del sistema di ATS Milano pare idoneo a produrre anche una violazione del GDPR.

Il Regolamento Generale sulla Protezione dei Dati 2016/679 reca tra i principi generali applicabili al trattamento, quello di esattezza dei dati. L’art. 5, par. 1, lett. d) stabilisce infatti che i dati devono essere “esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»)”.

L’accuratezza dei dati personali è parte integrante della loro protezione, tanto che all’interessato sono accordati specifici diritti d intervento affinché il titolare del trattamento ponga rimedio all’errore tramite ripristino dell’esattezza dell’informazione o tramite eliminazione del dato erroneo (artt. 16-17 GDPR).

Simili disposizioni acclarano, in modo estremamente esemplificativo, come la normativa sulla protezione dei dati personali (il GDPR ma anche i suoi predecessori) non sia disciplina intesa soltanto a tutelare la riservatezza, ad impedire la divulgazione non autorizzata di notizie private oppure a punire utilizzi indebiti o furti di informazioni personali. Questa è indubbiamente una parte rilevante dell’intero nonché la quota concettuale maggiormente percepita dai cittadini e che più richiama il bisogno di un “right to be left alone” che originò il concetto di diritto alla privacy. Ma il GDPR è molto di più perché:

• conferisce agli individui un potere di autodeterminazione informativa su cui ognuno può definire il perimetro della propria libertà, dignità e, in una parola, personalità (non solo restringendo l’accesso alla propria sfera privata ma anche, per chi lo desidera, divulgando ai quattro venti i fatti propri senza che per questo la legge ne dichiari decaduta la potestà);
• responsabilizza chi li tratta, non solo punendo le condotte illecite ma anche sanzionando le disattenzioni che dimostrano scarsa considerazione del valore del dato (che è un bene da maneggiare con cura costituendo esso un connotato fondamentale della persona).

In altre parole, il moderno concetto di diritto alla privacy ricomprende il diritto ad una rappresentazione corretta della propria persona.

E’ in quest’ottica che va interpretata l’importanza del principio di esattezza. Un dato errato, anche se non divulgato a terzi, può ledere i “diritti informativi” dell’individuo. E l’informazione sbagliata resa da ATS Milano pare idonea a creare un simile vulnus.

Ci si potrebbe chiedere se tale informazione possa considerarsi dato personale con conseguente applicabilità del Regolamento UE. Ad avviso di chi scrive la risposta è affermativa. L’informazione che un determinato soggetto è esposto ad un rischio sanitario è un dato personale, giusta o sbagliata che sia. Il numero di telefonia mobile è un dato personale, giusto o sbagliato che fosse l’intestatario cui si intendeva inviare il messaggio. Per questo, ovunque sia stato l’errore, pare di poter dire che esso ricade nell’ambito operativo del GDPR.

Il Regolamento afferma – al par.2 dell’art. 32 – che i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”. Dunque, grava sul titolare del trattamento un obbligo di sicurezza che deve tradursi nell’adozione di presidi che impediscano o minimizzino il rischio che si verifichino compromissioni, anche accidentali, a danno dei dati e, di conseguenza, dell’interessato cui essi si riferiscono.

Il Presidente Soro del Garante Privacy ha avuto modo – nel corso di una recente audizione parlamentare in tema di semplificazione dell’accesso ai servizi del Sistema Sanitario Nazionale – di evidenziare aspetti inerenti all’uso di nuove tecnologie al servizio della salute. Per puro caso, l’intervento aveva luogo poche ore prima che si verificasse l’incidente in ATS. Se letti alla luce dell’accaduto, alcuni passaggi assumono un particolare significato e rafforzano l’idea che la privacy c’entri, eccome. Nell’esplicare il rapporto tra diritto alla salute e protezione dei dati, il Presidente ha affermato che “Il rapporto tra libertà e dignità, individuo e società, sotteso a questi due diritti, diviene ancor più articolato per effetto della tecnologia, che se da un lato offre possibilità straordinarie, dall’altro induce nuove vulnerabilità cui, tramite i nostri dati, esponiamo noi stessi”. Sottolineava, inoltre, che “(…) una tecnologia non ben governata può aumentare esponenzialmente il rischio clinico in cui si riflette, in quest’ambito, il rischio informatico, ove ad esempio i dati su cui si fonda la diagnosi siano alterati” e, ancora, “La vulnerabilità dei sistemi sanitari, rischia quindi di causare disservizi anche gravissimi, ingenerando errori diagnostici o terapeutici o paralizzando l’attività di cura”. Proseguendo, Soro asseriva che “(…) le regole di protezione dati sono un presupposto di efficienza sanitaria, contribuendo alla garanzia di esattezza ed aggiornamento dei dati, in un ambito, quale quello in esame, in cui il ricorso a un’informazione obsoleta o alterata può determinare danni talora anche letali per il paziente”. Ed infine, “(…) sulla sinergia tra innovazione, governance sanitaria e protezione dati si giocherà una sfida sempre più determinante per le nostre società, che dobbiamo impegnarci a vincere nel segno, ancora una volta, della centralità della persona e della sua dignità (…)”.

Considerato tutto quanto sopra esposto, si può a ragion veduta ritenere che ATS Milano (o chi per essa) – pur avendo rettificato la comunicazione fallace nel giro di 24 ore – abbia violato il GDPR non impedendo che i propri sistemi informatici generassero un errore che ha prodotto una comunicazione di carattere personale tanto inesatta quanto idonea a recare nocumento all’interessato. Se fossero accertate responsabilità in tal senso, l’ente si esporrebbe alle pesanti sanzioni previste dall’art. 83 della normativa (massimale di 20 milioni di euro per la PA) e a richieste di risarcimento perché – ai sensi dell’art. 82 del Regolamento – “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”.

Post Scriptum – Non sfuggirà ad alcuno che simili riflessioni potranno essere analogicamente riformulate laddove le app di tracciamento contatti dovessero inviare agli utenti segnalazioni errate.