Informativa privacy e nomine incomplete: il Garante sanziona una AUSL

Se in via generale trattare dati sanitari è vietato, sono numerose le deroghe a questo impedimento. Tra queste si annovera quella prevista dall’art. 9 par. 2 lett. h) del GDPR che rende lecito il trattamento dei dati relativi alla salute quando lo stesso si renda necessario per finalità di medicina preventiva.

La correttezza del trattamento, tuttavia, non può prescindere dal rispetto di ulteriori prescrizioni del GDPR che una Azienda Unità Sanitaria Locale non ha osservato, subendo di conseguenza un’ordinanza di ingiunzione da parte dell’Autorità Garante.

L’Azienda in questione aveva avviato una campagna di prevenzione precoce dei tumori intestini, avvalendosi, in qualità di Responsabili del trattamento, di un ente impegnato in attività di prevenzione oncologica e di un poliambulatorio di una società di servizi socio-sanitari. Presso quest’ultimo erano collocati i frigoriferi dedicati alla raccolta dei campioni biologici e la connessa documentazione dei pazienti che avevano aderito alla campagna. Con riferimento a ciò era pervenuta una segnalazione che contestava le modalità con cui i pazienti erano chiamati a depositare il campione biologico e la modulistica dagli stessi compilata, all’interno del suddetto frigorifero, lamentando l’assenza di personale addetto alla custodia dei predetti reperti e dei documenti. 

All’esito dell’attività istruttoria l’Ufficio del Garante ha individuato numerose condotte contrarie alla normativa in materia di protezione dei dati personali. In particolare, ha rilevato che l’informativa privacy fornita agli interessati risultava priva di essenziali elementi previsti dagli artt. 13 e 14 del GDPR.

Inoltre, nelle nomine a responsabile del trattamento mancavano le necessarie istruzioni da parte dell’AUSL tra cui:

• l’impegno alla riservatezza delle persone autorizzate al trattamento;
• le istruzioni sulle misure di sicurezza;
• le indicazioni in merito alla cancellazione o restituzione di tutti i dati personali al termine della prestazione dei servizi.

Quanto al primo punto, l’art. 9 par. 2 lett. h) specifica che il trattamento deve avvenire sulla base del diritto dell'Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3, il quale prescrive che “I dati personali di cui al paragrafo 1 possono essere trattati per le finalità di cui al paragrafo 2, lettera h), se tali dati sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale”. Ed è proprio a partire dalla verifica del rispetto del paragrafo 3 che il Garante ha contestato la mancanza di tale obbligo di segretezza in capo al Responsabile.

A ciò si aggiunge la carenza di informazioni in merito al trattamento effettuato “per attività di studio di ricerca medico scientifica”, con specifico riferimento al titolare e alle caratteristiche del trattamento. Mancavano, infatti, nell’informativa:

• il periodo di conservazione dei dati personali,
• il diritto di proporre reclamo all’autorità di controllo
• i dati di contatto del titolare del trattamento e del DPO.

Al riguardo, non è stata sufficiente l’indicazione dei dati di contatto del titolare e del DPO, del periodo di conservazione dei dati e del diritto di reclamo all'Autorità di controllo nell'informativa generale pubblicata sul sito istituzionale poiché nell’informativa specifica contestata non vi era alcun riferimento alla suddetta informativa generale né era indicato il sito istituzionale dell’Azienda. 

In conclusione, pur non essendo emerse risultanze istruttorie in merito all’inadeguatezza delle modalità con le quali la Società di servizi abbia custodito i campioni biologici e la connessa documentazione relativa alla predetta campagna di prevenzione, il trattamento di dati sanitari con finalità di medicina preventiva non risulta nel caso di specie effettuato nel pieno rispetto delle disposizioni in materia di protezione dei dati personali. La sanzione che ne è conseguita in capo all’Azienda ammonta a 10.000 euro.