Privacy in ambito sanitario
Il Garante per la privacy, con proprio provvedimento, ha recentemente inflitto una sanzione salatissima a un’Amministrazione Regionale “per non avere aggiornato i dati della piattaforma utilizzata dalle Asl per l’invito agli screening oncologici”.
IL CASO
L’intervento del Garante è stato richiesto da una signora che aveva esposto reclamo presso l’Autorità lamentandosi di aver ricevuto da un’azienda sanitaria locale un invito a partecipare al programma di screening appunto oncologico, rivolto ad una stretta familiare deceduta tuttavia precedentemente.
L’Autorità ha evidenziato come “il trattamento dei dati personali attuato …omissis… risulta essere stato effettuato in violazione dei principi di liceità, correttezza e trasparenza e di esattezza del dato (art. 5, par. 1 lett. a), e d) del Regolamento), nonché delle disposizioni concernenti: la responsabilità del titolare del trattamento (art. 24 del Regolamento), le basi giuridiche del trattamento (artt. 6 e 9 del Regolamento), le informazioni da fornire agli interessati e l’esercizio dei diritti da parte degli interessati (artt. art. 12, 13 e 14 del Regolamento).” In particolare, è stato rilevato che non sono stati correttamente individuati i ruoli ricoperti dai soggetti che a vario titolo trattano dati personali attraverso il suddetto sistema informativo.
LE DEDUZIONI DEL GARANTE
Nell’indicare quali siano le proprie ragioni, il Garante ha ricordato come “I dati personali devono essere trattati nel rispetto dei principi applicabili al trattamento di cui all’art. 5 del Regolamento”. Proprio per questo In tale ambito, rilevano, in particolare, il principio di “liceità, correttezza e trasparenza” e di “responsabilizzazione”, in base al quale il titolare del trattamento deve essere in grado di comprovare il rispetto dei citati principi, con un ragionamento logico, prove concrete e comportamenti proattivi (art. 5, par.1, lett. a) e par. 2 e 24 del Regolamento).”
Viene pertanto ricordato l’applicazione del principio di:
Trasparenza (art. 5, par. 1 lett. a) del Regolamento), secondo il quale si assegna in maniera preventiva agli interessati “le informazioni di cui all’art. 13 del Regolamento, in caso di dati raccolti direttamente presso di essi, ovvero ai sensi dell’art. 14, in caso di dati raccolti presso soggetti terzi. Le informazioni devono essere rese in una forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro (Considerando 58 e art. 12 del Regolamento).”
Liceità, che esige che ogni trattamento si fondi su uno specifico presupposto giuridico (art. 6 del Regolamento). A questo proposito si specifica che i dati sulla salute fanno di parte di particolari categorie di dati, di cui all’art. 9 del Regolamento che “sancisce un generale divieto al trattamento di tali dati a meno che non ricorra una delle specifiche esenzioni a tale divieto tra le quali è previsto il trattamento dei dati necessario per finalità di prevenzione e per motivi di interesse pubblico rilevante (art. 9, par. 2 lett. h) e g)).”
A sostegno delle proprie argomentazioni, il Garante ha anche fornito un richiamo all’“individuazione dei ruoli di titolare (artt. 4, n. 7 e 24) e di responsabile (art. 4, n. 8 e 28 del Regolamento” GDPR. Al di là di definire l’area di responsabilità corrispondente tale individuazione è necessaria “per la possibilità per gli interessati di conoscere il soggetto cui potersi rivolgere per esercitare i diritti di cui agli artt. da 15 a 22 del Regolamento.”
CONCLUSIONI
La misura assunta dal Garante tiene conto anche di fattori esterni al caso in specie. In particolare la circostanza che la Regione era stata già precedentemente riconosciuta inadempiente in tema di privacy in quanto erano state riscontrate “numerose criticità relative al sistema con cui la Regione effettua il trattamento dei dati, anche sulla salute, degli oltre 5 milioni di assistiti coinvolti nelle campagne di screening regionali.”
L’interesse del Garante si rivolge soprattutto ad assicurare che l’Amministrazione Regionale identifichi “i ruoli, le finalità e le basi giuridiche del trattamento, modificando e integrando le informazioni da rendere agli interessati.”
Ancora una volta il Garante dimostra la propria attenzione nell’assicurare, a beneficio del paziente, “maggiore accuratezza nella gestione delle informazioni anagrafiche delle persone aventi diritto ai programmi di screening oncologici”. Proprio per questo, l’Autorità ha richiamato l’esigenza affinché ogni Regione utilizzi per questo fine l'Anagrafe Nazionale degli Assistiti (ANA).
Articolo del: