La privacy in ambito sanitario: il caso Poliambulatorio Il Sorriso S.r.l.
Il Garante per la protezione dei dati personali ha recentemente emesso il provvedimento n. 372, con il quale ha inflitto al Poliambulatorio Radiologico Il Sorriso S.r.l. una sanzione amministrativa pecuniaria di 15.000 €, per le violazioni degli artt. 5, 13 e 37 del Regolamento Europeo n. 2016/679 (GDPR), a seguito di un reclamo da parte di un privato.
Il reclamo
Nel caso in esame, il denunciante ha affermato che, dopo essere entrato nei locali del Poliambulatorio per una visita medica, è stato chiesto di firmare un modulo privacy su un tablet digitale senza che potesse essere visualizzato alcun testo. Alle ripetute richieste di conoscere il testo dell’informativa, è stata fornita una e-mail stampata al momento denominata “Consenso al trattamento dei dati personali”.
Il denunciante ha poi sottolineato che non fossero disponibili i dati di contatto del Responsabile della Protezione dei Dati (Data Protection Officer – DPO).
L’attività istruttoria
Al termine dell’istruttoria, il Poliambulatorio non risulta aver fornito agli interessati le informazioni sul trattamento dei dati personali come regolato dall’art. 13 del dal GDPR per garantire la trasparenza del trattamento, violando così i principi di liceità, trasparenza e correttezza.
Inoltre, il Garante ha ritenuto che il Poliambulatorio non avesse designato un DPO in osservanza alle disposizioni del GDPR e, in una fase successiva, non avesse comunicato correttamente i dati dello stesso ex art. 37 del GDPR.
In conclusione, il Garante ha inflitto al Poliambulatorio una sanzione amministrativa di 15.000 € e ha disposto, quale sanzione accessoria, la pubblicazione del provvedimento sul proprio sito.
Le ragioni della sanzione
Secondo quanto stabilito dal GDPR, i titolari del trattamento devono adottare misure appropriate per fornire all’interessato tutte le informazioni richieste dal Regolamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro.
Nel caso del Poliambulatorio, l’Autorità ha accertato che non sono stati forniti alcuni elementi previsti dal Regolamento, quali:
- L’indicazione del diritto di proporre reclamo all’Autorità di controllo;
- L’indicazione del periodo di conservazione delle informazioni o ai criteri utilizzati per determinare tale periodo;
- L’indicazione dei dati di contatto del Responsabile della protezione dei dati (il c.d. DPO).
Nello specifico, parlando del periodo di conservazione dei dati, il Garante sostiene che la dicitura (assai comune) “il trattamento viene eseguito per un periodo di tempo non superiore a quello necessario agli scopi per i quali sono stati raccolti” non possa integrare la previsione contenuta nell’art. 13 del GDPR (secondo il quale l’informazione sul periodo di conservazione dei dati può essere fornita dal titolare anche attraverso l’indicazione dei criteri utilizzati per determinarlo.
Secondo il Garante tale dicitura non aggiunge alcuna informazione rispetto alla esplicitazione del principio della limitazione della conservazione dei dati (art. 5 del GDPR), secondo cui i dati devono essere “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”.
Il periodo di conservazione dovrebbe essere indicato in maniera tale da consentire all’interessato di stabilire quale sarà, in base alla sua specifica situazione, il periodo previsto per i dati/fini specifici.
Il Garante quindi sostiene che non sia sufficiente che il titolare del trattamento affermi in maniera generica che i dati personali saranno conservati finché sarà necessario per le finalità legittime del trattamento. Ove pertinente, dovrebbero essere fissati periodi di conservazione diversi per le diverse categorie di dati personali e/o finalità del trattamento, inclusi, se del caso, i periodi di archiviazione.
Proseguendo con l’attività istruttoria, il Garante ha disposto alla Società di ridenominare, il documento “Consenso al trattamento dei dati personali ai sensi dell’art. 7 del GDPR 2016/679”, in quanto formalmente e concettualmente scorretto, sfociando così in una violazione dell’art. 13 del GDPR.
Per quanto riguarda la mancata designazione del Responsabile della protezione dei dati (DPO), il Garante dichiara preliminarmente che esso costituisce una misura volta a facilitare l’osservanza della disciplina di protezione dei dati, che risulta – come noto – obbligatoria al ricorrere delle specifiche condizioni di cui all’art. 37 del Regolamento.
In particolare, la sua nomina è richiesta quando “le attività principali del titolare del trattamento […] consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 […]”.
Il Garante ritiene altresì che il suddetto presupposto ricorra anche per le società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione.
Nel caso in questione, dalle notizie relative alla Società, rintracciabili nel sito web di quest’ultima, risulta che la Società medesima offra un servizio territoriale orientato alla prevenzione e alla diagnosi in regime privato consistente in un’ampia gamma di servizi e prestazioni di prevenzione, diagnosi e terapia in numerosi settori della medicina (allergologia, andrologia, angiologia, cardiologia, dermatologia, diabetologia, endocrinologia, fisiatria, gastroenterologia, geriatria, ginecologia e ostetricia, naturopatia, neurochirurgia, neurologia, nutrizionistica, oculistica, osteopatia, ortopedia, ortottica, otorino, pediatria, pneumologia, reumatologia, senologia, urologia).
In particolare, oltre alle citate visite specialistiche, offre servizi di “diagnostica per immagini, centro psicologico, medicina dello sport, medicina fisica e riabilitazione” nonché un “punto prelievi”; ciò, attraverso un gruppo di circa 70 professionisti tra medici specialisti, tecnici sanitari, infermieri, impiegati.
Conclusioni
Pertanto, alla luce di quanto rilevato, l’attività principale della Società medesima, anche in ragione dell’elevato volume di dati relativi alla salute trattati nell’ ambito delle numerose e diversificate attività mediche svolte, comporta il trattamento, su larga scala, di categorie particolari di dati personali di cui all’art. 9 del Regolamento e, per tali ragioni, la Società è da ritenersi tenuta all’osservanza degli obblighi previsti dal Regolamento in relazione alla figura del Responsabile della protezione dei dati. Alla luce di quanto sopra, il Garante ha accertato l’illiceità del trattamento di dati personali effettuato dalla Società, in violazione degli artt. 5, par. 1, lett. a), 13 e 37 del Regolamento, nei termini di cui sopra, e ordinato il pagamento di una sanzione amministrativa pecuniaria pari a 15.000 €.
