Menu Chiudi

Privacy e trattamenti dati personali e particolari: quanto è importante avere consapevolezza in materia privacy per una buona compliance normativa?

Il caso: Ordinanza ingiunzione nei confronti di un Poliambulatorio Radiologico.

Può firmare qui per la privacy questo è quanto detto ad una reclamante che si recava nel poliambulatorio “il sorriso”, di seguito il fatto.

Successivamente ad un reclamo pervenuto all’Autorità Garante formulato nei confronti del su citato Poliambulatorio Radiologico, la reclamante ha lamentato:

  • un’errata consegna della documentazione privacy poiché una volta recatasi nel centro medico, all’ingresso è stato richiesto alla reclamante SOLO di “firmare per la privacy” su un dispositivo digitale, un tablet, ma all’atto della sottoscrizione non le è stata fornita nessuna informativa riguardante il trattamento dei dati personali ma solo dopo diverse richieste un consenso privacy;
  • l’assenza nella privacy policy del sito del trattamento di dati sanitari;
  • la mancanza di contatto del DPO.

In seguito a quanto dichiarato nel reclamo, nelle note difensive proposte dalla struttura per mezzo del proprio legale, si dichiara che, in riferimento alla mancata presa visione della documentazione privacy, la stessa era presente all’ingresso della struttura, nello specifico, al di sotto dei tablet per la relativa sottoscrizione, e risultava esposto il consenso al trattamento dati particolari con la relativa informativa privacy, il tutto poi veniva inviato per mezzo email al cliente con la precisazione che la firma grafometrica del documento è raccolta tramite tablet in ottemperanza al dettato del Codice Amministrazione Digitale e la sicurezza nella memorizzazione dei documenti è garantita da un sistema di crittografia. Ulteriore smentita, attraverso produzione fotografica, viene fatta in riferimento alla mancata presenza, nell’informativa privacy del sito, dell’indicazione sul trattamento di dati sanitari invece presente. In ultimo, in riferimento alla mancanza del DPO, il legale in rappresentanza del poliambulatorio conferma che la società essendo una struttura privata non è sottoposta all’obbligo della nomina del DPO in quanto i trattamenti di dati che si compiono non avvengono su larga scala. Ciò nonostante, e per la tipologia dei dati trattati, il Poliambulatorio Radiologico Il Sorriso S.r.l., dalla propria costituzione ha ritenuto necessario dotare la propria struttura della figura del Responsabile del Trattamento dei Dati in persona dell’Amministratore Unico.

Sulla base delle dichiarazioni rese all’Autorità, la stessa conferma che “nel rispetto  del principio di “liceità, correttezza e trasparenza”, i titolari del trattamento, devono adottare misure appropriate per fornire all’interessato, prima di iniziare il trattamento, tutte le informazioni richieste dal Regolamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro “ con lo specifico riferimento alle informazioni da fornire all’interessato, nell’ambito dell’attività posta in essere dai titolari del trattamento operanti in ambito sanitario, poiché dall’ esame sulla documentazione risulta che le informazioni fornite agli interessati non riportano tutti gli elementi richiesti dalla norma, come ad esempio la possibilità da parte dell’interessato di proporre Reclamo all’Autorità di controllo, alla inesatta indicazione del periodo di conservazione delle informazioni o ai criteri utilizzati per determinare tale periodo, nonché la mancanza dei dati di contatto del Responsabile della protezione dei dati personali. Ulteriori mancanze si sono avute in riferimento alle informazioni relative all’esercizio dei diritti, anche quest’ultimo punto espresso contrariamente a quanto previsto dalla norma e contrariamente anche al principio di trasparenza.

Infine, relativamente alla designazione del DPO, le Linee guida sui Responsabili della protezione dei dati – WP 243/2016, raccomandano di tenere conto di alcuni fattori al fine di stabilire se le attività principali del titolare del trattamento consistano in un trattamento effettuato su larga scala, quali il numero dei soggetti interessati, il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento, la persistenza dell’attività di trattamento, la portata geografica di tale attività. I suddetti presupposti ricorrono anche per le società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione. Nel caso in questione in base alle informazioni relative alla Società, la stessa rientra nei casi appena espressi e pertanto risulta necessaria la nomina di un DPO. Si precisa inoltre che la Società, nel tentativo inesatto di essere compliantdesignò un Responsabile della protezione dei dati non in conformità alle disposizioni del Regolamento poiché quest’ultimo richiede che il Responsabile della protezione dei dati occupi una posizione indipendente e distinta all’interno della struttura organizzativa nella quale opera, soprattutto rispetto a funzioni in special modo direttive, evitando inoltre situazioni in conflitto di interessi.

Alla luce dell’istruttoria dell’Autorità Garante, si è accertata l’illiceità del trattamento di dati personali effettuato dalla Società, in violazione degli artt. 5, par. 1, lett. a), 13 e 37 del Regolamento, comminando una sanzione pecuniaria prevista dall’art. 83, par. 4 e 5, lett. a) del Regolamento di euro 15.000.

Da quanto sopra esposto si evince come ancora ci sia poca informazione e consapevolezza in tema di trattamenti dati personali, soprattutto da strutture come quella oggetto del provvedimento che trattano dati sanitari e quindi, dati particolari ex art. 9 GDPR.

Il binomio Privacy-Sanità ha sempre presentato non poche difficoltà; quanto è importante una buona conoscenza del tema, quanto è ulteriormente utile formare i dipendenti di tali strutture sanitarie?

Non rischiare più, affidati a esperti del settore, la U.C. Group da anni operante nel settore della compliance normativa con un’analisi dei rischi e l’individuazione di aree di particolare interesse ti aiuta nella gestione degli adempimenti evitando sanzioni da parte dell’Autorità Garante.

Se hai bisogno del nostro Team scrivici su: info@uc-group.it