Illecita l'assenza di informativa sul trattamento dei dati personali agli interessati
Home » News » Focus

L’informativa agli interessati per essere accessibile non deve comportare ricerche in distinti uffici non preposti alla tenuta della cartella clinica

Pier Paolo Muià Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio

Versione PDF del documento

Garante per la protezione dei dati personali: provvedimento n.384 del 14 Giugno 2018

Riferimenti normativi: artt. 13, 23, 26 del Codice in materia di protezione dei dati personali;

Fatto

A seguito dei controlli effettuati dal nucleo speciale privacy della Guardia di Finanzia, nei confronti di un’Azienda Sanitaria Locale del territorio nazionale, è emerso che questa procedeva ad un trattamento dei dati personali in modo non conforme alle disposizioni contenute dal Codice in materia di privacy.
In particolare, l’Autorità investigativa che aveva eseguito le ispezioni nei reparti di Radiologia ed Ortopedia, e Cardiologia, visionando alcune cartelle dei pazienti aveva riscontrato l’assenza sia di una modulistica riportante l’informativa sul trattamento dei dati personali sia di una modulistica per il rilascio del consenso ai dati sensibili. I controlli effettuati dalla Guardia di finanza si sono poi spostati all’ufficio ticket, dove, anche in questo caso, gli investigatori hanno appurato che nessuna informativa al trattamento dei dati personali era stata messa a disposizione degli interessati.
In ultimo dall’ispezione svolta è stato appurato che l’Azienda sanitaria locale non aveva proceduto alla nomina degli incaricati al trattamento dei dati personali.
Di fronte a tali contestazioni, l’Azienda sanitaria si era difesa, osservando in prima battuta una non specifica contestazione da parte della Guardia di finanza circa gli sportelli dell’ufficio ticket verificati. Secondo quanto asserito dall’Azienda sanitaria, infatti, non era chiaro quanti e quali sportelli dell’ufficio ticket erano stati visionati dalla Guardia di finanza, specificando inoltre che nessun controllo era stato effettuato presso URP e l’ufficio privacy, dove ben gli ispettori avrebbero potuto constatare la presenza dell’informativa al trattamento dei dati personali. Inoltre, l’Azienda sanitaria aveva poi sostenuto che non esisteva alcun obbligo imposto dal legislatore di rendere agli interessati le informazioni circa il trattamento dei dati personali in forma scritta, non escludendo dunque quella orale.
In secondo luogo, nelle difese offerte l’Azienda sanitaria aveva evidenziato che nelle verifiche effettuate presso i due reparti di Radiologia e Ortopedia, e Cardiologia la Guardia di finanza aveva riscontrato l’assenza dell’informativa e del consenso solo in una cartella, mentre le restanti cartelle erano tutte debitamente corredate dall’informativa e dal consenso degli interessati.
Infine a sua discolpa l’Azienda sanitaria aveva richiamato una, non più recente, news letter del Garante la quale non faceva alcun riferimento al dovere di inserire il modulo di consenso al trattamento dei dati personali all’interno della cartella clinica, facendo così discendere il convincimento di poter inserire altrove la documentazione informativa, attraverso ad esempio moduli prestampati rinvenibili anche in magazzino economale.

La decisione del Garante

Il Garante, all’esito dell’esame delle difese rappresentate dalla Azienda sanitaria locale, ha ritenuto confermate le contestazioni mosse dalla Guardia di finanza, valutando come illecito il trattamento dei dati personali posto in essere dall’Azienda sanitaria.
In particolare il Garante ha accertato che la totale assenza di un modulo riportante l’informativa, non essendo questo neanche affisso o somministrato in altre modalità, aveva reso materialmente impossibile per l’azienda sanitaria fornire all’utenza l’informativa dovuta, ed aveva specificato altresì che nel caso di specie un’informativa resa oralmente – la cui prova non era stata data dall’Azienda in fase di giustificazioni – sarebbe risultata poco verosimile attesa la lunghezza e la analiticità della stessa. Inoltre il Garante rispondendo all’eccezione mossa dall’Azienda circa la mancata ispezione presso la stanza dell’URP e dell’ufficio privacy, ha specificato che l’eventuale riscontro dell’informativa ivi presente non avrebbe reso esente da responsabilità l’Azienda atteso che l’informativa agli interessati per essere resa conformemente a quanto disposto dal Codice privacy deve essere facilmente accessibile, senza rendere necessarie ricerche in distinti uffici che non sono in alcun modo indicati quali strutture preposte ad assolvere alla funzione dei rendere l’informativa.
Il Garante infine si è espresso in merito ad un’altra circostanza eccepita in sede di giustificazioni, specificando che i richiami alla news letter erano privi di relazione con l’argomento discusso, evidenziando altresì da parte dell’Azienda sanitaria la formazione di un dossier sanitario.

Volume consigliato

Manuale operativo del D.P.O.

Manuale operativo del D.P.O.

Michele Iaselli, 2018, Maggioli Editore

Tra le maggiori novità del Regolamento Europeo sulla protezione dei dati personali rientra sicuramente la previsione del Data Protection Officer (DPO) o responsabile della protezione dei dati (RPD), figura di indubbio rilievo designata in funzione delle qualità professionali, in...



© RIPRODUZIONE RISERVATA


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it