Il Garante sanziona una azienda sanitaria per informative privacy non conformi al GDPR

Il Garante ha sanzionato una azienda sanitaria per violazione degli articoli 5, comma 1, lett. a), 12 e 13 del GDPR in relazione alle privacy policy che utilizzava sul proprio sito, le quali non specificavano sempre la base giuridica per ciascuna finalità di trattamento e nonché le informazioni sulla durata di conservazione dei dati trattati.Con un recente provvedimento, datato 13 gennaio 2022, il Garante per la protezione dei dati personali ha comminato una sanzione amministrativa pari a 7.500 euro nei confronti di una azienda sanitaria locale per aver inserito, sul proprio sito, delle privacy policy incomplete. In particolare, il Garante ha contestato all’Azienda Sanitaria la violazione degli articoli 5, comma 1, lett. a), 12 e 13 del Regolamento UE 679/2016 (il “GDPR”) in relazione alle privacy policy che utilizzava sul proprio sito.

  1. La vicenda

La vicenda ha avuto inizio con una segnalazione al Garante per presunta violazione della disciplina in materia di protezione dei dati personali da parte dell’Azienda Sanitaria, in relazione alle informative rese disponibili sul sito, rispetto alle quali il segnalante contestava la previsione del consenso come base giuridica del trattamento dei dati personali svolti per finalità di cura degli interessati.

Tuttavia, a seguito dell’attività istruttoria svolta dal Garante, sono stati rilevati ulteriori profili di criticità rispetto a quello oggetto della segnalazione, relativi in particolare all’osservanza dei principi di correttezza e trasparenza di cui agli artt. 12 e 13 del GDPR.

Nello specifico, il Garante ha rilevato e contestato:

  • l’indicazione di molteplici finalità di trattamento, quali quelle di cura, amministrative e di ricerca scientifica, che non erano tuttavia accompagnate dalle relative basi giuridiche e che, laddove richiamate, tali basi giuridiche risultavano comunque erronee o contraddittorie. In particolare, le Informative indicavano nel consenso degli interessati la condizione di liceità dei trattamenti svolti per finalità di cura, anche laddove, pur citandosi correttamente l’art. 9, par. 2, lett. h) del GDPR come condizione di liceità per il trattamento dei dati per finalità di cura, veniva poi erroneamente ribadita l’indispensabilità del consenso degli interessati per poter accedere alle cure o in relazione al trattamento dei dati per le finalità amministrative ad esse correlate; e
  • la mancata indicazione del periodo di conservazione dei dati personali.

Di conseguenza, l’Azienda Sanitaria si è prontamente attivata per sanare le criticità rilevate, modificando le informative alla luce dei rilievi del Garante, mettendo in atto un’attività di sostanziale revisione dei processi aziendali. La solerte collaborazione dell’Azienda Sanitaria non è passata inosservata agli occhi dell’autorità ma ciò non ha comunque dissuaso il Garante dall’irrogare la summenzionata sanzione di 7.500 euro.

2. Alcune considerazioni per le aziende derivanti dalla sanzione del Garante

 Questo provvedimento è particolarmente interessante per le aziende a cui si applica il GDPR, non tanto per l’ammontare stesso della sanzione (irrisoria, rispetto a quelle multimilionarie per i casi di telemarketing aggressivo), ma per distinti due profili:

  • il fatto che anche la semplice predisposizione di informative non conformi al GDPR può far scattare l’irrogazione di sanzioni pecuniarie; e
  • il Garante si attiva effettivamente anche seguito di una sola segnalazione da parte degli interessati.

Pertanto, le aziende dovranno, in primo luogo, fare attenzione alle informative privacy fornite agli interessati, assicurandosi che le stesse presentino tutti i requisiti di cui agli articoli 12, 13 e 14 del GDPR e che siano sufficientemente chiare e trasparenti per gli interessati.

Infine, ricordiamo che chiunque – e senza particolari formalità – può rivolgere, ai sensi dell’art. 144 del D. Lgs. 196/2003 (Codice Privacy), una segnalazione al Garante, lamentando asserite violazioni della normativa privacy, le quali possono essere tenute in considerazione anche ai fini dell’emanazione dei provvedimenti di cui all’art. 58 del GDPR.

Sulle attività del Garante, potrebbe interessarvi l’articolo “Garante privacy: pubblicato il piano delle ispezioni per il primo semestre 2022”.