Il Garante ha sanzionato tre Asl friulane che, attraverso l’uso di algoritmi, avevano classificato gli assistiti in relazione al rischio di avere o meno complicanze in caso di infezione da Covid-19.
In relazione a quanto sopra, l’Ufficio ha avviato un’istruttoria, che si era resa necessaria dopo la segnalazione di un medico, richiedendo alla Regione Friuli Venezia Giulia e ad altra azienda sanitaria regionale specifici elementi informativi con riguardo a:
- le iniziative assunte al fine di assicurare che i trattamenti necessari per svolgere le attività di medicina fossero poste in essere in conformità alla disciplina in materia di protezione dei dati personali;
- le finalità perseguite con il trattamento dei dati;
- la descrizione dei flussi di dati personali;
- la valutazione d’impatto effettuata ai sensi dell’art. 35 del Regolamento .
Nel corso dell’istruttoria dell’Autorità è emerso che i dati degli assistiti erano stati trattati in assenza di una idonea base normativa, senza fornire agli interessati tutte le informazioni necessarie (in particolare sulle modalità e finalità del trattamento) e senza aver effettuato preliminarmente la DPIA.
L’Autorità ha, nuovamente, ribadito che la profilazione dell’utente del servizio sanitario, “sia regionale o nazionale, determinando un trattamento automatizzato di dati personali volto ad analizzare e prevedere l’evoluzione della situazione sanitaria del singolo assistito e l’eventuale correlazione con altri elementi di rischio clinico, può essere effettuata solo in presenza di un idoneo presupposto normativo, nel rispetto di requisiti specifici e garanzie adeguate per i diritti e le libertà degli interessati, mancanti nel caso di specie”.
Accertato, dunque, che nel caso specifico vi erano state delle violazioni e l’uso di algoritmi che avevano riguardato dati sulla salute di un ingente numero di assistiti, il Garante ha ordinato ad ognuna delle tre Aziende di pagare la sanzione di 55.000 euro e di procedere alla cancellazione dei dati elaborati.
Il testo completo del provvedimento è consultabile all’URL:
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9845312
Lo Staff IusPrivacy è a disposizione per rispondere a tutte le richieste di informazioni inerenti al tema in oggetto.