Il Garante per la Protezione dei Dati Personali, con tre articolati provvedimenti correttivi e sanzionatori, numeri 415, 416 e 417 del 15 dicembre 2022, di recente pubblicazione, ha istruito e deciso tre differenti procedure a carico di tre Strutture Sanitarie Pubbliche del Friuli Venezia Giulia, relative all’uso di algoritmi ai fini della classificazione degli assistiti in relazione al rischio di avere o meno complicazioni in caso di infezione da Covid-19.
L’iniziativa delle Aziende Sanitarie Locali era, in particolare, diretta a definire e attivare gli interventi, le diagnosi e le terapie più appropriati ai pazienti, senza fornire però agli interessati le informazioni necessarie in materia di modalità e finalità del trattamento dei dati personali agli stessi riferiti.
Ebbene con i tre provvedimenti in evidenza, il Garante Privacy ha, prima di tutto, ricostruito la normativa in materia di protezione dei personali e la specifica disciplina dei settori rilevanti, ricordando le nozioni di “dato personale”; “pseudonimizzazione” e “dato anonimizzato”.
Successivamente, l’Autorità indipendente ha ribadito che il trattamento di dati personali deve avvenire nel rispetto dei principi e delle regole stabiliti dal Regolamento e dalle pertinenti disposizioni del Codice e, in primis, dei principi di liceità, correttezza e trasparenza. Oltretutto, sempre il Regolamento – senza alcuna deroga da parte delle disciplina adottata nel contesto pandemico – prevede che “quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali”.
Conseguentemente, nei casi attenzionati, il Garante per la Protezione dei Dati Personali ha evidenziato che le iniziative sub judice prevedevano l’estrazione di dati sulla salute degli assistiti dal Datawarehouse dell’Azienda per il tramite di un’apposita Società in house della Regione, nominata Responsabile del trattamento, attraverso l’utilizzo di un algoritmo fornito dalla Agenzia regionale per il coordinamento della salute. In difetto, però, di un’adeguata base normativa, l’Autorità di settore ha rilevato l'illiceità dei trattamenti di dati personali effettuati dalle Aziende Sanitarie Locali, in violazione dei principi del trattamento nonché del principio di trasparenza e degli obblighi del titolare in ordine alla valutazione d'impatto sulla protezione dei dati personali.
La violazione delle predette disposizioni ha pertanto determinato l’applicazione nei confronti delle destinatarie della sanzione amministrativa prevista dal Regolamento, nonché l’ingiunzione alle stesse dell’obbligo di cancellazione dei dati risultanti dalla predetta elaborazione delle informazioni presenti nelle banche dati aziendali, da completarsi entro i termini decorrenti dall’adozione dei rispettivi provvedimenti.
GPDP Provv.to n. 415 del 15.12.2022
GPDP Provv.to n. 416 del 15.12.2022
GPDP Provv.to n. 417 del 15.12.2022
