Tre aziende sanitarie del Friuli Venezia Giulia sono state sanzionate per avere raccolto e utilizzato dati di alcuni assistiti per classificare gli stessi in specifiche categorie di rischio di sviluppare o meno complicanze in seguito a infezione da COVID-19.
Secondo le valutazioni dell’Autorità, il trattamento in questione (profilazione dell’utente del servizio sanitario con un trattamento automatizzato dei dati personali volto ad analizzare e prevedere l’evoluzione della situazione sanitaria e la correlazione con il rischio di infezione da COVID-19) è stato effettuato senza seguire i requisiti del Reg. UE 2016/679 e dell’art. 2-sexies del Codice Privacy. In particolare, il trattamento non è stato effettuato sotto una adeguata base giuridica e gli interessati non erano stati informati sulle caratteristiche dei trattamenti, che non potevano essere ricompresi tra quelli “necessari” alla cura del paziente (legittimati dall’art. 9(2)(h) del GDPR). Il Garante rileva poi come il trattamento in questione si sarebbe dovuto porre in essere dopo una valutazione di impatto (art. 35 del GDPR), poiché riguardava “dati sensibili o dati aventi carattere altamente personale” relativi ad “interessati vulnerabili” e perché, essendo gli interessati oltre 17.000, si doveva considerare trattamento su “larga scala”, tutti fattori rilevanti previsti dalle Linee Guida WP248 del 4 aprile 2017 in materia di valutazione di impatto. I provvedimenti (doc web 9844989, doc web 9845156 doc web 9845312), sono interessanti in quanto chiariscono alcuni aspetti in un settore e in un ambito normativo complessi, specie considerando le regole emergenziali intervenute dall’inizio della pandemia, richiamando i provvedimenti del Garante emanati nel frattempo e alcuni pareri rilevanti, in particolare il parere sul disegno di legge della provincia di Trento dell’8 maggio 2020 (doc web 9344635), più volte richiamato nei provvedimenti sanzionatori.
