fb

Accesso alla cartella clinica – FAQ del Garante

by

Il Garante per la Protezione dei Dati Personali ha pubblicato una pagina dedicata all’esercizio dei diritto di accesso ai dati personali (art. 15 del GDPR) quando i dati sono contenuti nella cartella clinica dell’interessato.

Nella pagina si trova una sezione FAQ che chiarisce, con riferimento alle Linee Guida EDPB 01 2022 sul diritto di accesso e alla sentenza della CGUE (Causa C-307/22), che per esercitare un diritto ai sensi del GDPR non servono particolari requisiti formali e che nel fornire “copia” dei dati personali ai sensi dell’art. 15 del GDPR, il Titolare del trattamento non sia obbligato necessariamente a fornire una copia integrale della documentazione.

Le Linee Guida EDPB citate, spiegano con un esempio questo concetto (punto 152):

Esempio 30: un interessato è assicurato da molti anni con una compagnia di assicurazioni. Si sono verificati vari incidenti coperti dall’assicurazione. In ciascun caso tra l’interessato e la compagnia di assicurazioni è intercorsa una corrispondenza scritta tramite posta elettronica. Poiché l’interessato ha dovuto fornire informazioni concernenti le circostanze specifiche di ogni incidente, la corrispondenza comporta numerose informazioni personali riguardanti l’interessato (hobby, coinquilini, abitudini giornaliere, eccetera). In alcuni casi sono emersi disaccordi in merito all’obbligo della compagnia di assicurazioni di risarcire l’interessato e ciò ha dato luogo a un ampio scambio di comunicazioni tra le due parti. La compagnia di assicurazioni ha conservato tutta questa corrispondenza. L’interessato presenta una richiesta di accesso. In questa situazione il titolare del trattamento non deve necessariamente fornire le e-mail nella forma originale inoltrandole all’interessato. Il titolare del trattamento potrebbe invece decidere di effettuare una compilazione della corrispondenza
elettronica, contenente i dati personali dell’interessato, in un file da fornire all’interessato stesso.”

Sanità: sanzione per uso di algoritmo di profilazione senza idonea base giuridica

by

Tre aziende sanitarie del Friuli Venezia Giulia sono state sanzionate per avere raccolto e utilizzato dati di alcuni assistiti per classificare gli stessi in specifiche categorie di rischio di sviluppare o meno complicanze in seguito a infezione da COVID-19.
Secondo le valutazioni dell’Autorità, il trattamento in questione (profilazione dell’utente del servizio sanitario con un trattamento automatizzato dei dati personali volto ad analizzare e prevedere l’evoluzione della situazione sanitaria e la correlazione con il rischio di infezione da COVID-19) è stato effettuato senza seguire i requisiti del Reg. UE 2016/679 e dell’art. 2-sexies del Codice Privacy. In particolare, il trattamento non è stato effettuato sotto una adeguata base giuridica e gli interessati non erano stati informati sulle caratteristiche dei trattamenti, che non potevano essere ricompresi tra quelli “necessari” alla cura del paziente (legittimati dall’art. 9(2)(h) del GDPR). Il Garante rileva poi come il trattamento in questione si sarebbe dovuto porre in essere dopo una valutazione di impatto (art. 35 del GDPR), poiché riguardava “dati sensibili o dati aventi carattere altamente personale” relativi ad “interessati vulnerabili” e perché, essendo gli interessati oltre 17.000, si doveva considerare trattamento su “larga scala”, tutti fattori rilevanti previsti dalle Linee Guida WP248 del 4 aprile 2017 in materia di valutazione di impatto. I provvedimenti (doc web 9844989, doc web 9845156 doc web 9845312), sono interessanti in quanto chiariscono alcuni aspetti in un settore e in un ambito normativo complessi, specie considerando le regole emergenziali intervenute dall’inizio della pandemia, richiamando i provvedimenti del Garante emanati nel frattempo e alcuni pareri rilevanti, in particolare il parere sul disegno di legge della provincia di Trento dell’8 maggio 2020 (doc web 9344635), più volte richiamato nei provvedimenti sanzionatori.

(fonte: newsletter del Garante del 24 gennaio 2023)

Sanzione per illecito controllo delle e-mail dei dipendenti

by

Il Garante per la Protezione dei Dati Personali ha sanzionato la Regione Lazio per illecito controllo dei metadati relativi alle e-mail dei dipendenti. Nel caso in esame, la Regione aveva avviato un’indagine interna per una sospetta divulgazione a terzi di informazioni riservate. Per effettuare le verifiche sono stati utilizzati metadati (in particolare orari, destinatari, oggetto delle comunicazioni, peso degli allegati) utilizzando dati conservati per 180 giorni per generiche finalità di “sicurezza informatica”. Secondo l’autorità Garante, in questo modo sono stati violati i principi che legittimano il trattamento dei dati e le norme sul controllo a distanza dei lavoratori, poiché la raccolta di dati non strumentali allo “svolgimento della prestazione” del lavoratore (in questo caso i metadati) deve essere legittimata da specifiche garanzie previste dalla legge (accordo sindacale o autorizzazione pubblica).

(fonte: Garante per la protezione dei dati personali)