2021 14-07

(DPR) VIOLA IL GDPR ED IL CODICE DELLA PRIVACY L'INOLTRO DA PARTE DI UNA STRUTTURA SANITARIA DI DATI PERSONALI DI TALUNI DEI PROPRI ASSISTITI ALL'INDIRIZZO DI ASL NON COMPETENTI (GPDP ord ing. 13.05.2021)

by

Il Garante della Privacy ha sanzionato il comportamento di una società che aveva inviato una e mail ad una ASL ove venivano riportati i dati dei test seriologici per Covid 19 di 32 dei propri assistiti, che però nella quasi totalità avevano come referente territoriale altre ASL. I dati personali in uno all'esito del test recavano i riferimenti anagrafici, il codice fiscale e per la gran parte il numero di telefonia mobile e l'e-mail. L'illiceità del trattamento è stata sanzionata ai sensi dell'art 83 par. 5 con sanzione amministrativa pecuniaria di € 20.000,00 alla luce dei principi di effettività, proporzionalità e dissuasività prevista dalla normativa. Non poco rilievo hanno quindi assunto per un verso la potenziale idoneità nel rivelare informazioni sulla salute di ben 31 soggetti, ma da altra parte l'elevato grado di cooperazione da parte della società, l'assenza di volontarietà, la tempestività anche con interventi a prevenzione per il futuro, l'assenza di successivi rilievi e reclami ed la particolare situazione di perdurante emergenzialità. (DG)