Anche durante la pandemia è necessario fornire informazioni chiare sul corretto trattamento dei dati personali da parte delle strutture sanitarie evitando di richiedere il consenso che non è mai necessario per la cura della salute. Ovvero mettendo a disposizione degli utenti documenti comprensibili e facilmente consultabili sulle diverse finalità del trattamento, le basi giuridiche e i tempi di conservazione dei dati. Ed evitando di responsabilizzare soggetti come i responsabili per la protezione dei dati che non possono certo sostituirsi al titolare del trattamento.
Lo ha chiarito il Garante per la protezione dei dati personali con l’ordinanza ingiunzione n. 8 del 13 gennaio 2022. Un cittadino ha segnalato un possibile trattamento illecito di dati personali da parte dell’Asl di Frosinone e pertanto l’Autorità ha avviato un’istruttoria che si è conclusa con l’applicazione di una severa sanzione amministrativa . Le informative messe a disposizione degli utenti erano particolarmente contraddittorie. Oltre ad indicare generiche finalità di trattamento come cura, amministrative o ricerca, non erano state indicate correttamente le basi giuridiche richiedendo in maniera errata il consenso degli interessati per poter accedere alle cure, citando il legittimo interesse senza indicare il tempo di conservazione dei dati personali. Il primo riscontro dell’azienda sanitaria non ha sanato tutte le irregolarità e paradossalmente ha evidenziato ulteriori mancate aderenze al quadro normativo, specifica l’ordinanza ingiunzione. Intanto le informative non devono essere sottoscritte dal responsabile della protezione dei dati . L’obbligo e le conseguenti responsabilità a fornire le informazioni corrette e alla complessiva protezione dei dati non gravano infatti sul dpo/rpd ma unicamente sul titolare del trattamento che può avvalersi della consulenza del medesimo soggetto. In buona sostanza, al di là delle mere apparenze terminologiche il dpo/rpd non è responsabile delle determinazioni assunte dal titolare del trattamento che resta sempre il vero soggetto deputato alla protezione dei dati personali. L’esito dell’attività istruttoria ha quindi confermato il mancato rispetto dei principi di trasparenza previsti dall’art. 5 del regolamento europeo in quanto le informative rilasciate agli interessati risultano non conformi al dettato normativo e particolarmente approssimative indicando tra l’altro basi giuridiche errate o contraddittorie.
Ordinanza ingiunzione 13 gennaio 2022, n. 8