Il Responsabile della protezione dei dati personali (DPO), anche in materia di sanità pubblica, è un mero consulente che non deve firmare le informative o assumere ruoli tipici del titolare del trattamento.
In applicazione di tale principio di “accountability” fissato dal Regolamento (UE) 679/2016 (GDPR), il Garante per la Protezione dei dati personali, con l’ordinanza n. 82 del 13 gennaio 2022 emessa nei confronti dell’Azienda Sanitaria Locale Frosinone, ha affermato che la responsabilità e gli obblighi privacy gravano sull’azienda sanitaria locale (titolare del trattamento) con tutta la sua struttura organizzativa e dirigenziale e non possono essere “affidate” al DPO.
La vicenda oggetto dell’ordinanza
All’Autorità veniva segnalata una presunta violazione in materia di protezione dei dati personali da parte della ASL Frosinone relativa alle informative messe a disposizione degli interessati; in particolare, nelle informative predisposte dall’Azienda, sarebbe stato indicato il consenso come base giuridica del trattamento dei dati personali svolti per finalità di cura degli interessati.
A seguito della segnalazione, l’Ufficio avviava un’istruttoria preliminare dalla quale emergevano diversi e specifici profili di criticità in relazione alla disciplina in materia di protezione dei dati personali, anche ulteriori rispetto all’oggetto della segnalazione, relativi in particolare al rispetto dei principi di correttezza e trasparenza di cui agli artt. 12 (Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato) e 13 (Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato).
Il contenuto delle informative e il ruolo del DPO
Nelle informative erano indicate molteplici finalità di trattamento ma non sempre erano indicate le relative basi giuridiche e, anche laddove richiamate, tali basi giuridiche risultavano comunque erronee o contraddittorie. Le informative, infatti, indicavano nel consenso degli interessati la condizione di liceità dei trattamenti svolti per finalità di cura. Inoltre, nelle stesse informative non sempre era indicato il periodo di conservazione dei dati personali.
L’Azienda trasmetteva al Garante, due ulteriori modelli di informativa che rilevava la persistenza di specifici profili di non conformità al quadro normativo in materia di protezione dei dati personali.
Il Garante, infatti, evidenziava che le informazioni da rendere agli interessati ai sensi degli art. 13 e 14 del Regolamento, non necessitano di essere sottoscritte dal Responsabile della protezione dei dati.
L’obbligo (e le conseguenti responsabilità) di rendere le informazioni agli interessati grava, infatti, sui titolari del trattamento che possono a tal fine avvalersi della consulenza del responsabile della protezione dei dati (art. 39, par. 1 lett. a) del Regolamento). Nel fornire le informazioni agli interessati il titolare deve indicare altresì “i dati di contatto del responsabile della protezione dei dati, ove applicabile” (cfr. artt. 13, par. 1, lett) b) e 14, par. 1 lett. b) del Regolamento).
Il Garante poi ribadiva come anche nei modelli inviati venivano indicate tre differenti finalità (di cura, amministrative e di ricerca scientifica) perseguite dal titolare del trattamento pur riportando la base giuridica relativa solo ad una di esse (la finalità di cura della salute).
Infine, veniva rilevata un’incongruenza in relazione ai tempi di conservazione.
La conclusione del Garante
Una volta conclusa l’attività istruttoria, il Garante affermava che i dati personali devono essere trattati nel rispetto del principio di trasparenza (art. 5, par. 1 lett. a) del Regolamenti) fornendo preventivamente agli interessati le informazioni di cui all’art. 13 del Regolamento, in caso di dati raccolti direttamente presso di essi, ovvero ai sensi dell’art. 14, in caso di dati raccolti presso soggetti terzi; tra le informazioni da rendere agli interessati rileva, in particolare, la base giuridica del trattamento e per le operazioni di trattamento delle particolari categorie di dati (e in particolare dei dati sulla salute) necessarie per la cura della salute degli interessati non è richiesto il consenso degli interessati.
Inoltre, i modelli recanti le informazioni da rendere agli interessati, pubblicati sul sito internet dell’Azienda in data antecedente alle modifiche da essa apportate a seguito dell’avvio dell’istruttoria da parte dell’Ufficio, sono risultati non conformi al richiamato quadro normativo in materia di protezione dei dati personali.
In merito ai modelli di informativa trasmessi all’Ufficio unitamente al riscontro alla richiamata richiesta di informazioni persistevano specifiche criticità quali: l’indicazione del diritto alla portabilità dei dati (art. 20 del Regolamento); nell’“Informativa sul trattamento dei dati personali (semplificata)” venivano indicate tre differenti finalità perseguite dal titolare del trattamento (di cura, amministrative e di ricerca scientifica) e riportata la base giuridica relativa solo ad una di esse (la finalità di cura della salute), e non si comprendeva a quale delle tre finalità perseguite si riferiva il tempo di conservazione ivi indicato; nell’“Informativa sul trattamento dei dati personali (completa)” era riportato l’interesse legittimo quale base giuridica del trattamento.
Per questi motivi, il Garante dichiarava l’illiceità del trattamento di dati personali effettuato dall’Azienda Sanitaria Locale Frosinone e ordinava alla stessa il pagamento di € 7.500 a titolo di sanzione amministrativa pecuniaria.
Questo articolo ti è stato utile?
Consulta le nostre sezioni dedicate al Regolamento 679/2016 (GDPR) e privacy e al supporto alle stazioni appaltanti. Puoi anche iscriverti alla nostra newsletter e non perdere le notizie più importanti in tema di Appalti, anticorruzione, digitalizzazione della PA e D.Lgs. 231 responsabilità delle persone giuridiche. Non preoccuparti, saremo moderati. Anche noi odiamo lo SPAM.