Alla p.a. non si applica la portabilità dei dati e neppure il legittimo interesse. E la base giuridica per i trattamenti sanitari non è il consenso. È quanto ha affermato il Garante nelle motivazioni dell’ordinanza n. 8 del 13 gennaio 2022, con la quale l’autorità ha applicato a una azienda sanitaria una sanzione di 7.500 euro per avere sbagliato a scrivere un’informativa privacy.

I profili contestati all’organismo sanitario pubblico sono stati numerosi. Vediamo quali.

Consenso. L’informativa dell’Asl indicava, sbagliando, nel consenso degli interessati la condizione di liceità dei trattamenti necessari per finalità di cura.

Il Garante al riguardo sottolinea che si tratta di indicazione erronea in ordine alle basi giuridiche del trattamento necessario a fini di cura.

Per trattare i dati per tale finalità non ci vuole il consenso, in quanto la giustificazione è rappresentata dalla finalità di cura stessa.

Periodo di conservazione. Nell’informativa non sempre era indicato il periodo di conservazione dei dati personali.

Al riguardo bisogna, però, evidenziare che bisognerebbe dare un po’ di chiarezza agli operatori del settore.

Il Garante, sul punto, nella nota del 7 marzo 2019, ha ricordato i termini minimi (ma non massimi) previsti da norme specifiche: per i certificati di idoneità all’attività sportiva agonistica, alla documentazione iconografica radiologica.

A parte le cartelle cliniche e relativi referti (da conservare illimitatamente), rimangono tantissimi altri documenti, per i quali il Garante rinvia alle aziende sanitarie ogni decisione.

Ma si ritiene che sarebbe opportuno una definizione omogenea per tutti gli operatori del settore.

Portabilità. Nell’informativa veniva indicato il diritto alla portabilità dei dati, ma si tratta di una indicazione in contrasto con una specifica disposizione del Gdpr, che esclude la portabilità delle informazioni trattate per pubblico interesse.

L’ente pubblico non può spossessarsi dei dati su richiesta dell’interessato.

Interesse legittimo. Nell’informativa l’Asl ha riportato l’interesse legittimo quale base giuridica del trattamento.

Ciò contrasta con il Gdpr, in cui c’è scritto che il legittimo interesse non trova applicazione al trattamento dei dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti.

Inoltre, per i dati sensibili e particolari, il Gdpr non ammette l’interesse legittimo neppure per i soggetti privati.

Effetti. Il provvedimento in esame, letto in positivo, è un vademecum per la stesura delle informative degli enti pubblici (anche quelli non sanitari), che possono confrontare quelle in concreto utilizzate e accertarsi che non siano commessi i medesimi errori. Anche per evitare sanzioni pecuniarie.
Fonte:
logoitalia oggi7