Trattamento illecito dei dati sanitari, il Garante sanziona una piattaforma per la prenotazione dei tamponi Covid nelle farmacie

Il Garante Privacy ha sanzionato una nota società - titolare di una piattaforma per la registrazione delle prenotazioni - per trattamento illecito di dati sanitari , in violazione dei principi di trasparenza, integrità e riservatezza dei dati personali.

Il contesto è quello dell'emergenza sanitaria causata dalla pandemia da Covid-19. In particolare, nel periodo in cui era obbligatorio essere in possesso di Green Pass per accedere, inter alia, ai luoghi di lavoro, molti ricorrevano al tampone antigenico in farmacia per ottenerlo; pertanto, vi è stato un notevole incremento del carico di lavoro delle farmacie.

In Friuli-Venezia Giulia, Federfarma FVG, al fine di agevolare l'organizzazione del lavoro delle farmacie, ha commissionato alla società in oggetto la realizzazione di una piattaforma per gestire l'agenda delle prenotazioni dei tamponi antigenici, sia da parte delle farmacie che degli utenti, con accessi dedicati e previa designazione da parte delle farmacie aderenti all'iniziativa della società quale responsabile del trattamento di queste ultime.

• L'oggetto del trattamento in commento sono i dati personali relativi allo s tato di salute degli utenti (nonostante si trattasse solo di prenotazioni di tamponi antigenici);
• Il portale realizzato era accessibile senza alcun meccanismo di autenticazione e per la prenotazione dei test antigenici venivano obbligatoriamente richiesti il codice fiscale, il nome e cognome, il numero di telefono e, in via opzionale, l'indirizzo email degli utenti.
• Se il codice fiscale risultava già presente in archivio, perché appartenente ad un utente che aveva già usufruito del servizio, il sistema completava in automatico le ulteriori informazioni sull'utente, rendendo in tal modo possibile ottenere i dati personali di qualunque utente partendo dal solo codice fiscale dello stesso.
• La funzione "annulla prenotazione", disponibile sulla piattaforma, permetteva di visualizzare tutte le prenotazioni inserite dall'utente.
• Agli utenti non era resa alcuna informativa sul trattamento dei loro dati personali, attraverso il portale.

Il Garante ha rilevato, tra le altre cose, che:
• nonostante il GDPR ponga in capo al titolare del trattamento l'obbligo di fornire l'informativa privacy agli interessati, nessuna informativa era stata resa agli stessi;
• nonostante il GDPR ponga in capo al titolare del trattamento l'obbligo di ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti di mettere in atto misure di sicurezza adeguate, la società non aveva adottato le misure di sicurezza necessarie a proteggere i dati particolari trattati.

Perché ha ritenuto che le 151 farmacie titolari del trattamento avessero fatto legittimo affidamento sul fatto che la società avrebbe gestito conformemente al GDPR il trattamento dei dati personali degli utenti. Ciò in considerazione del fatto che
• l'iniziativa era stata promossa dall'associazione di categoria Federfarma FVG;
• l'atto di nomina della società quale responsabile del trattamento prevedeva che quest'ultima si sarebbe occupata della gestione e trasmissione dei dati relativi all'effettuazione di test antigenici presso le farmacie, nonché di tutte le attività connesse e collegate, per conto delle titolari del trattamento; e iii(iii)
• lo stesso atto di nomina obbligava la società a dare attuazione all'adozione di misure di sicurezza adeguate, a norma dell'art. 32 del GDPR.

Quanto sopra indicato è stato ritenuto sufficiente per sanzionare il responsabile del trattamento anziché le titolari che avrebbero dovuto vigilare sul suo operato.

Se questo articolo è stato di tuo interesse ma non sei ancora abbonato a NT+ Diritto approfittane subito,prova 1 mese da € 4,90!Scopri di più