Il Garante per la privacy ha sanzionato (50 mila euro) recentemente un’azienda sanitaria per avere diffuso illecitamente dati sullo stato di salute all’interno di una sezione del sito istituzionale, denominata “Parlano bene di noi” e dedicata a raccogliere i feedback positivi di utenti e associazioni (provvedimento n. 74 del 2 marzo 2023, doc. web n. 9870171).
Nei documenti consultabili on line erano presenti, infatti, numerose informazioni relative allo stato di salute dei soggetti che avevano presentato l’elogio che erano state cancellate in modo non “compliant” con il tratto di un pennarello nero, che non impediva di leggere le parti oscurate e da cui era possibile identificare gli autori. Ecco i punti della decisione che i titolari del trattamento devono attentamente considerare per la compliance GDPR:
👉i dati relativi allo stato di salute non possono essere diffusi e possono essere comunicati a un soggetto diverso dall’interessato solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso;
👉la procedura di cancellazione manuale tramite l’utilizzo del pennarello o del bianchetto non può essere definita idonea a rendere anonime le informazioni personali degli interessati;
👉l’uso del pennarello nero o del bianchetto non può neppure definirsi una procedura di “pseudonimizzazione” essendo piuttosto una semplice procedura manuale di oscuramento delle generalità degli interessati;
👉 i titolari del trattamento devono mettere in atto, fin dal momento della progettazione, misure tecniche e organizzative adeguate volte ad attuare in modo efficace i principi di protezione dei dati (privacy by design), garantendo che siano trattati, per impostazione predefinita (privacy by default) solo i dati necessari per ogni specifica finalità del trattamento.
.
| P. IVA 02917600302 |