Recentemente il Garante per la privacy con il provvedimento n. 8 del 13 gennaio 2022 (doc. web n. 9742959) ha sanzionato una ASL per avere inserito sul proprio sito web istituzionale dei modelli di informativa incompleti e non coerenti con la disciplina in materia di protezione dei dati.
Questa decisione costituisce un’occasione importante per ripercorrere alcuni errori da non commettere durante la stesura delle informative da rendere agli interessati.
Più precisamente:
- non è corretto riportare il consenso degli interessati quale condizione di liceità dei trattamenti dei dati personali svolti per finalità di cura;
- non è “compliant” con il quadro normativo in materia la mancata specificazione delle basi giuridiche dei trattamenti concernenti tutte le differenti finalità perseguite dal titolare così come evidenziate nell’informativa;
- il legittimo interesse del titolare non può essere citato come base giuridica dei trattamenti dei dati effettuati dalle autorità pubbliche nell’esecuzione dei loro compiti;
- le informazioni da rendere agli interessati ai sensi degli artt. 13 e 14 del Regolamento non devono essere sottoscritte dal Responsabile della protezione dei dati;
- il diritto alla portabilità dei dati cui all’art. 20 del GDPR non si applica qualora il trattamento dei dati personali sia necessario per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento.
Informative privacy, prendiamo esempio dal bugiardino dei farmaci: istruzioni per l’uso
Indice degli argomenti
I rilievi del Garante e gli insegnamenti da trarre
La fattispecie considerata nella pronunzia in commento traeva origine da una segnalazione pervenuta al Garante per presunta violazione della disciplina in materia di protezione dei dati personali da parte di un’azienda sanitaria (di seguito “Azienda” o “ASL”) relativamente al contenuto delle informative pubblicate sul sito web istituzionale. In particolare, il segnalante contestava l’indicazione del consenso come base giuridica del trattamento dei dati personali svolti per finalità di cura degli interessati.
In relazione a quanto oggetto di segnalazione, l’Ufficio dell’Autorità avviava un’istruttoria e constatava che le cinque informative[1] pubblicate sul sito internet dell’Azienda presentavano specifici profili di criticità, anche ulteriori rispetto a quello oggetto della segnalazione, relativi in particolare al rispetto dei principi di correttezza e trasparenza di cui agli artt. 12 e 13 del Regolamento.
Il Garante segnalava anzitutto che nelle informative in parola “erano indicate molteplici finalità di trattamento, quali quelle di cura, amministrative e di ricerca scientifica, ma non sempre erano indicate le relative basi giuridiche e che, laddove richiamate, tali basi giuridiche risultavano comunque erronee o contraddittorie” (pag. 2, cit.).
Le informative, infatti, richiamavano il consenso degli interessati quale condizione di liceità dei trattamenti svolti per finalità di cura. “Ciò, anche” – precisava l’Autorità – “laddove come nel documento denominato “informativa sul trattamento dei dati personali” nel quale, pur citandosi correttamente nella parte introduttiva l’art. 9, par. 2, lett. h) del Regolamento, come condizione di liceità per il trattamento dei dati per finalità di cura, veniva poi erroneamente ribadita l’indispensabilità del consenso degli interessati per poter accedere alle cure o in relazione al trattamento dei dati per le finalità amministrative ad esse correlate” (pag. 2 cit.).
Non solo. Nelle informative “non sempre era indicato il periodo di conservazione dei dati personali (“cfr. documenti in atti denominati “Informativa sul trattamento dati personali”; “Informativa – autorizzazione e consenso al trattamento dati personali e il titolare del trattamento”; “informativa sul trattamento dati personali”, nella quale risultavano indicati solo i tempi di conservazione delle cartelle cliniche)”.
Successivamente, in merito ai modelli di informativa trasmessi all’Authority dall’ASL, unitamente al riscontro alla richiamata richiesta di informazioni, l’Ufficio del Garante rilevava la persistenza di ulteriori profili di non conformità al quadro normativo e, in via preliminare, evidenziava che le informazioni da rendere agli interessati ai sensi degli art. 13 e 14 del GDPR, non necessitavano di essere sottoscritte dal Responsabile della protezione dei dati[2].
Da ultimo, veniva evidenziato che “nel documento denominato “Informativa sul trattamento dei dati personali (completa)” veniva indicata quale base giuridica di taluni trattamenti “l’interesse legittimo del titolare”, ciò in contrasto con l’art. 6, par. 1 del Regolamento che stabilisce che la lett. f) del primo comma del medesimo articolo – che prevede quale condizione di liceità del trattamento, il legittimo interesse del titolare o del terzo alle condizioni ivi indicate- non trova applicazione al trattamento dei dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti. Inoltre, l’art. 9 del Regolamento non prevede quale deroga al divieto di trattamento delle particolari categorie di dati, l’interesse legittimo del titolare del trattamento” (pag. 3 cit.).
Atteso quanto sopra, tenuto conto che l’Azienda collaborava pienamente con l’Autorità e che si era prontamente attivata per porre rimedio all’accaduto modificando le informazioni da rendere agli interessati alla luce dei rilievi dell’Ufficio, il Garante, pertanto, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ordinava all’ASL il pagamento della somma di euro 7.500,00 (settemilacinquecento) a titolo di sanzione amministrativa pecuniaria per la violazione degli artt. 5, par. 1, lett. a), 12 e 13 del Regolamento.
Conclusioni
Alla luce di quanto fin qui esposto, si rileva, pertanto, l’importanza e l’utilità delle indicazioni fornite dal Garante con il provvedimento n. 8 del 13 gennaio 2022 ai titolari del trattamento in relazione al rispetto dei principi di correttezza e trasparenza cui agli artt. 12 e 13 del GDPR.
Dall’analisi della decisione in commento emerge ancora una volta la necessità per le aziende di soffermarsi attentamente sulla corretta individuazione delle basi giuridiche dei trattamenti e, in particolare, sull’utilizzo del legittimo interesse, che spesso viene richiamato in modo improprio nelle informative rese agli interessati.
Degne di nota sono anche le valutazioni formulate nel provvedimento sul ruolo del Responsabile della protezione dei dati, il quale, nell’espletamento delle sue funzioni consulenziali, non deve sottoscrivere le informative ma supportare il titolare nel rendere le informazioni agli interessati in modo “compliant”.
Ecco che, quindi, i rilievi effettuati dal Garante (il quale, come è accaduto nel caso di specie, si attiva anche seguito di una sola segnalazione da parte degli interessati) conducono, pertanto, inevitabilmente a soffermare l’attenzione sull’obbligo per tutte le imprese di verificare attentamente la conformità dei modelli di informativa sul trattamento dei dati personali in uso alle categorie di informazioni richieste dagli artt. 13 e 14 del Regolamento, facendo puntualmente tesoro delle indicazioni fornite dall’Authority sul tema.
NOTE
“(i)Informativa semplificata sul trattamento dei dati personali dei pazienti nell’ambito dell’emergenza epidemiologica COVID-19; ii) Informativa ai sensi dell’art. 13 del Regolamento UE 679/2016 (Regolamento Generale sulla Protezione dei Dati) per i dati raccolti nell’ambito dell’emergenza epidemiologica COVID-19 (Coronavirus); iii) Informativa sul trattamento dati personali; iv) Informativa – autorizzazione e consenso al trattamento dati personali; v) Informativa sul trattamento dati personali”(pag. 2 cit.). ↑
“L’obbligo (e le conseguenti responsabilità) di rendere le informazioni agli interessati grava, infatti, sui titolari del trattamento che possono a tal fine avvalersi della consulenza del responsabile della protezione dei dati (art. 39, par. 1 lett. a) del Regolamento). Nel fornire le informazioni agli interessati il titolare deve indicare altresì “i dati di contatto del responsabile della protezione dei dati, ove applicabile” (cfr. artt. 13, par. 1, lett) b) e 14, par. 1 lett. b) del Regolamento)”. ↑
