Il caso, su cui è intervenuto il Garante della Privacy, riguarda il trattamento dei dati di pazienti sottoposti a Tac in seguito utilizzate per la partecipazione a una gara d’appalto
Le società che forniscono apparecchiature per l’alta diagnostica non possono utilizzare per i propri scopi i dati dei pazienti sottoposti agli accertamenti medici. Le aziende sanitarie da parte loro possono comunicare i dati sanitari a terzi solo in presenza di un adeguato presupposto normativo.
E’ quanto spiega in una l’Ufficio del Garante privacy a conclusione di un’istruttoria nell’ambito della quale sono emersi illeciti trattamenti di dati effettuati da un’azienda sanitaria e dalla società alla quale lo stesso ente, in due occasioni, aveva messo a disposizione copie di immagini della Tac, contenenti informazioni sulla salute di alcuni pazienti.
La società – si legge nelle ricostruzione del caso fornita dalla newsletter del Garante – una volta ricevute le immagini, attraverso un software, aveva anche effettuato un’operazione di estrazione, anonimizzazione e pseudonimizzazione di dati. Copia delle immagini rielaborate era stata poi allegata alla documentazione necessaria per partecipare a una gara d’appalto e in seguito depositata nell’ambito di un contenzioso giudiziario.
I trattamenti, essendo i fatti risalenti al periodo antecedente la piena applicazione del Regolamento europeo (Gdpr), sono stati valutati alla luce del Codice privacy allora vigente.
Il Garante, investito della vicenda, ha ritenuto illecito il trattamento effettuato dalla azienda sanitaria che ha messo a disposizione della società le immagini della Tac. Avrebbe infatti determinato una “comunicazione” di informazioni sulla salute di alcuni pazienti identificati in assenza di un’adeguata base normativa.
Al pari è da ritenere illecito il trattamento svolto dalla società. La designazione della stessa come “responsabile del trattamento” da parte dell’azienda sanitaria non giustifica l’acquisizione delle immagini della Tac.
Le operazioni eseguite perseguono, infatti, finalità proprie della società (partecipazione alla gara e difesa in giudizio) non riconducibili a quelle per le quali era stata designata responsabile. Tra queste rientrano, ad esempio, le attività di manutenzione per garantire l’efficienza dell’apparecchiatura e la qualità delle immagini della Tac.
Il Garante quindi, rilevati gli illeciti trattamenti svolti dall’azienda sanitaria e dalla società, ha avviato i relativi procedimenti sanzionatori.
Leggi anche:
BANCA DATI NAZIONALE DELLE DAT, VIA LIBERA DAL GARANTE PRIVACY
