La Autoridad para la protección de datos personales de Italia, sancionó con una multa de 55.000 euros y supresión de los datos tratados a tres autoridades sanitarias de la Región de Friuli-Venezia-Giulia que a fines de 2020 habían recopilado a través de los médicos de cabecera información clínica de sus pacientes.
El 20 de noviembre de 2022 la Junta de la Región de Friuli-Venezia-Giulia (JRFVG) instruyó a los médicos de cabecera para que a través del portal informático regional incluyeran un listado de los usuarios, que el Organismo de salud regional, previamente había identificado, como propensos a contraer Covid-19. Para precisar esta información la JRFVG exigió que los médicos llenaran “archivos informáticos en los que reportar datos personales bio-humorales, terapias, estado patológico, direcciones familiares, condiciones/hábitos de vida, etc.”.
Un médico de cabecera de la región estimó que la recolección de esta información podría constituir una infracción de las reglas de confidencialidad que rigen las relaciones entre los usuarios de los servicios sanitarios y los médicos, así como de la legislación comunitaria y nacional y puso en conocimiento estos hechos a la Autoridad italiana de protección de datos.
Luego de una investigación la Autoridad resolvió sancionar a las tres autoridades sanitarias de la Región de Friuli-Venezia-Giulia, esto es, la Agencia Sanitaria de Friuli Occidental, la Agencia Sanitaria Universitaria de Friuli Central y la Agencia Sanitaria Universitaria Giuliano Isontina por recopilar información clínica sin proporcionar a los interesados toda la información necesaria (métodos y fines del tratamiento) y por no haber realizado, previamente, la evaluación de impacto exigida por el Reglamento UE en materia de protección de datos.
Respecto del primer punto, el garante indicó que “el responsable del tratamiento no [aportó] aclaraciones respecto de la controversia relativa al incumplimiento de la obligación de informar a los interesados sobre el tratamiento de datos personales de conformidad con los artículos 13 y 14 del Reglamento”. En consecuencia, su actuar constituye una “violación del principio de transparencia conforme al art. 5, párr. 1, letra. a) y al art. 14 del Reglamento”.
En cuanto al sustento legal de la recopilación de datos, la Autoridad entiende que “la elaboración de perfiles del usuario del servicio de salud, ya sea autonómico o nacional, determinando un tratamiento automatizado de datos personales destinados a analizar y predecir la evolución de la situación de salud del paciente individual y cualquier correlación con otros elementos de riesgo clínico (en este caso, la infección por SARS Cov-2), solo puede realizarse con el cumplimiento de requisitos específicos y garantías adecuadas para los derechos y libertades de las partes interesadas (ver art. .4, apartado 1, n° 4 artículos 13, apartado 1, letra f; 14, párr. 2, encendido. g), 15, párr. 1, iluminado. h); art. 21, párr. 1 y 35, párrafo 3, letra a) del Reglamento), o en base a una disposición que reúna los requisitos establecidos por la normativa en materia de protección de datos personales, a que se refiere el citado artículo 2-sexies, apartado 1, del Código”. Sin embargo, al examinar la forma en que se trataron los datos personales, incluidos los relativos a la salud de los pacientes de los servicios regionales de salud, [se advierte la] “ausencia de un requisito legal adecuado y, por lo tanto, [una] violación de los principios aplicables al tratamiento de esta información [, esto es, los artículos 5, párr. 1, letra a), y 9, del Reglamento, así como el art. 2-sexos del Código”.
Noticia Relacionada
Finalmente, respecto de la evaluación del impacto que tiene la recopilación de esta información la Autoridad italiana de protección de datos señaló que “El caso en cuestión es de hecho uno de aquellos en los que el responsable del tratamiento está obligado a realizar, «antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales (artículo 35 del Reglamento)”. Esta obligación, entiende el Garante, no se vio alterada por las disposiciones que se adoptaron durante la pandemia. De hecho, durante la emergencia sanitaria la Autoridad, en varios procesos de recopilación masiva de datos (sistema nacional de rastreo de datos, las certificaciones verdes Covid-19 y tratamientos específicos realizados por Empresas Sanitarias en relación con la emergencia por el Covid-19) intervino en estos procesos, lo que en el caso de marras no ocurrió. De ahí que el actuar de las autoridades sanitarias de la Región de Friuli- Venezia-Giulia constituyan una violación de la obligación prevista en el art. 35 del Reglamento.
Vea resoluciones GarantePrivacy-9844989-1.7 (1), GarantePrivacy-9845156-1.5 y GarantePrivacy-9845312-1.4