Garante privacy sanziona tre Asl friulane per profilazione dell’utente mediante algoritmo senza consenso al trattamento specifico dei dati

Garante per la protezione dei dati personali, Provvedimento n. 415 del 15 dicembre 2022

Pres. Stanzione, Rel. Ghiglia - Procedimento nei confronti dell’Azienda Universitaria Friuli Occidentale

Garante per la protezione dei dati personali, Provvedimento n. 416 del 15 dicembre 2022

Pres. Stanzione, Rel. Scorza

Garante per la protezione dei dati personali, Provvedimento n. 417 del 15 dicembre 2022

Pres. Stanzione, Rel. Stanzione

Dati sanitari – Azienda sanitaria – Trattamento per profilazione – Algoritmo – Violazione privacy - Sanzione – Cancellazione dati.

Il Garante per la privacy ha sanzionato tre Asl friulane che, attraverso l’uso di algoritmi, avevano classificato gli assistiti in relazione al rischio di avere o meno complicanze in caso di infezione da Covid-19.

Le Asl avevano elaborato i dati presenti nelle banche dati aziendali allo scopo di attivare nei confronti degli assistiti opportuni interventi di medicina di iniziativa e individuare per tempo i percorsi diagnostici e terapeutici più idonei.

Nel corso dell’istruttoria dell’Autorità è emerso che i dati degli assistiti erano stati trattati in assenza di una idonea base normativa, senza che fosse stato fornito agli interessati tutte le informazioni necessarie (in particolare sulle modalità e finalità del trattamento) e senza fosse stato effettuato preliminarmente la valutazione d’impatto prevista dal Regolamento Ue in materia di protezione dati.

L’Autorità ha ribadito che la profilazione dell’utente del servizio sanitario, sia regionale o nazionale, determinando un trattamento automatizzato di dati personali volto ad analizzare e prevedere l’evoluzione della situazione sanitaria del singolo assistito e l’eventuale correlazione con altri elementi di rischio clinico, può essere effettuata solo in presenza di un idoneo presupposto normativo, nel rispetto di requisiti specifici e garanzie adeguate per i diritti e le libertà degli interessati, mancanti, secondo il Garante, nel caso di specie.

Accertate dunque le violazioni e valutato che nel caso specifico le operazioni, attraverso l’uso di algoritmi, avevano riguardato dati sulla salute di un ingente numero di assistiti, il Garante ha ordinato a ognuna delle tre Aziende di pagare la sanzione di 55.000 euro e di procedere alla cancellazione dei dati elaborati.

La criticità dei provvedimenti qui esaminati è evidenziata anche dal fatto che risultano tutti impugnati innanzi i competenti Tribunali (rispettivamente, rispetto all’ordine di intestazione, avanti il Tribunale di Pordenone, Udine e Trieste), i quali ne hanno disposto in via cautelare la sospensione dell’efficacia esecutiva.

Indubbiamente, si tratta di provvedimenti che evidenziano l’urgenza di adeguare la disciplina sul trattamento dei dati personali all’esigenza di garantire una effettiva presa in carico del paziente, al fine di utilizzare efficacemente i dati sanitari resi disponibili tramite piattaforme digitali e nuove tecnologie.

A tal proposito, si ritiene che la proposta di regolamento sullo spazio europeo dei dati sanitari possa suggerire un nuovo percorso, coerente con l’incarico di cura del cittadino e con l’affermazione della “medicina di iniziativa”, quale modello assistenziale orientato alla “promozione attiva” della salute dell’individuo.

F.L.