Sanità: Garante sanziona tre Asl friulane per uso algoritmo

Il Garante per la privacy ha sanzionato tre Asl friulane [doc. web n. 9844989, 9845156, 9845312] che, attraverso l’uso di algoritmi, avevano classificato gli assistiti in relazione al rischio di avere o meno complicanze in caso di infezione da Covid-19.

Le Asl avevano elaborato i dati presenti nelle banche dati aziendali allo scopo di attivare nei confronti degli assistiti opportuni interventi di medicina di iniziativa e individuare per tempo i percorsi diagnostici e terapeutici più idonei.

Nel corso dell’istruttoria dell’Autorità, che si era mossa dopo la segnalazione di un medico, è infatti emerso che i dati degli assistiti erano stati trattati in assenza di una idonea base normativa, senza fornire agli interessati tutte le informazioni necessarie (in particolare sulle modalità e finalità del trattamento) e senza aver effettuato preliminarmente la valutazione d’impatto prevista dal Regolamento Ue in materia di protezione dati.

L’Autorità ha ribadito che la profilazione dell’utente del servizio sanitario, sia regionale o nazionale, determinando un trattamento automatizzato di dati personali volto ad analizzare e prevedere l’evoluzione della situazione sanitaria del singolo assistito e l’eventuale correlazione con altri elementi di rischio clinico, può essere effettuata solo in presenza di un idoneo presupposto normativo, nel rispetto di requisiti specifici e garanzie adeguate per i diritti e le libertà degli interessati, mancanti nel caso di specie.

Accertate dunque le violazioni e valutato che nel caso specifico le operazioni, attraverso l’uso di algoritmi, avevano riguardato dati sulla salute di un ingente numero di assistiti, il Garante ha ordinato a ognuna delle tre Aziende di pagare la sanzione di 55.000 euro e di procedere alla cancellazione dei dati elaborati.

Whistleblowing: sì del Garante privacy al recepimento della direttiva Ue

Parere favorevole del Garante privacy sullo schema di decreto legislativo che dà attuazione alla direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, la cd. direttiva whistleblowing.

Lo schema di decreto riconduce ad un unico testo normativo la disciplina relativa alla tutela delle persone che segnalano violazioni di norme, tra le quali quelle in materia di protezione dati, di cui siano venute a conoscenza in ambito lavorativo, sia pubblico che privato. Dall’ambito di applicazione del decreto sono escluse contestazioni o rivendicazioni di carattere personale nei rapporti individuali di lavoro o di impiego pubblico e le segnalazioni di violazioni in materia di sicurezza nazionale o di appalti relativi ad aspetti di difesa o sicurezza nazionale.

Lo schema di decreto legislativo recepisce pressoché tutte le indicazioni fornite dall’Autorità al Governo nell’ambito dei lavori preliminari alla stesura del testo attuale, con particolare riguardo alla nozione di violazione, al perfezionamento degli obblighi di riservatezza, alla revisione del termine massimo di conservazione della documentazione.

Lo schema prescrive che il canale di segnalazione deve garantire la riservatezza assoluta del segnalante, delle persone coinvolte e del contenuto della segnalazione stessa (anche mediante il ricorso alla crittografia).

Le segnalazioni possono essere effettuate in forma scritta, anche con modalità informatiche, in forma orale, per telefono o attraverso sistemi di messagistica vocale, oppure infine mediante un incontro diretto. Le informazioni sulle modalità per effettuare il whistleblowing devono essere pubblicate nel sito internet del datore di lavoro in modo chiaro, visibile e accessibile. Con le stesse modalità e garanzie di riservatezza è inoltre prevista la possibilità di effettuare la segnalazione su di un canale esterno attivato presso l’ANAC in caso di assenza o inefficacia dei canali di segnalazione interna, di timore di ritorsione o pericolo per l’interesse pubblico.

Le segnalazioni possono essere conservate solo per il tempo necessario alla loro definizione e comunque per non più di cinque anni a decorrere dalla data di comunicazione dell’esito finale.