Trattamento automatizzato: regole da seguire

Il Garante per la protezione dei dati personali (il Garante) ha sanzionato tre Aziende sanitarie friulane per aver realizzato un trattamento automatizzato senza aver seguito le dovute procedure.

L’Azienda Universitaria Friuli Centrale, l’Azienda Universitaria Friuli Occidentale e l’Azienda Universitaria Giuliano Isontina avevano elaborato i dati presenti nelle banche dati aziendali con la finalità di classificare i pazienti riguardo alla possibilità che questi potessero avere complicanze in caso di infezione da Covid-19.

Nello specifico, le Asl volevano individuare i percorsi diagnostici e terapeutici maggiormente idonei per i propri pazienti senza tuttavia rispettare le linee del Regolamento (UE) 2016/679 (il GDPR). Infatti, l’art. 22 GDPR riconosce al soggetto interessato il diritto di non essere sottoposto ad una decisione basata meramente su un trattamento automatizzato a meno che vi sia il consenso esplicito del soggetto interessato o sia autorizzato da normative che tutelino i suoi diritti e libertà. Infatti secondo l’Autorità la profilazione, definita come «qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti […] la salute»^[1], può essere effettuata solamente «in presenza di un idoneo presupposto normativo, nel rispetto di requisiti specifici e garanzie adeguate per i diritti e le libertà degli interessati»^[2].

Oltre a ciò, il Garante mette in luce altre due carenze. La prima riguarda quanto disposto dall’art. 15 GDPR, cioè il non aver comunicato all’interessato l’esistenza di un processo decisionale automatizzato né le finalità e modalità dello stesso. La seconda riguarda il non aver realizzato la valutazione d’impatto ex art. 35 GDPR. Tale valutazione permette di dichiarare o meno lecito un trattamento automatizzato che prevede, quindi, l’uso di nuove tecnologie.

In conclusione, considerando che le Asl hanno realizzato, senza il consenso dei soggetti interessati, un trattamento di un numero elevato di pazienti attraverso l’uso di algoritmi, il Garante ha sanzionato ogni Azienda con il pagamento di euro 55.000,00 e ha ordinato la cancellazione dei dati elaborati.

^[1] Art. 4 comma 4 del GDPR

^[2] Vedi Newsletter del Garante n. 499 del 24 gennaio 2023, qui.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_22340695_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Trattamento automatizzato: regole da seguire

Condividi questo articolo:

Potrebbero interessarti anche

Condividi questo articolo:

Potrebbero interessarti anche

Accettazione Cookie