Tag: dati sanitari

• GPDP, Docweb 9752221, 24.2.2022 (3)

  Massima (3) – La circostanza che una regione abbia effettuato un trattamento di dati personali di cui è titolare per dare seguito a una specifica richiesta del Ministero, nell’ambito di un’attività di collaborazione interistituzionale, non può costituire condizione esimente rispetto all’obbligo per il titolare di effettuare una preventiva valutazione d’impatto sulla protezione dei dati.

• GPDP, Docweb 9752221, 24.2.2022 (2)

  Massima (2) – La richiesta del Ministero della salute ad alcune regioni/province autonome di trattare i dati personali presenti nei sistemi informativi sanitari che esse detengono in qualità di titolari ex lege, al di fuori delle finalità da queste legittimamente perseguibili e al solo fine di collaborare all’adempimento di un compito che la legge attribuisce unicamente al Ministero, non può rappresentare idonea base giuridica di tale trattamento.

• GPDP, Docweb 9752221, 24.2.2022 (1)

  Massima (1) – La circostanza che un soggetto terzo chieda a un titolare di effettuare operazioni di trattamento su dati personali di cui quest’ultimo è titolare, indicandone anche la modalità di trattamento, non comporta l’automatica attribuzione della titolarità in capo al richiedente, né tantomeno la perdita della titolarità da parte del soggetto che legittimamente detiene i dati. Spetta a quest’ultimo valutare la legittimità della richiesta e in particolare l’esistenza di un’idonea base giuridica per effettuare le operazioni di trattamento richieste, in ragione dei principi di responsabilizzazione e di privacy by design.

• GPDP, Docweb 9752177, 24.2.2022 (3)

  Massima (3) – La circostanza che una regione abbia effettuato un trattamento di dati personali di cui è titolare per dare seguito a una specifica richiesta del Ministero, nell’ambito di un’attività di collaborazione interistituzionale, non può costituire condizione esimente rispetto all’obbligo per il titolare di effettuare una preventiva valutazione d’impatto sulla protezione dei dati.

• GPDP, Docweb 9752177, 24.2.2022 (2)

  Massima (2) – La richiesta del Ministero della salute ad alcune regioni/province autonome di trattare i dati personali presenti nei sistemi informativi sanitari che esse detengono in qualità di titolari ex lege, al di fuori delle finalità da queste legittimamente perseguibili e al solo fine di collaborare all’adempimento di un compito che la legge attribuisce unicamente al Ministero, non può rappresentare idonea base giuridica di tale trattamento.

• GPDP, Docweb 9752177, 24.2.2022 (1)

  Massima (1) – La circostanza che un soggetto terzo chieda a un titolare di effettuare operazioni di trattamento su dati personali di cui quest’ultimo è titolare, indicandone anche la modalità di trattamento, non comporta l’automatica attribuzione della titolarità in capo al richiedente, né tantomeno la perdita della titolarità da parte del soggetto che legittimamente detiene i dati. Spetta a quest’ultimo valutare la legittimità della richiesta e in particolare l’esistenza di un’idonea base giuridica per effettuare le operazioni di trattamento richieste, in ragione dei principi di responsabilizzazione e di privacy by design.

• Sviluppo di metodologie predittive e trattamento di dati da parte di Regioni e Province autonome nell’ambito dell’attività di collaborazione istituzionale con il Ministero della Salute

  GPDP, Docweb nn. 9752177, 9752221, 9752260, 9752410, 9752299, 9752433, 9752490 e 9752524 del 24 febbraio 2022 | Massime e Commento di Cristina Moser

• GPDP, Docweb 9544504, 27.1.2021 (3)

  Massima (3) – La condotta dell’interessata non rileva ai fini della valutazione dell’illiceità del trattamento in relazione alla violazione dei dati personali, là dove la violazione sia comunque imputabile all’inadeguatezza delle misure tecniche e organizzative implementate, a prescindere dalla supposta incidenza causale della condotta dell’interessato medesimo sugli eventi. Né rileva, ai fini della valutazione dell’illecito, la circostanza che il terzo, a cui siano stati comunicati illecitamente i dati relativi alla salute dell’interessata (causa del ricovero ospedaliero), sia un prossimo congiunto che li abbia comunque appresi in altro modo.

• GPDP, Docweb 9544505, 27.1.2021 (2)

  Massima (2) – Nell’ambito della gestione dei dati personali dei pazienti, con particolare attenzione a quelli particolari, la cui indebita comunicazione o diffusione sarebbe in grado di incidere significativamente sui diritti e le libertà degli interessati, l’Azienda sanitaria è tenuta a mettere in atto misure tecniche ed organizzative adeguate a garantire un livello di sicurezza adeguato al rischio. In questo senso, la mera specificazione, nel documento di attribuzione del ruolo di incaricato del trattamento, prima, e autorizzato del trattamento, poi, conferito all’infermiera di una struttura sanitaria, si è da ritenersi insufficiente a garantire l’effettività dei principi inerenti al trattamento dei dati personali, in particolare di correttezza e trasparenza, se non corroborata da ulteriori adeguate misure tecniche e/o organizzative – richieste dall’art. 5, par. 1, lett. f) e dall’art. 32 GDPR – che tengano nella dovuta considerazione il particolare contesto ospedaliero in cui siffatti trattamenti di dati personali, anche estremamente delicati, hanno luogo (la circostanza che un’infermiera di un reparto di ginecologia si trovi a doversi destreggiare contemporaneamente tra due o più pazienti non rappresenta infatti un evento imprevedibile, tale da giustificare la comunicazione dei dati dell’interessata, relativi all’interruzione volontaria della gravidanza, al di lei marito, in presenza di un diniego espresso dalla paziente).

• GPDP, Docweb 9544504, 27.1.2021 (1)

  Massima (1) – La disciplina in materia di protezione dei dati personali (considerando n. 35 e art. 9 GDPR, nonché art. 83 d.lgs. 196/2003, in combinato disposto con l’art. 22, co. 11, d.lgs. 101/ 2018) prevede, in ambito sanitario, che le informazioni sullo stato di salute possano essere riferite solo all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su specifica indicazione dell’interessato stesso, previa delega scritta di quest’ultimo.