Le sanzioni del Garante Privacy in sanità nel 2022

Nell’ormai lontano 2010, nel suo parere sul “Principio di responsabilizzazione” (cd. “accountability”) il Gruppo di Lavoro Articolo 29, ora sostituito dal Comitato Europeo per la Protezione dei dati, premetteva che “Se la protezione dei dati non diventa parte integrante delle pratiche e dei valori condivisi di un’organizzazione e se le relative responsabilità non sono espressamente ripartite, il rispetto effettivo delle norme in materia di protezione dei dati sarà messo notevolmente a rischio e gli incidenti in questo settore saranno destinati a continuare”.

Come noto, il sistema di protezione dei dati può funzionare solo se le autorità di controllo sono dotate di poteri sanzionatori di una certa entità.

L’esercizio di questi poteri nel corso degli anni ha conosciuto e continua a conoscere delle evoluzioni. Attraverso periodi iniziali di “assestamento” delle aziende rispetto all’adeguamento normativo al GDPR e momenti critici come quelli legati all’emergenza pandemica, l’approccio sanzionatorio del Garante è andato di pari passo con il  progressivo aumento di “assimilazione” della normativa e con l’incremento di consapevolezza di enti, aziende e cittadini.

Nel corso dello scorso anno, la sanità pubblica è stata colpita in maniera maggiore dalle sanzioni rispetto alla sanità privata, che, tra le organizzazioni colpite, annovera in particolare aziende di medical device, società produttrici di piattaforme di health-tech, oltre a cliniche private.

Se a ridosso della pandemia da Sars-Cov-2 i provvedimenti del Garante sono consistiti per buona parte in ammonimenti, le sanzioni nel 2022 in sanità sono state quasi interamente pecuniarie.

I relativi importi sono aumentati in media quasi di un terzo rispetto all’anno precedente: si è passati da una media di 20.395 euro a una media di 27.203 euro per sanzione.

Allo stesso tempo, al lievitare degli importi delle sanzioni, corrisponde una risposta sempre più frequente da parte dei destinatari dei provvedimenti: e i ricorsi contro le decisioni del Garante stanno progressivamente aumentando.

Alcuni di essi, peraltro, vinti in primo grado, come il Provvedimento del Garante Privacy n. 416 del 15 dicembre 2022 annullato dal Tribunale di Udine con sentenza del 21 settembre 2023.

Se il motore scatenante delle sanzioni erano, a ridosso dell’entrata in efficacia del Regolamento, le notifiche di data breach, a cui i titolari del trattamento sono obbligati ai sensi dell’art. 33 del GDPR, nel 2022 reclami e segnalazioni sono nettamente predominanti rispetto alle notifiche di violazione dei dati.

Segnalazioni, in particolare, provenienti non solo da soggetti interessati dal trattamento dei dati, ma anche da cittadini sempre più consapevoli dei diritti in materia di protezione dei dati personali.

Ma è proprio quando questa stessa consapevolezza caratterizza anche i trattamenti di dati svolti quotidianamente da aziende e strutture sanitarie, che i titolari e i responsabili del trattamento che operano nel settore dell’healthcare possono evitare provvedimenti dell’Autorità.

Si tratta, di nuovo, di seguire il principio di accountability, rendendo la protezione dei dati parte integrante delle pratiche e dei valori condivisi dell’organizzazione. Un metodo, questo, non limitato ad adempimenti privacy sporadici, ma che deve consistere nella gestione di un Sistema strutturato di data protection con, a monte, ruoli chiari, istruzioni precise e responsabilità correttamente ripartite.

Senza questo passaggio essenziale, che rappresenta il vero pilastro nell’approccio alla normativa sulla data protection, il rischio sanzionatorio per titolari e responsabili del trattamento è destinato ad aumentare.

Facebook
Twitter
LinkedIn
WhatsApp
L’avvocato Maria Livia Rizzo svolge attività di consulenza legale nel settore sanitario pubblico e privato nell’ambito della protezione dei dati personali – con focus

Ti potrebbe interessare anche...

Vuoi ricevere la newsletter informativa dello studio legale Stefanelli&Stefanelli?