Tre ASL friulane sono state sanzionate, ciascuna per l’importo di 55.000 €, per avere elaborato i dati dei pazienti presenti nelle proprie banche dati utilizzando algoritmi per classificare gli assistiti in base al rischio di avere o meno complicanze in seguito all’infezione da Covid-19.
Nel corso dell’istruttoria il Garante ha rilevato che i dati dei pazienti erano stati trattati in assenza di un’idonea base giuridica, senza avere dato ai pazienti un’informativa idonea e senza avere preventivamente effettuato una valutazione d’impatto. In relazione alla base giuridica, il Garante ha ritenuto non idoneo il richiamo all’art.1 del D.L. 34/2020, poiché, proprio nel medesimo decreto, quando il legislatore ha voluto attribuire ad un soggetto pubblico funzioni istituzionali legate allo sviluppo di metodologie predittive in ambito sanitario lo ha fatto esplicitamente, individuando nell’art. 7 un percorso normativo specifico e in linea con la disciplina in materia di protezione dei dati personali.