L’Autorità ha sanzionato l’ASL Frosinone per €7.500, a causa dell’incompletezza delle informative sul trattamento dei dati dei propri pazienti e per l’erronea individuazione delle basi giuridiche del trattamento.
A seguito di reclamo, infatti, l’Autorità ha rilevato che le informative messe a disposizione sul sito web dell’ASL erano incomplete ed errate: in particolare, nelle informative veniva indicato che il trattamento dei dati per finalità di cura, amministrative e di ricerca scientifica fosse legittimo in ragione di un’unica base giuridica: il consenso dei pazienti.
L’ASL inoltre indicava quale base giuridica di alcuni trattamenti il suo legittimo interesse che però non si applica al trattamento dei dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti e non rientra tra le deroghe al divieto di trattamento di dati particolari previste dall’art. 9 del GDPR.
Inoltre, nelle informative venivano indicati i soli tempi di conservazione delle cartelle cliniche.