Pazienti classificati in base ai rischi in caso di contagio da Covid-19: multa a tre aziende sanitarie

Multa di 55.000 euro per tre Aziende sanitarie locali del Friuli, colpevoli, secondo quanto accertato dal Garante per la protezione dei dati personali, di avere, attraverso l’uso di algoritmi, classificato gli assistiti in relazione al rischio di avere o meno complicanze in caso di infezione da Covid-19. In sostanza, le tre aziende sanitarie avevano elaborato i dati presenti nelle ‘banche dati’ aziendali allo scopo di attivare nei confronti degli assistiti opportuni interventi di medicina di iniziativa e di individuare per tempo i percorsi diagnostici e terapeutici più idonei. Nel corso dell’istruttoria del Garante, sollecitato dalla segnalazione di un medico, è emerso che i dati degli assistiti erano stati trattati in assenza di una idonea base normativa, senza fornire agli stessi assistiti tutte le informazioni necessarie (in particolare, su modalità e finalità del trattamento) e senza aver effettuato preliminarmente la valutazione d’impatto prevista dal regolamento europeo in materia di protezione dati. Dal Garante ribadiscono che la profilazione dell’utente del servizio sanitario, sia regionale che nazionale, determinando un trattamento automatizzato di dati personali volto ad analizzare e prevedere l’evoluzione della situazione sanitaria del singolo assistito e l’eventuale correlazione con altri elementi di rischio clinico, può essere effettuata solo in presenza di un idoneo presupposto normativo, nel rispetto di requisiti specifici e garanzie adeguate per i diritti e le libertà degli assisti, mancanti, invece, nel caso relativo all’operato delle tre aziende sanitarie locali friulane. (Provvedimenti del 15 dicembre 2022 del Garante per la protezione dei dati personali)