Il Garante per la protezione dei dati personali ha recentemente sanzionato uno professionista sanitario per diverse violazioni della normativa privacy, evidenziando l’importanza di rispettare gli obblighi informativi ed i diritti dell’interessato. Il provvedimento (n. 619 del 17 ottobre 2024) ha stabilito una sanzione complessiva di 6.500 euro.

Le violazioni contestate

Il caso riguarda uno psicoterapeuta che ha effettuato registrazioni audio delle sedute con un paziente senza fornire preventivamente l’informativa privacy prevista dal GDPR. A seguito di istanza da parte del paziente, il professionista non avrebbe dato riscontro alla richiesta di accesso ai dati personali. Le principali violazioni riscontrate sono state:

  • Omessa informativa privacy (art. 13 GDPR).
  • Mancato riscontro alla richiesta di accesso ai dati (artt. 12 e 15 GDPR).
  • Mancata risposta alla richiesta di informazioni del Garante (art. 157 Codice Privacy).

Le criticità emerse

Particolarmente significativa è stata la giustificazione del professionista, che ha dichiarato di aver ritenuto di poter posticipare gli adempimenti privacy al “terzo incontro”, quando si sarebbe accertato che il percorso terapeutico sarebbe effettivamente proseguito. 

Il Garante ha categoricamente respinto questa interpretazione, sottolineando che gli obblighi informativi scattano dal primo momento in cui si raccolgono dati personali, indipendentemente dalla prosecuzione del rapporto professionale.

Cosa ci insegna questo provvedimento?

Il provvedimento offre importanti spunti per tutti i professionisti e le PMI:

  • L’informativa privacy deve essere fornita prima di qualsiasi trattamento dei dati.
  • Non è ammissibile posticipare gli adempimenti privacy in attesa di verificare l’evoluzione del rapporto.
  • La semplice raccolta di informazioni, anche in fase preliminare, costituisce già un trattamento che richiede il rispetto degli obblighi del GDPR.
  • Le richieste di accesso ai dati devono ricevere risposta entro i termini previsti dal GDPR (30 giorni).
  • È fondamentale rispondere tempestivamente alle richieste di informazioni del Garante.

L'impatto del provvedimento

Il provvedimento ha evidenziato come sia fondamentale fornire correttamente l’informativa agli interessati, specie quando il trattamento riguarda dati di natura sensibile. 

Allo stesso tempo, tutti i soggetti tenuti al rispetto del GDPR devono prendere in carico e gestire correttamente le richieste di esercizio dei diritti da parte degli interessati.

Infine, è essenziale rispondere tempestivamente e trattare con la dovuta serietà le richieste ed i rapporti con il Garante Privacy.

Il mancato rispetto del GDPR può portare a sanzioni anche elevate e soprattutto, come in questo caso, provocare un danno reputazionale rilevante per il professionista/azienda oggetto del provvedimento.

Cosa può fare CNA per i propri associati?

L’Ufficio Privacy di CNA Reggio Emilia può assistere i propri associati nel conformarsi alla normativa privacy e rimane a disposizione per qualsiasi informazione e chiarimento in merito, per fornire tutto il supporto necessario a professionisti e imprese.

Vi invitiamo a contattarci all’indirizzo e-mailgdpr@cnare.it o telefonicamente ai numeri: 0522 356340 o 0522 356341.

Fonte: Provvedimento Garante Privacy n. 619 del 17 ottobre 2024.

Tag: