Un’azienda fornitrice di dispositivi medici e biancheria per il settore ospedaliero riceve la richiesta di un preventivo per una fornitura e, tra le carte, trova il nome dei destinatari della fornitura e, ovviamente, dalla tipologia di prodotto richiesto, era possibile risalire alla patologia di ciascuno dei nominativi. Inoltre, in alcuni casi, era presente anche il nome del medico che aveva effettuato la prescrizione.

La ASL giustificava il proprio operato attribuendo la responsabilità di quello che definiva “errore materiale” di un assistente amministrativo oberato di lavoro e cercato di minimizzare l’accaduto ad un “unico episodio”: sosteneva anche come la privacy dei pazienti fosse salvaguardata in quanto non era indicato il loro codice fiscale. Specificava inoltre che, come prassi, di solito si limitava ad inserire solo le iniziali di nome e cognome dei pazienti per non divulgare i dati.

Indubbio tuttavia, secondo il Garante, la comunicazione di dati in assenza dei presupposti giuridici richiesti dal GDPR per questo tipo di trattamento e, da qui, l’avvio del procedimento. Tra le giustificazioni addette dalla ASL veniva rimarcata la natura colposa dell’accaduto, dovuta anche a carenza di personale e dichiarava di avere richiamato il proprio personale ad un rigoroso rispetto della normativa in materia di privacy. Inoltre, poiché non si trattava nella fattispecie di gara pubblica, i dati in questione non potevano essere usciti dal novero dei destinatari, vale a dire aziende iscritte ad albi di fornitori. Rilevava inoltre che nessuno degli interessati aveva sporto reclamo o lamentato alcuna violazione della propria privacy.

Le giustificazioni addotte non sono state accolte dall’authority garante che, in primo luogo, ha rilevato come in materia di protezione dati personali non sia necessaria una denuncia da parte dell’interessato e, argomento da non sottovalutare, anche che lo strumento di indicare solo le iniziali degli interessati nei documenti non è assolutamente sufficiente per rispettare il GDPR in quanto, anche con questi elementi basici, è possibile procedere all’identificazione di una persona. Inoltre, in merito alla giustificazione che i dati fossero mantenuti all’interno di un “circuito chiuso” di aziende, resta il dato obiettivo di una comunicazione degli stessi laddove non vi era alcuna necessità oltre, come detto, una carenza di presupposti.

Veniva quindi decisa l’irrogazione di una sanzione pecuniaria, definita "proporzionale e dissuasiva", per il calcolo della quale si faceva riferimento a tutti gli elementi del caso, positivi e negativi, ad iniziare dal fatto che si trattava di dati relativi allo stato di salute dei pazienti inviati a più destinatari. Tenuto in ogni caso conto della mancanza di dolo e della collaborazione prestata, la sanzione veniva contenuta nella misura di € 35.000,00, oltre alla pubblicazione sul sito del Garante del provvedimento.

Si tratta di una sanzione che richiama l’attenzione di ogni operatore non solo sulla necessità di conformarsi al GDPR, ma pone l’accento anche su possibili giustificazioni quali, ad esempio, scaricare le colpe su un errore materiale di un addetto. Non è una scusa accettabile.