In più di una occasione l’Autorità ha avuto modo di fornire delle indicazioni in ordine all’applicazione del RGPD, con particolare riferimento alla valutazione di impatto sulla protezione dei dati in ambito sanitario.

In particolare, un’associazione – che aveva comunicato l’intenzione di dotare gli automezzi adibiti al trasporto degli utenti diversamente abili di un sistema integrato di monitoraggio e video sorveglianza al fine di tutelare la salute e l’incolumità degli utenti quotidianamente accompagnati dall’abitazione ai presidi riabilitativi – è stata invitata a rispettare il principio di indispensabilità dei dati personali trattati. Ciò considerata la particolare delicatezza del trattamento ipotizzato, consistente anche in una timbratura del badge degli utenti per la registrazione della loro salita e discesa dal mezzo, unitamente a un sistema di localizzazione tramite Gps e a una raccolta di una serie di informazioni degli utenti (comprese le cartelle cliniche). Il titolare è stato quindi invitato a effettuare una valutazione d’impatto sulla protezione dei datie a consultare il Garante prima di procedere al trattamento ove, all’esito della predetta valutazione, fosse risultato un rischio elevato del trattamento nonostante le misure adottate per attenuarlo (artt. 35 e 36 del RGPD).

La predetta valutazione di impatto avrebbe dovuto tener conto di alcuni provvedimenti, già adottati dall’Autorità, nelle materie alle quali la stessa si riferisce, da tenere in considerazione quale parametro di riferimento; tra questi il provvedimento generale in materia di videosorveglianza dell’8 aprile 2010 (doc. web n. 1712680), i provvedimenti in materia di localizzazione dei veicoli (cfr., ex multis, provv.ti 5 giu-gno 2008, doc. web n. 1531604; 4 ottobre 2011, n. 270, doc. web n. 1850581; 29 novembre 2012, n. 368, doc. web n. 2257616; 7 marzo 2013, n. 103, doc. web n.2471134; 25 febbraio 2016, n. 78, doc. web n. 4807812) e, da ultimo, al provvedimento di verifica preliminare, relativo alla raccolta di dati attraverso il monitoraggio a distanza di pazienti non autosufficienti (provv. 25 gennaio 2018, n. 29, doc.web n. 7810766) (nota 12 aprile 2018).

In un altro caso, a seguito della trasmissione da parte di un medico di un documento recante una valutazione di impatto ai sensi dell’art. 35 del RGPD, nel quale veniva descritta la sua attività (svolgimento di visite mediche e ricerche; elaborazione e redazione di perizie e relazioni), è stato precisato che non compete all’Autorità esprimere una generale valutazione in merito alle scelte organizzative deltitolare del trattamento, al di fuori di quanto specificamente previsto dal RGPD nell’ambito della consultazione preventiva, ove ne ricorrano i presupposti (art. 36 del RGPD). È stato, altresì rappresentato che, nel trasmettere la documentazione all’Autorità, vanno specificati gli ambiti del trattamento che presentino ancora un rischio elevato nonostante le misure specificamente individuate e descritte dal titolare per i quali si richiede il parere al Garante.

Ove, invece, dalla valutazione dell’impatto dei trattamenti sulla protezione dei dati personali, non emergano rischi non adeguatamente e ragionevolmente attenuati, in conformità al principio di accountability, la relativa documentazione deve essere conservata in vista di eventuali controlli dell’Autorità, ma non trasmessa alla stessa (nota 13 novembre 2018).

Fonte: Autorità Garante - Relazione 2018