A seguito di una segnalazione, il Garante Privacy è intervenuto con una nota a conclusione di un’istruttoria nell’ambito della quale sono emersi trattamenti illeciti di dati personali effettuati da un’azienda sanitaria e dalla società alla quale lo stesso ente aveva messo a disposizione copie di immagini della TAC, contenenti informazioni sullo stato di salute di alcuni pazienti. La società coinvolta avrebbe poi effettuato determinate operazioni di trattamento su questi dati – estrazione, anonimizzazione e pseudonimizzazione – attraverso un software. Copia delle immagini rielaborate era stata poi allegata alla documentazione necessaria per partecipare ad una gara d’appalto e in seguito depositata nell’ambito di un contenzioso giudiziario.
Nel merito, il Garante Privacy ha ritenuto illecito il trattamento di dati personali effettuato dall’azienda sanitaria che ha messo a disposizione della società le immagini della TAC, determinando così una “comunicazione” di informazioni sulla salute di alcuni pazienti, in assenza di un’adeguata base giuridica del trattamento. Del pari anche il trattamento di dati personali effettuato dalla società è stato ritenuto illecito. Infatti, il Garante Privacy ha affermato che la nomina della società a responsabile del trattamento non giustifica l’acquisizione da parte della società delle immagini della TAC e l’utilizzo delle stesse per finalità proprie, quali la partecipazione ad una gara d’appalto e la difesa/accertamento di un diritto in giudizio, non rientrando queste ultime tra le finalità per le quali era stata designata responsabile, ossia lo svolgimento di attività di manutenzione finalizzata a garantire l’efficienza dello strumento.
Alla luce di quanto precede e rilevati i trattamenti illeciti svolti dall’azienda sanitaria e dalla società, il Garante Privacy ha avviato i relativi procedimenti sanzionatori.