A rivolgersi al Garante per la protezione dei dati personali è stata la madre della ragazza minorenne, deceduta nel 1995, dopo aver ricevuto una lettera della Asl di Rieti, indirizzata alla giovane, con cui la si invitava a partecipare allo screening gratuito del tumore del collo dell’utero.
La povera donna ha segnalato l’accaduto all’ufficio del Garante, lamentando l’assurdità di un simile invito e il fatto che dopo 27 anni, la Asl di competenza non si fosse ancora accorta del decesso dell’assistita.
Il Garante ha chiesto chiarimenti e spiegazioni alla Regione Lazio titolare dei sistemi informatici da cui le Asl attingono i dati per i programmi di screening e non solo. A seguito delle giustificazioni fornite dagli uffici regionali, il Garante ha deciso di aprire un’istruttoria formale sulla gestione dei dati personali e sanitari che la Regione fa dei suoi 5 milioni circa di assistiti.
In risposta alle puntuali contestazioni del Garante, la Regione Lazio ha provato a spiegare come tutti i dati vengano trattati tramite apposite piattaforme gestite dalla società LazioCrea (prima Laziomatica e Lait) ed ha anche emesso una serie di provvedimenti finalizzati a recepire le indicazioni del Garante, spiegando anche che, nel caso specifico, il problema si sarebbe generato dal mancato allineamento tra due banche dati, poiché il decesso della giovane era avvenuto poco prima dell’entrata in funzione delle apposite piattaforme e che, solo a seguito della verifica mirata della posizione della ragazza seguita al reclamo, i due sistemi si sono aggiornati in automatico.
A seguito di tale situazione, la Regione ha anche provveduto ad una serie di controlli e ulteriori verifiche per evitare che simili casi si potessero nuovamente presentare. Inoltre, dalla Regione hanno anche evidenziato che “se la reclamante avesse esercitato il diritto di rettifica nei termini di cui all’informativa in forma breve contenuta nella lettera di invito al programma di screening la stessa avrebbe avuto una più immediata e tempestiva tutela”. Insomma, per la regione doveva essere la madre della giovane morta a far presente alla Asl che la figlia era deceduta e da un pezzo.
Il Garante non è rimasto soddisfatto delle precisazioni e dei provvedimenti presi dalla Regione, inoltre ha evidenziato e contestato il mancato rispetto delle previsioni regolamentari in merito alla chiara indicazione del titolare e dei responsabili del trattamento (anche al fine dell’esercizio dei diritti di accesso, verifica e tutela delle informazioni personali da parte dei cittadini) e in merito alla corretta individuazione delle basi giuridiche, sulla scorta delle quali vengono effettuati i vari trattamenti, evidenziando come spesso la Regione citi – nel caso di trattamenti di dati relativi alla salute dei pazienti – normative che si riferiscono a dati non sanitari.
In particolare, poi, in merito alla possibilità che la madre della giovane deceduta potesse attivarsi per chiedere una rettifica del dato, il Garante censura la Regione, spiegando che tra l’altro la lettera di invito conteneva solo un brevissimo richiamo alla normativa sulla privacy, senza l’indicazione dei responsabili presso sui esercitare i diritti di accesso né le informazioni dovute per legge e quindi, pur volendo, l’interessato non avrebbe potuto in alcun modo attivarsi per le necessarie rettifiche.
Il Garante ha ritenuto inefficaci anche tutte le misure correttive nel frattempo messe in atto e illustrate dalla Regione, poiché ancora non in grado di superare i rilievi mossi.
Lo stesso garante ha quindi dichiarato l’illiceità del trattamento di dati personali effettuato dalla Regione Lazio con riferimento al procedimento avviato a seguito del reclamo, in particolare, per aver trattato dati personali in violazione dei principi di liceità, correttezza e trasparenza e di esattezza del dato e delle disposizioni concernenti: la responsabilità del titolare del trattamento, le basi giuridiche del trattamento, le informazioni da fornire agli interessati e l’esercizio dei diritti da parte degli interessati.
Ha inoltre ingiunto alla Regione di effettuare, entro 90 giorni, una corretta identificazione dei ruoli, delle finalità del trattamento e delle basi giuridiche dello stesso come indicato nel provvedimento sanzionatorio del Garante, provvedendo, di conseguenza, anche alla revisione degli atti emessi al riguardo e ingiungendo inoltre di modificare e integrare le informazioni da rendere agli interessati coinvolti nelle campagne di screening regionali secondo quanto indicato nello stesso provvedimento, provvedendo, anche in relazione a tale aspetto, a modificare in senso uniforme gli atti richiamati.
Tenuto conto dell’esito dell’istruttoria e della documentazione fornita dalla stessa Regione, il Garante ha applicato una sanzione pecuniaria di 100.000 euro da pagare entro 30 giorni.
Già a gennaio 2021, la Regione era stata sanzionata dal Garante per violazione della normativa sulla privacy e segnatamente per la non conforme gestione dei dati che transitavano tramite il ReCup. Allora la multa era stata di 75.000 euro.
