Διοικητικό πρόστιμο 20.000 ευρώ επέβαλε η ιταλική αρχή προστασίας δεδομένων Garante σε νοσοκομείο της Τοσκάνης για την ανάρτηση αφίσας, στην οποία εμφανίζονταν προσωπικές πληροφορίες ασθενούς.
Η Garante δέχθηκε την καταγγελία πολίτη για την παράνομη αποκάλυψη δεδομένων υγείας του μέσα από διαφημιστική αφίσα που είχε αναρτηθεί στο νοσοκομείο Azienda Usl Toscana Sud Est της Τοσκάνης. Λίγο μετά την καταγγελία και το ίδιο το νοσοκομείο υπέβαλε γνωστοποίηση παραβίασης δεδομένων στην αρχή, σύμφωνα με την πρόβλεψη του άρθρου 33 ΓΚΠΔ, για το ίδιο περιστατικό.
Σύμφωνα με τα όσα ετέθησαν υπόψιν της αρχής και αποδείχθηκαν μετά την έρευνα που αυτή διεξήγαγε, στην είσοδο του Τμήματος Επειγόντων Περιστατικών του νοσοκομείου αναρτήθηκε μια διαφημιστική αφίσα, η οποία απεικόνιζε υπάλληλο του Τμήματος σε ώρα εργασίας στον υπολογιστή της. Ατυχώς για το νοσοκομείο και τον καταγγέλλοντα, οι υπεύθυνοι για τη δημιουργία της αφίσας είχαν παραβλέψει να αποκρύψουν τις πληροφορίες που αναγράφονταν στην οθόνη του υπολογιστή, με αποτέλεσμα να είναι ορατά σε όλους τα στοιχεία νοσηλείας του καταγγέλλοντος.
Η επίμαχη αφίσα, με απόκρυψη των πληροφοριών της οθόνης. Πηγή: https://www.maremmaoggi.net/il-garante-bacchetta-lasl-20-000-euro-di-multa/
Η Garante παρατήρησε αρχικά πως, σύμφωνα με το άρθρο 4 στοιχ. 15 και την αιτιολογική 35 του Γενικού Κανονισμού Προστασίας Δεδομένων, οι πληροφορίες σχετικά με την παροχή υπηρεσιών υγείας αποτελούν «δεδομένα που αφορούν την υγεία», καθώς αποκαλύπτουν πληροφορίες σχετικά με την κατάσταση της υγείας ενός προσώπου. Για τη νόμιμη επεξεργασία των δεδομένων αυτών είναι αναγκαία η τήρηση των απαιτήσεων των αρχών της νομιμότητας, της ελαχιστοποίησης και της εμπιστευτικότητας (άρθρο 5 παρ.1α-γ-στ), καθώς και η λήψη των αναγκαίων μέτρων για την προστασία δεδομένων από τον σχεδιασμό και εξ ορισμού (άρθρο 25 παρ.1-2 ΓΚΠΔ).
Από τα στοιχεία της υπόθεσης προέκυψε ότι η αφίσα, η οποία αναρτήθηκε στην είσοδο του Τμήματος Επειγόντων Περιστατικών του καταγγελλόμενου νοσοκομείου περιελάμβανε το όνομα και το επώνυμο του καταγγέλλοντος, τα οποία ήταν ορατά από οποιονδήποτε βρισκόταν στον χώρο, ως εκ τούτου μπορούσαν να αναγνωριστούν.
Κατά συνέπεια, η ανάρτηση αυτή συνιστούσε διάδοση των προσωπικών δεδομένων του καταγγέλλοντος, η οποία έγινε κατά παράβαση των απαιτήσεων των άρθρων 5 παρ.1α-γ-στ, 9 και 25 ΓΚΠΔ και της απαγόρευσης διάδοσης δεδομένων υγείας του άρθρου 2ΣΤ’ του ιταλικού νόμου για την προστασία των προσωπικών δεδομένων. Για τις παραβάσεις αυτές, η ιταλική αρχή επέβαλε διοικητικό πρόστιμο 20.000 ευρώ.