Accade in Spagna: una pesante multa per violazione del GDPR è stata irrorata a un’azienda sanitaria, che ha coinvolto subfornitori nel trattamento di dati sensibili senza la necessaria autorizzazione preventiva da parte del titolare del trattamento.
L’Autorità spagnola per la protezione dei dati personali (AEPD) ha inflitto una multa di 500.000 euro alla società per aver trattato di dati sensibili senza la necessaria autorizzazione preventiva da parte del titolare del trattamento, come previsto dal Regolamento Generale sulla Protezione dei Dati (GDPR).
Dati sensibili a rischio: azienda sanitaria sanzionata per violazione del GDPR
La sanzione imposta dall’AEPD serve da monito per tutte le entità coinvolte nel trattamento di dati personali: il rispetto delle normative sulla protezione dei dati non è solo un obbligo legale, ma una componente essenziale della fiducia e della sicurezza nel trattamento delle informazioni sensibili.
Contesto della violazione
La società in questione, incaricata della gestione di servizi sanitari nel Dipartimento di Salute di Denia, ha stipulato contratti con tre subfornitori per l’elaborazione di dati personali, inclusi dati sanitari, senza informare preventivamente il titolare del trattamento. Questa omissione costituisce una violazione dell’articolo 28, paragrafo 2, del GDPR, che richiede un’autorizzazione scritta, specifica o generale, per l’impiego di sub-responsabili nel trattamento dei dati.
Dettagli della sanzione
La decisione dell’AEPD, formalizzata nel provvedimento n. EXP202307719 del 10 aprile 2025, si basa su diverse considerazioni:
-
Gravità dei Dati Coinvolti: I dati trattati includevano informazioni altamente sensibili, come diagnosi mediche, trattamenti, dati genetici e relativi alla vita sessuale, rientranti nelle “categorie particolari” di dati personali secondo l’articolo 9 del GDPR.
-
Durata della Violazione: La mancata comunicazione e autorizzazione dei subfornitori ha creato una situazione di illecito permanente, prolungata nel tempo.
-
Responsabilità Proattiva: La società non ha dimostrato di aver adottato misure adeguate per garantire la conformità al GDPR, come richiesto dal principio di responsabilità proattiva.
Risposta della società
La società ha infine sostenuto che le subforniture erano coperte da un’autorizzazione generale stipulata nel contratto del 2009. Tuttavia, l’AEPD ha sottolineato che, anche in presenza di un’autorizzazione generale, è obbligatorio informare il titolare del trattamento di eventuali cambiamenti nei subfornitori, offrendo la possibilità di opporsi, come stabilito dall’articolo 28.2 del GDPR.
Implicazioni per il Settore Sanitario
Questo caso evidenzia l’importanza di una gestione rigorosa dei subfornitori nel trattamento dei dati personali, specialmente nel settore sanitario, dove la sensibilità delle informazioni richiede un’attenzione particolare. Le organizzazioni devono assicurarsi che ogni subfornitore sia autorizzato e che le procedure di comunicazione e approvazione siano rigorosamente seguite per evitare sanzioni significative e danni reputazionali.
Il testo del provvedimento
Qui il documento completo (in lingua spagnola).
Bisogna stare attenti con i dati delle persone, per me andrebbero ancora di più sanzionati gli enti che sono poco attenti.