Un reclamo pervenuto all’Autorità ha dato il via all’indagine nei confronti del Poliambulatorio Radiologico “il Sorriso” S.r.l., la reclamante sostiene che il centro medico non rispettava le norme di base sulla privacy.

Alla reclamante è stato chiesto di “firmare per la privacy” su un tablet, con il solo spazio per la firma, senza che potesse essere visualizzato alcun testo” e che alle ripetute richieste di conoscere il testo dell’informativa riguardante il trattamento dei dati personali, le è stata fornita “come informativa (una) e-mail (…) stampata al momento (…)” denominata “Consenso al trattamento dei dati personali ai sensi dell'art. 7 del GDPR 2016/679”.Inoltre ha fatto presente che non si ravvisano gli estremi di un contatto del DPO.

Il Garante rileva l’illiceità del trattamento di dati personali effettuato dalla società per la violazione degli artt. 5, 13 e 37 del Regolamento.
In particolare, ha accertato che la Società ha omesso di fornire una serie di elementi previsti dal medesimo Regolamento, essenziali al raggiungimento dell’obiettivo di trasparenza sotteso all’adempimento, quali quelli relativi al diritto di proporre reclamo all’Autorità di controllo, all’indicazione del periodo di conservazione delle informazioni o ai criteri utilizzati per determinare tale periodo nonché dei dati di contatto del Responsabile della protezione dei dati (art. 13, par. 1, lett. b) e 2, lett. a), e d) del Regolamento).

Ordina alla società Poliambulatorio Radiologico “il Sorriso” S.r.l.:

• di pagare la somma di 15.000,00 euro a titolo di sanzione amministrativa pecuniaria per le violazioni sopra indicate.
• di integrare le informazioni rese ai sensi dell’art. 13 del Regolamento con gli elementi mancanti relativi all’indicazione: del diritto di proporre reclamo all’Autorità di controllo, del periodo di conservazione delle informazioni o dei criteri utilizzati per determinare tale periodo, nonché dei dati di contatto del Responsabile della protezione dei dati (art. 13, par. 1, lett. b) e 2, lett. a) e d) del Regolamento);
• di designare il Responsabile della protezione dei dati con i caratteri di terzietà indicati in motivazione, nel rispetto di quanto previsto dagli artt. 37 e ss. del Regolamento, dando comunicazione a questa Autorità dei dati di contatto del medesimo 
• di comunicare al Garante entro 30 giorni la documentazione delle iniziative intraprese al fine di dare attuazione a quanto sopra ordinato.

L’informativa privacy della tua società rispetta il Regolamento generale sulla protezione dei dati?

Se hai dei dubbi contattaci!