Come noto, fra i principali obblighi previsti dalla normativa sul trattamento dati (Codice e GDPR) vi è quello di fornire adeguate informazioni.
Ricordiamo alcuni passaggi di un PROVVEDIMENTO SANZIONATORIO DEL GARANTE (precedente all'entrata in vigore del GDPR ma comunque in linea anche con le nuove disposizioni)
[img]https://www.sicurezzalavororoma.it/media/images/news_image/sicurezza-lavoro-sanzioni.png[/img]
Tale circostanza evidenzia, quindi, chiaramente come non fosse materialmente possibile per l’Azienza sanitaria [color=red][b]fornire all’utenza l’informativa in questione[/b][/color]; l’ipotesi che la stessa venisse resa oralmente, poi, oltre a non essere stata comunque formulata dalla predetta Azienda, risulterebbe in ogni caso poco verosimile, attesa la lunghezza e analiticità della stessa (consistente in circa tre pagine di testo). Peraltro, sul punto, rileva considerare che, quanto osservato circa il fatto che “Alcun controllo è stato poi effettuato presso l’URP e l’Ufficio Privacy (…)”, non rende esente da responsabilità, atteso che l’informativa agli interessati, per essere resa conformemente a quanto disposto dall’art. 13 del Codice, deve essere facilmente accessibile, senza rendere necessarie ricerche in distinti uffici dell’Azienda che, tra l’altro, non sono in alcun modo indicati quali strutture preposte ad assolvere alla funzione di rendere l’informativa ai sensi dell’art. 13 del Codice in parola.
... la stessa non ha fornito alcun elemento in ordine all’avvenuta [color=red][b]raccolta del consenso[/b][/color] nei casi esplicitati sia nel verbale di operazioni compiute del 24 gennaio 2018 sia nella successiva nota del 6 febbraio 2018, con ciò accertando puntualmente, ai sensi dell’art. 13 della legge n. 689/1981, il rilievo in esame. Relativamente a quanto argomentato circa la violazione dell’art. 33 del Codice, invece, l’Azienda Ospedaliera Pugliese, a fronte di esplicita richiesta dell’organo accertatore, nel verbale di operazioni compiute del 24 gennaio 2018 ha formulato una riserva circa la produzione in atti degli atti di designazione ad incaricato del trattamento nei confronti di soggetti specificatamente individuati. La nota datata 6 febbraio 2018 con la quale è stata sciolta la riserva del 24 gennaio 2018, reca, in allegato, gli atti con i quali “(…) ha nominato gli incaricati del trattamento dei dati personali, di cui si allegano (alle memorie difensive) alcune lettere (cfr. all.to 5)”; dai documenti allegati alla nota del 2 maggio 2015, inoltre, si evince chiaramente come l’Azienda ospedaliera avesse correttamente invitato tutti i predetti incaricati del trattamento al ritiro delle lettere di incarico, sollecitandoli anche mediante avvisi specifici inseriti nei cedolini dello stipendio. Si ritiene, pertanto, che l’onere di nomina sia stato correttamente assolto e che il mancato ritiro da parte di alcuni dipendenti delle lettere in questione non possa essere in alcun modo imputabile all’Azienda medesima;
[color=red][b]VERSIONE COMPLETA:[/b][/color]
Ordinanza ingiunzione nei confronti di Azienda Ospedaliera Pugliese Ciaccio - 14 giugno 2018 [9038534]
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9038534
Chi dovrebbe leggersi tre pagine di informativa?