Den italienska dataskyddsmyndigheten Garante per la protezione dei dati personali (Garante) har bötfällt en allmänläkare med 10 000 euro för överträdelser av artiklarna 5.1 (f), 9 och 32 i dataskyddsförordningen (GDPR) efter ett meddelande från den italienska militärpolisens enhet för hälsoskydd (NAS).
Av beslutet framgår att NAS genomfört en utredning om de metoder som allmänläkaren använt för att leverera läkarrecept till sina patienter. Enligt NAS hängde allmänläkaren upp recepten med hjälp av en tvätttång fästa på en tvättställning som stod lutad mot en vägg i allmänläkarens mottagning. Allmänläkarens mottagning ligger på bottenvåningen på en offentlig gata vilket gjorde att patienternas namn och innehållet på recepten var synligt för vem som helst som passerade. Efter en begäran om information från Garante förklarade allmänläkaren att de metoder som användes utgjorde en exceptionell åtgärd som genomfördes i syfte att begränsa tillträdet till läkarmottagningen på grund av den hälsorelaterade nödsituationen COVID-19.
Enligt Garante var de antagna metoderna inte förenliga med GDPR varför myndigheten informerade allmänläkaren om att åtgärder skulle inledas i enlighet med artikel 58.2 GDPR. I sitt svar till Garante hävdade allmänläkaren att det inte fanns någon väsentlig skillnad i fråga om säkerheten för behandlingen av personuppgifter mellan att tillhandahålla recept via e-post och SMS, som Garante godkänt, och de metoder som ifrågasattes. Samma skäl till behandlingen av patienternas recept upprepats dessutom av allmänläkaren vid en utfrågning inför Garante.
På grundval av de inhämtade uppgifterna bekräftade Garante resultatet av sina preliminära bedömningar och därmed att allmänläkarens behandling av personuppgifter var olaglig. Garante angav särskilt att allmänläkaren, i egenskap av personuppgiftsansvarig, borde ha följt principen om integritet och konfidentialitet enligt artiklarna 5.1 (f) och 32 GPDR och därför borde ha vidtagit lämpliga tekniska och organisatoriska åtgärder för att garantera en säkerhetsnivå som är lämplig i förhållande till risken, t.ex. genom att använda förseglade kuvert för recepten. Garante noterade dessutom att personuppgiftsansvariga inom hälsosektorn måste vidta lämpliga åtgärder för att garantera integriteten för de berörda personernas rättigheter och framhöll att behandlingen av uppgifterna i fråga gällde hälsouppgifter, som endast kan lämnas ut till tredje part om det finns en lämplig rättslig grund eller om de registrerade själva gett sitt skriftliga samtycke enligt artikel 9 GDPR.
Vid fastställandet av bötesbeloppet framhöll Garante att myndigheten bland annat tagit hänsyn till att den olagliga behandlingen av personuppgifter pågått i flera månader, att den gällde känsliga personuppgifter och att överträdelserna i fråga var uppsåtliga. Garante beordrade dessutom, som en kompletterande påföljd, att beslutet skulle offentliggöras på myndigheten webbplats.
Slutligen ålade Garante allmänläkaren med 10 000 euro i sanktionsavgifter och fastställde att betalningen skulle ske inom 30 dagar från delgivningen av beslutet. Garante noterade att allmänläkaren har rätt att överklaga myndighetens beslut.