Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 2 000 euro mot en läkare för överträdelse av artiklarna 5.1 (a) och 9 i dataskyddsförordningen (GDPR).
Av beslutet framgår att en registrerad klagat till Garante över att läkaren lämnat ut hans personuppgifter till tredje part utan hans samtycke. Enligt den registrerade hade läkaren rekommenderat honom medicinska produkter som en del av hans behandling. Några dagar efter läkarbesöket fick den registrerade ett marknadsföringssamtal från företaget bakom de rekommenderade produkterna. Den registrerade hade dock aldrig gett sitt samtycke till att hans uppgifter skulle lämnas ut till en tredje part.
Enligt Garante krävs det inte något särskilt samtycke för behandling av personuppgifter som är nödvändiga för medicinsk behandling. I det aktuella fallet behandlades emellertid uppgifterna i syfte att marknadsföra produkter, varför ett uttryckligt samtycke var nödvändigt enligt artikel 9 GDPR. Då något samtycke inte fanns från den registrerade behandlade läkaren uppgifterna i strid med bestämmelserna i artiklarna 5.1 (a) och 9 GDPR.