GPDP (Italie), 10 mars 2022
Dans une décision rendue le 10 mars 2022, l’autorité de contrôle italienne a sanctionné un hôpital pour avoir traité des données de santé sans le consentement du patient.
Un patient âgé avait été admis à l’hôpital afin d’y réaliser un examen en urgence. Conformément à la procédure de l’hôpital, le patient avait fourni les coordonnées de deux personnes de contact ayant notamment vocation à donner leur consentement à la réalisation d’examens pour le cas où l’état de santé du patient ne lui permettrait plus de s’exprimer.
Cette situation se présentant et face à l’impossibilité de joindre les contacts, un des employés de l’hôpital, connaissant personnellement un membre de la famille du patient, a contacté ce dernier, communiquant de fait les données de santé du patient.
L’hôpital a notifié cette violation de données à l’autorité de contrôle, qui a ouvert une enquête.
Au cours de cette dernière, l’autorité de contrôle a considéré que la communication des données de santé du patient à un tiers non autorisé était contraire au RGPD, et notamment contraire (i) à l’interdiction de traitement des données de santé prévue à l’article 9 du RGPD (car effectuée sans consentement), (ii) au principe d’intégrité et de confidentialité posé à l’article 5 du RGPD et (iii) à l’obligation de mettre en œuvre les mesures techniques et organisationnelles appropriées, posée à l’article 32 du RGPD.
L’autorité de contrôle a cependant pris en compte les circonstances pour réduire le montant de l’amende. En effet, l’hôpital a pris des dispositions pour éviter que l’incident ne se reproduise en sanctionnant l’employé et en organisant des formations. De plus, l’incident, qui n’était qu’un cas isolé, a été notifié et le patient n’a pas déposé plainte.
Compte tenu de ce qui précède, l’autorité de contrôle a infligé à l’hôpital une amende de 1.000 €.
Source : ici