GPDP (Italie), 15 septembre 2022
L’autorité de contrôle italienne a sanctionné une région pour n’avoir pas respecté le principe d’exactitude en envoyant une invitation à une personne décédée.
Une région, par l’intermédiaire de son autorité sanitaire locale, avait transmis à une fille décédée une invitation à participer au programme de dépistage du cancer du col de l’utérus.
Considérant cette invitation comme violant le RGPD, la mère de la personne concernée avait déposé une plainte auprès de l’autorité de contrôle italienne.
Au cours de son enquête, cette dernière, après avoir qualifié les données personnelles traitées de données de santé a, tout d’abord considéré que la base légale utilisée par la Région (l’existence d’un soi-disant contrat) était inexacte. En réalité, la base légale applicable était, d’une part, le « motif d’intérêt public important » et, d’autre part, « la médecine préventive et les diagnostics médicaux » (article 9§2 g et h)
Ensuite, l’autorité de contrôle a considéré que les personnes concernées n’étaient pas suffisamment informées ou obtenaient des informations erronées lors de l’adhésion au programme de dépistage du cancer. Effectivement, (i) des contradictions et erreurs étaient présentes sur les droits des personnes et la possibilité de retrait du consentement et (ii) des informations étaient manquantes, comme la durée de conservation des données.
Enfin, et surtout, l’autorité de contrôle a rappelé que « le responsable du traitement doit veiller à ce que les données soient exactes et, si nécessaire, mises à jour, en prenant toutes les mesures raisonnables pour effacer ou rectifier en temps utile les données inexactes au regard des finalités pour lesquelles elles sont traitées (principe d' »exactitude ») ». Or, en l’espèce, force est de constater que les mesures adoptées par la région n’ont pas permis de garantir l’exactitude des données de la fille et que le fait que cette dernière, décédée depuis de nombreuses années, ait reçu une invitation montre que les mesures n’étaient pas adaptées.
En conclusion, le traitement a été déclaré non conforme au RGPD dès lors que les données personnelles ont été traitées (i) en violation des principes de licéité, loyauté et transparence et du principe d’exactitude des données (article 5 du RGPD), (ii) sans base juridique valable (article 6 du RGPD) et (iii) sans fourniture d’informations aux personnes concernées (article 12 du RGPD).
Compte tenu de tout ce qui précède, l’autorité de contrôle a infligé une amende de 100 000 € à la région et l’a mise en demeure d’identifier les finalités et bases légales applicables (pour pouvoir informer au mieux les personnes concernées) ainsi que de respecter le principe d’exactitude en modifiant et complétant les informations erronées dans un délai de 90 jours.
Source: ici
