GPDP finlandese: sanzione amministrativa a società per aver elaborato informazioni sanitarie senza un consenso appropriato

Il corrispettivo Garante per la protezione dei dati finlandese ha indagato sulle pratiche dell’azienda sulla base dei reclami presentati nel 2018-2019. Dalle indagini è emerso che la società non disponeva del consenso richiesto dal GDPR per il trattamento dei dati sugli indici di massa corporea e sul consumo massimo di ossigeno. Si tratta di un caso transfrontaliero dove la decisione è stata presa dalle autorità di vigilanza nazionali seguendo la procedura di cooperazione One-Stop-Shop (OSS). I paesi coinvolti sono: Italia, Belgio, Repubblica Ceca, Francia, Danimarca, Grecia, Germania, Ungheria, Paesi Bassi, Norvegia, Slovacchia, Slovenia, Svezia, Lussemburgo, Spagna e Polonia

La società aveva chiesto il consenso al trattamento dei dati sanitari in generale ma non aveva specificato quali dati stesse raccogliendo e trattando. Il consenso richiesto non soddisfaceva i requisiti del GDPR in quanto non specifico e informato.

Il GPDP finladese rileva che il responsabile del trattamento aveva informato gli interessati del trattamento dei loro dati personali, ma non aveva comunque fornito informazioni sufficienti sui tipi di dati personali oggetto di trattamento e sulle finalità del trattamento di ciascun tipo. Inoltre sottolinea in particolare che l’ampio trattamento dei dati sanitari fa parte del core business dell’azienda.

L’Autorità finlandese ha inflitto alla società una sanzione amministrativa di 122.000 euro. La società è stata anche emessa un’ammonizione. Inoltre, la SA finlandese ha ordinato alla società di rettificare le sue pratiche per la richiesta del consenso.

Approfondimenti:

• Decisione nazionale (FI)
• Comunicato stampa sul sito web dell’Autorità finlandese: sanzione amministrativa inflitta a un’azienda per il trattamento di informazioni sanitarie senza il consenso appropriato (11 gennaio 2023)