L’Autorità Garante per la protezione dei dati personali ha concluso, nel mese di febbraio di quest’anno, un’istruttoria presso il gestore Velvet Medical SRL e ha riscontrato una violazione delle disposizioni di cui all’art. 12 paragrafo. (1) – (4) del Regolamento generale sulla protezione dei dati (GDPR), in relazione all’art. 15 paragrafo. (3) del GDPR.

Per questo motivo, l’operatore è stato sanzionato con una multa di 4.976,4 lei, pari a 1.000 euro .

L’indagine è stata avviata a seguito di una denuncia in cui il ricorrente lamenta il rifiuto dell’operatore Velvet Medical SRL di ottemperare alla sua richiesta di ricevere dati medici, rispettivamente i documenti della cartella clinica. Successivamente, il ricorrente ha presentato una nuova richiesta di accesso ai suoi dati, ma anche questa volta l’operatore non ha risposto.

Nel corso dell’indagine, l’Autorità nazionale di controllo ha riscontrato che Velvet Medical SRL non ha presentato prove attestanti che avesse risposto alla richiesta del ricorrente, attraverso la quale questi aveva esercitato il diritto di accesso ai propri dati medici.

Si è inoltre riscontrato che l’operatore non ha prodotto la prova della comunicazione di una risposta idonea e completa alla seconda richiesta di accesso del ricorrente rivolta all’operatore, violando così quanto previsto dall’art. 12 paragrafo. (1) – (4) del GDPR, in relazione all’art. 15 paragrafo. (3) del GDPR.

Allo stesso tempo, ai sensi di quanto previsto dall’art. 58 paragrafo. (2) lettera. c) e d) del Regolamento (UE) 2016/679, è stato inoltre intimato all’operatore Velvet Medical SRL di adottare le seguenti misure correttive:

• di inviare una risposta completa alla richiesta del ricorrente, via e-mail, dall’indirizzo ufficiale dell’operatore, comunicando in forma sicura i dati personali richiesti, riferendosi a quanto previsto dall’art. 15 paragrafo. (3) e (4) del GDPR;
• garantire la conformità al GDPR delle operazioni di trattamento dei dati personali, adottando le misure tecniche e organizzative necessarie, anche in termini di adeguata formazione del personale a tal fine designato, affinché il gestore sia in grado di analizzare, risolvere correttamente e rispondere adeguatamente alle richieste con cui gli interessati esercitano i propri diritti, nei tempi e secondo le modalità previste dall’art. 12-23 del GDPR.    

https://www.dataprotection.ro/index.jsp?page=Comunicat_Presa_27.02.2025&lang=ro