Il Consiglio di stato rigetta la domanda di sospensione della partnership tra il Ministero della salute e la società Doctolib, ritenendo sufficiente il livello di protezione dei dati personali trattati, nonostante il rischio di accesso ai dati da parte delle autorità statunitensi.
Così, con Sentenza n. 450163 del 12 marzo 2021 il Consiglio di Stato francese ha rigettato la domanda con la quale alcune associazioni operanti in ambito sanitario (tra cui InterHop, Constances, Action Traitement, Les Actupiennes, Actup Santé Sud Ouest, le Syndicat de la Médicine Générale, l’Union française pour une médecine libre (UFML), le Sndicat national des jeunes médecins généralistes (SNJMG), la Fédération des médecins de France (FMF), Mme A… D…, en son mandat de représentante des usagers du Conseil de surveillance de l’AP-HP, M. B… C…, la Fédération SUD santé sociaux et la Ligue des droits de l’Homme) avevano domandato la sospensione della partnership tra il Ministero della salute e la società Doctolib, incaricata di fornire la piattaforma per la registrazione degli appuntamenti per avere accesso alla vaccinazione contro il Covid-19, in considerazione del fatto che quest’ultima si avvale per la fornitura dei propri servizi del sub-fornitore AWS Sarl, filiale della società americana Amazon Web Services Inc, circostanza che secondo i ricorrenti renderebbe impossibile garantire la protezione dei dati personali dei cittadini francesi in considerazione del fatto che secondo quanto disposto dalla normativa statunitense e in considerazione dei suoi effetti extraterritoriali, le autorità americane potrebbero avere accesso, in modo massiccio e indiscriminato, ai dati personali inseriti nella piattaforma, senza possibilità per gli interessati di opporsi a tale trattamento.
Il Consiglio di Stato francese ha rigettato la domanda prendendo in considerazione la tipologia di dati trattati, i tempi di conservazione degli stessi e le misure di sicurezza applicate da AWS Sarl.
In particolare, il Consiglio ha rilevato che:
- Attraverso la piattaforma vengono trattati dati di identificazione personale, dati relativi all’orario dell’appuntamento per avere accesso alla vaccinazione e la dichiarazione di rientrare in una categoria con diritto di accesso prioritario al vaccino, circostanza che riguarda adulti di ogni età senza che sussista un particolare motivo di salute, il Consiglio di Stato a tale riguardo ha evidenziato che non vengono trattati dati particolari relativi alla salute;
- I dati vengono cancellati, al più tardi, tre mesi dopo l’appuntamento e ogni persona che abbia creato un proprio account sulla piattaforma può procedere direttamente alla cancellazione;
- La società Doctolib e AWS Sarl hanno definito una procedura, allegata al contratto, secondo la quale un’eventuale richieste di accesso ai dati da parte di una pubblica autorità statunitense, generica o in contrasto con la normativa europea, dovrà essere contestata;
- I dati trasferiti da Doctolib a AWS Sarl saranno crittografati, per impedire la lettura degli stessi da parte di terzi;
Viste le garanzie applicate da AWS Sarl e in considerazione della tipologia di dati trattati, il Consiglio di Stato ha ritenuto che il livello di protezione dei dati personali trattati nell’ambito della prenotazione degli appuntamenti per avere accesso alla vaccinazione contro il Covid-19 non possa essere considerato manifestamente insufficiente rispetto a quanto disposto dal Regolamento Europeo 2016/679.