Il responsabile del trattamento risponde se un terzo riesce ad accedere ai dati dell’interessato semplicemente modificando l’URL del proprio account alla piattaforma.
Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni: I ricorsi al Garante della privacy
Indice
1. I fatti
Il Garante per la protezione dei dati personali riceveva una segnalazione da parte di un soggetto che riferiva di aver acquisito i dati personali relativi ad un soggetto terzo attraverso una piattaforma di consultazione di referti medici messa a disposizione da una società che gestisce una struttura sanitaria. In particolare, il segnalante comunicava che, entrando all’interno della predetta piattaforma con un nome utente, era possibile accedere ad informazioni relative ad altri utenti semplicemente cambiando l’ultima cifra dell’URL che veniva generato dal sistema: attraverso questa operazione era possibile acquisire il nume e il cognome dell’interessato utente terzo nonché la lista degli utenti che avevano scaricato il relativo referto.
L’Ufficio provvedeva quindi a chiedere informazioni alla struttura sanitaria titolare del trattamento nonché alla software house che aveva realizzato la piattaforma e si occupava della sua manutenzione, che era stata designata responsabile del trattamento da parte della struttura sanitaria.
Secondo le due predette società, la piattaforma permetteva la visualizzazione di dati relativi a soggetti terzi, come indicato nella segnalazione inviata al Garante, a causa di un bug che si era creato a seguito di un aggiornamento della piattaforma. Le società assicuravano che nonostante detto bug, non erano mai state visibili informazioni di dati anagrafici di altre utenze, né era stato possibile scaricare fatture o referti di altre utenze. Nel caso di specie, era stato il segnalante stesso ad accedere all’utenza del soggetto terzo mediante un’attività volutamente illecita e che ha avuto accesso soltanto a nome e cognome di una persona fisica che aveva scaricato un referto (senza però che il segnalante abbia potuto prendere visione del referto medesimo e del suo contenuto).
Tale accesso era avvenuto a causa di una manomissione dell’URL effettuata volontariamente dallo stesso segnalante, che aveva tentato più volte di accedere alle utenze di soggetti terzi, e la società faceva presente che tale possibilità era stata prevista dalla software house in sede di realizzazione della piattaforma (la quale aveva infatti creato dei sistemi di difesa), ma a seguito di un successivo aggiornamento del programma non era stata prevista nuovamente la possibilità di un accesso illecito e quindi non erano state realizzate le apposite difese.
Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni:
I ricorsi al Garante della privacy
Giunto alla seconda edizione, il volume affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali, alla luce delle recenti pronunce del Garante della privacy, nonché delle esigenze che nel tempo sono maturate e continuano a maturare, specialmente in ragione dell’utilizzo sempre maggiore della rete. L’opera si completa con una parte di formulario, disponibile online, contenente gli schemi degli atti da redigere per approntare la tutela dei diritti dinanzi all’Autorità competente. Un approfondimento è dedicato alle sanzioni del Garante, che stanno trovando in queste settimane le prime applicazioni, a seguito dell’entrata in vigore della nuova normativa. Michele Iaselli Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II, nonché Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore in numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.
Michele Iaselli | Maggioli Editore 2022
23.75 €
2. Accesso di terzi e responsabilità del responsabile del trattamento dati: valutazioni del Garante
Il Garante ha preliminarmente ricordato che per dato personale si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile, mentre per dati relativi alla salute si intendono i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute. Il titolare del trattamento che effettua trattamenti di dati relativi alla salute degli interessati, può affidare detto trattamento anche a dei responsabili, purchè gli stessi presentino garanzie sufficienti per mettere in atto di misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i principi del Regolamento europeo per la protezione dei dati personali (GDPR), tenuto conto degli specifici rischi derivanti dal trattamento stesso.
Infatti, ai sensi del GDPR, i dati personali devono essere trattati in maniera da garantire un’adeguata sicurezza, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti. Conseguentemente sia il titolare del trattamento che il responsabile sono tenuti a mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, tenendo conto della natura, dell’oggetto, del contesto e delle finalità del trattamento nonché del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.
Nel caso di specie, il Garante ha ritenuto che la condotta del responsabile del trattamento è illecita, in quanto viola il principio di integrità e di riservatezza dei dati per aver permesso a un soggetto terzo di prendere visione dei dati di un interessato.
Infatti, l’avvenuta prestazione di un servizio di assistenza sanitaria riferita ad una persona specificatamente indicata dal nome utente (come nel caso di specie dove il nome utente era dato dal nome e dal cognome dell’utente medesimo) costituisce un’informazione riconducibile alla nozione di dato sulla salute.
Il fatto che il segnalante abbia potuto prendere visione del predetto nome utente, quindi configura un accesso indebito ai dati relativi alla salute del predetto interessato. Analogamente il segnalante ha potuto prendere visione della lista delle persone che avevano scaricato il referto associato al suddetto utente.
Tali indebiti accessi ai predetti dati sono avvenuti a causa di un bug del software, che invece avrebbe dovuto essere oggetto di test e collaudo da parte del responsabile del trattamento anche dopo l’effettuazione dell’aggiornamento. La circostanza che il responsabile del trattamento non abbia considerato la possibilità di accesso abusivo ai dati, mediante la modifica dell’URL (come avvenuto nel caso di specie) configura una violazione dei doveri gravanti sul responsabile medesimo.
Per tale ragione il responsabile del trattamento non ha adottato misure idonee a garantire un livello di sicurezza dei dati trattati adeguato rispetto al rischio.
3. La decisione del Garante
In considerazione delle sopra esposte valutazioni, il Garante ha ritenuto che la società che gestiva la realizzazione e la manutenzione della piattaforma, in qualità di responsabile del trattamento, abbia posto in essere una condotta contraria al principio di integrità e riservatezza dei dati, non adottando misure di sicurezza idonee a garantire la sicurezza dei dati medesimi.
A causa della predetta violazione, il Garante ha ritenuto che non vi fossero i presupposti per adottare delle misure correttive, in quanto la società aveva già provveduto a implementare delle misure di sicurezza idonee ad impedire che si verificasse nuovamente l’accesso abusivo ai dati. Per quanto riguarda, invece, l’adozione di una sanzione amministrativa pecuniaria, il Garante – tenuto conto che l’episodio è stato un fatto isolato e privo di dolo, in quanto determinato da un comportamento intenzionale del segnalante medesimo, che la violazione ha riguardato dati sulla salute di un solo interessato, ma non ha interessato referti e che la Società è intervenuta prontamente per attenuare gli effetti della violazione occorsa e prevenire il ripetersi di eventi analoghi – ha qualificato la violazione posta in essere dal responsabile come una violazione minore e conseguentemente ha ritenuto sufficiente ammonirlo.
Scrivi un commento
Accedi per poter inserire un commento