Indice:
I fatti
L’Autorità Garante per la protezione dei dati personali riceveva nel mese di ottobre 2020 una notifica di violazione dei dati personali da parte dell’Azienda Ospedaliero Universitaria Integrata di Verona (di seguito Azienda). Quest’ultima inviava la notifica ai sensi dell’art. 33 del GDPR, in base al quale, rientra tra gli obblighi del titolare del trattamento (che nel caso di specie era appunto l’Azienda) la notifica all’Autorità di controllo (ossia il Garante privacy) di ogni violazione della sicurezza dei dati personali che può presentare un rischio per i diritti e le libertà delle persone fisiche.
Infatti, secondo la richiamata disposizione, in caso di verificarsi di data breach, ossia di violazione dei dati personali, tale da compromettere la riservatezza, l’integrità o la disponibilità dei dati personali, il titolare senza ingiustificato ritardo e, ove possibile, entro 72 dal momento in cui ha avuto conoscenza dei fatti, deve notificare la violazione al Garante.
Dunque, in base a quanto previsto dalla normativa come sopra riportata, l’Azienda Ospedaliero Universitaria, attraverso una notifica, comunicava al Garante i fatti accaduti denunciando il verificarsi di una violazione dei dati personali.
In particolare, era accaduto che una paziente, accedendo al proprio dossier sanitario elettronico (DSE), aveva potuto visualizzare il verbale di Pronto Soccorso, con i suoi dati anagrafici, attribuibile ad un’altra paziente che aveva lo stesso nome e cognome. Quest’ultima aveva, quindi, inviato una lettera di diffida e richiesta risarcimento all’Azienda.
Il data breach si era verificato in quanto, all’interno dei sistemi gestionali dell’Azienda, a causa di errori umani, erano stati inseriti i dati della paziente omonima rispetto a quella che aveva fatto accesso al Pronto Soccorso.
Il personale dell’Azienda, venuto a conoscenza della lettera del legale della paziente, si era attivato con lo scopo di capire le problematiche e garantire adeguate soluzioni.
Per avere uno strumento pratico di supporto al Professionista, che affronti e spieghi le attività da compiere per essere in regola con il registro delle attività di trattamento dei dati consigliamo l’Ebook “Come essere in regola con il registro delle attività di trattamento dei dati personali”
L’attività del Garante
Ricevuta la notificazione de parte dell’Azienda, il Garante ha avviato la procedura istruttoria al fine di accertare la violazione ed adottare gli adeguati provvedimenti.
In relazione ai fatti che erano stati comunicati nella notificazione, il garante ha ritenuto che l’Azienda aveva violato alcune disposizioni del Regolamento sui dati personali (GDPR), più precisamente:
- Ha ritenuto violato il disposto dell’art. 5, par. 1, lett. a) e f) del GDPR in base al quale i dati personali raccolti devono essere trattati in conformità al principio di liceità, correttezza e trasparenza e in conformità al principio di integrità e riservatezza, anche per impedire l’accesso o l’utilizzo non autorizzato dei dati personali;
- Ha ritenuto violato, inoltre, il disposto dell’ 9 del GDPR il quale formalizza il divieto generale del trattamento dei dati ritenuti “sensibili”, tra i quali vi rientrano i dati riferiti allo stato di salute dell’interessato, fatta eccezioni per i casi previsti dalla stessa norma (fra cui, ad esempio, quelli in cui l’interessato ha prestato il consenso al trattamento);
- Infine, ha ritenuto violato il disposto dell’ 32 del GDPR in virtù del quale il titolare del trattamento, che nel caso di specie è l’Azienda Ospedaliera, ha l’obbligo di adottare misure tecniche e organizzative adeguate al fine di garantire, ed essere in grado di dimostrare, la conformità del trattamento alle disposizioni contenute nel GDPR, tenendo conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento tesso. Inoltre, dette misure devono essere periodicamente riseminate e aggiornate.
Il Garante inoltre, come riportato nel provvedimento oggetto di attenzione, ha osservato che in ambito sanitario è previsto che le informazioni sullo stato di salute possono essere comunicate solo all’interessato e possono essere comunicate a terzi solo se è presente un idoneo presupposto giuridico tale da giustificare la diffusione degli stessi (ex art. 9 del GDPR).
Considerata la categoria “sensibile” di dati e considerato l’ambito nel quale avviene il trattamento, il Garante ha richiamato “Linee Guida in materia di dossier sanitario”, che erano state pubblicate già nel 2015 proprio con lo scopo di ribadire la necessità di garantire certezza, esattezza, integrità e non modificabilità dei dati trattati. Inoltre, il Garante ha ricordato che la stessa Azienda era già stata destinataria di un provvedimento da parte dell’Autorità per l’illiceità del trattamento di dati personali che era stato effettuato attraverso dossier sanitario.
L’Azienda, nelle proprie memorie difensive, ha sostenuto che la violazione per cui è stato avviato il procedimento era stata causata da una “serie concatenata e del tutto eccezionale di errori umani non intenzionali degli operatori coinvolti”. All’interno delle stesse, inoltre, la struttura sanitaria ha confermato che la stessa si era opportunamente dotata di misure tecniche ed organizzate adeguate al rischio legato al trattamento in questione. Dunque, in presenza di un adeguato sistema improntato a garantire i diritti degli interessati, secondo la difesa della struttura sanitaria, l’errore che ha comportato la violazione dei dati personali è stato per causa del personale addetto il quale ha “disatteso le procedure e istruzioni ricevute anche se peraltro convenientemente formato e informato al riguardo”.
Infine, l’Azienda ha altresì fatto presente che non appena avuta notizia da parte della paziente dall’errore circa il trattamento dei dati personali riscontrato dalla stessa, ha immediatamente posto in essere le misure necessarie al fine di far cessare gli effetti della violazione in essere.
Consigliamo il volume:
Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali
Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder. Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.
Monica Mandico | 2019 Maggioli Editore
32.00 € 30.40 €
La decisione del Garante
Dopo aver anche ascoltato la struttura sanitaria durante l’apposita audizione, il Garante ha osservato che l’Azienda, nonostante il precedente di cui si è sopra, non aveva adottato misure in grado di garantire certezza, esattezza, integrità e non modificabilità del particolare dato trattato.
Dunque, il Garante ha ritenuto che nel caso di specie sia stato attuato un trattamento dei dati personali illecito, non conforme alla normativa nazionale ed europea vigente in materia.
Tuttavia, il Garante ha tenuto conto del fatto che l’Azienda aveva precedentemente proceduto ad adeguarsi alle disposizioni delle Linee Guida del 2015; aveva, inoltre, provveduto a informare adeguatamente il personale in merito alle novità sulla disciplina del trattamento dei dati in ambito sanitario; infine aveva altresì tempestivamente provveduto per correggere gli effetti della violazione.
In considerazione di ciò, il Garante ha ritenuto che la violazione in oggetto possa essere considerata come “violazione minore”, in virtù della quale può essere applicata come sanzione l’ammonimento al titolare, ai sensi dell’art. 58, par. 2, lett. b).
GUARDA L’INTERVISTA:
Scrivi un commento
Accedi per poter inserire un commento