Garante sanziona struttura sanitaria dal cui sito internet si poteva facilmente accedere ai dati sanitari di 1700 utenti

di Muia' Pier Paolo, Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio
PDF

Il Garante per la protezione dei dati personali riceveva un reclamo nel quale veniva denunciato che, accedendo al sito internet dell’Azienda socio sanitaria territoriale di Milano, ai fini della prenotazione di una prestazione sanitaria, era possibile visualizzare chiaramente le informazioni relative a coloro che, tramite il portare dell’azienda, avevano aderito alla campagna vaccinale influenzale 2020/2021. Il reclamante spiegava che ciò era possibile rimuovendo l’estensione “Prenotazione.php” dall’indirizzo internet dell’Azienda utilizzato dagli utenti per la prenotazione.

A fronte del reclamo presentato, l’Autorità procedeva ad effettuare i necessari controlli. Innanzitutto, aveva potuto constatare che nel sito internet indicato non era possibile rinvenire i file indicati e non era possibile raggiungere le pagine web indicate. Inoltre, constatava che sul server che ospita il sito dell’Azienda veniva utilizzato un software di base non aggiornato, tale da poter compromettere la riservatezza e l’integrità dei dati al suo interno contenuti e trattati.

In considerazione di ciò, il Garante riteneva che si trattasse di trattamento di dati personali non conforme alla disciplina dettata in materia e, dunque, invitata l’Azienda sanitaria a presentare allo stesso memorie difensive nelle quali potesse rappresentare i fatti oggetto del reclamo.

L’Azienda, in particolare, riferiva che i fatti erano avvenuti in un contesto particolare, in quanto il quadro pandemico aveva sottoposto a pressione il sistema sanitario, locale, e nazionale, nel suo complesso. Rappresentava, inoltre, che il suddetto sito internet, appositamente predisposto per ricevere le prenotazioni sanitarie, era stato realizzato in soli tre giorni al fine di sostituire in breve tempo le numerose richieste di prenotazione che pervenivano via e-mail.

La struttura sanitaria faceva, inoltre, presente che, essendo consapevole di aver predisposto un sistema non aggiornato, aveva successivamente modificato e aggiornato il software utilizzato dall’Azienda. Infine, la struttura sanitaria rilevava come, il Responsabile avesse dichiarato che, durante la fase di migrazione dei dati, ossia di aggiornamento, erano state predisposte tutte le misure idonee a evitare rischi per la lesione dei diritti e delle libertà degli interessati.

>> Leggi l’ordinanza di ingiunzione del Garante privacy, 27 gennaio 2022 nei confronti di Azienda socio sanitaria territoriale Nord di Milano

Consigliamo il volume: 

I rischi nel trattamento dei dati - e-Book in pdf

I rischi nel trattamento dei dati - e-Book in pdf

Michele Iaselli, 2021, Maggioli Editore

L’ebook analizza gli aspetti pratici dell’attività di analisi dei rischi connessi al trattamento dei dati, partendo dal quadro normativo e fornendo risposte alle principali FAQ in materia di DPIA. Michele IaselliAvvocato, Funzionario del Ministero della Difesa, Docente a...



Il trattamento dei dati relativi alla salute

Innanzitutto, il Garante ha osservato che, la fattispecie oggetto di esame, riguarda una possibile violazione dei dati personali di circa 1700 interessati.

Inoltre, il Garante ha osservato che l’oggetto della possibile violazione riguarda una particolare categoria di personali, ossia i dati relativi alla salute, per i quali il titolare del trattamento deve adottare maggiori cautele in ragione della delicatezza e importanza dei dati trattati.

In ragione della loro natura, i dati sanitari, in quanto idonei a rivelare informazioni sullo stato di salute psicofisica dell’interessati, sono qualificati come meritevoli di una specifica protezione sotto il profilo dei diritti e delle libertà fondamentali. Il GDPR, infatti, dispone, ex art. 9, il generale divieto di trattamento di questa particolare tipologia di dati, con unica eccezione prevista per il settore sanitario, in quanto sono dati necessari all’erogazione della prestazione sanitaria complessivamente intesa.


GUARDA l’INTERVISTA all’Avv. Pier Paolo Muià sul trattamento dei dati sanitari


Inoltre, il GDPR dispone che il consenso al trattamento di questi dati sia informato e specifico e che venga prestato liberamente dall’interessato.

Ciò detto, i dati personali devono essere trattati secondo il principio di integrità e riservatezza, in conformità con la previsione contenuta nell’art. 5, par. 1, lett. f) e in base al quale i dati devono essere trattati in modo tale da garantire una sicurezza adeguata al rischio cui sono potenzialmente esposti.

A tal fine, è onere del titolare ridurre al minimo i rischi di violazione dei dati trattati, attraverso la predisposizione di strutture informatiche adeguate.

Inoltre, l’articolo 32 del regolamento prevede che, “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio“. In altri termini, nella valutazione del livello di sicurezza, il titolare deve tener conto sia del possibile rischio derivante da accessi non autorizzati, sia dalla possibile perdita o distruzione dei dati.

La valutazione del Garante

Sulla base dei fatti emersi a seguito dell’istruttoria e delle previsioni normative in materia di protezione dei dati personali, come sopra riepilogati, l’Autorità Garante ha ritenuto che l’Azienda sanitaria aveva attuato un trattamento illecito dei dati personali violando il disposto degli artt. 5, par. 1, lett. f), 25, 32 e 33 del GDPR.

Rimandando alle considerazioni di cui al precedente paragrafo per quanto riguarda le previsioni dell’art. 5 e dell’art. 32,

in base all’art. 25 del GDPR, il titolare del trattamento, all’atto del trattamento stesso, deve adottare misure tecniche ed organizzative adeguate, al fine di attuare efficacemente i principi di protezione dei dati e garantire che il trattamento abbia tutti i requisiti previsti dal GDPR nonché tuteli i diritti degli interessati. Inoltre, il titolare deve attuare misure tecniche ed organizzative adeguate per garantire che siano trattati solo i dati personali necessari per ciascuna finalità del trattamento.

L’art. 33 del GDPR, invece, dispone che rientra tra gli obblighi del titolare anche la notifica all’Autorità di controllo, senza ingiustificato ritardo e ove possibile, entro 72 ore dal momento in cui ne ha avuto conoscenza, di ogni violazione della sicurezza dei dati personali che presenti un rischio per i diritti e le libertà delle persone fisiche.

In considerazione di tutto quanto sopra, quindi, il Garante, nel determinare la sanzione da applicare, ha tenuto conto del fatto che la condotta lesiva della privacy posta in essere dall’Azienda socio sanitaria aveva esaurito i suoi effetti e che detta struttura aveva predisposto una nuova piattaforma per i servizi di prenotazione, introducendo una nuova funzione di tracciamento e un nuovo protocollo di comunicazione sicura.

Pertanto, l’Autorità ha ritenuto che non sussistevano i presupposti per l’applicazione delle misure correttive ex art. 58, par. 2 del GDPR e si è limitata ad irrogare una sanzione amministrativa pecuniaria di €. 20.000 e la pena accessoria della pubblicazione dell’’ordinanza ingiunzione sul sito web del Garante.

Consigliamo il volume: 

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Monica Mandico, 2019, Maggioli Editore

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad...



Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

pier-paolo-muia

Muia' Pier Paolo

Co-founder dello Studio Legale "MMP Legal", svolge la professione di avvocato in Firenze, Prato e Pistoia, occupandosi in via principale con il suo staff di responsabilità professionale e civile; internet law, privacy e proprietà intellettuale nonchè diritto tributario. In particolare, svolge attività di assistenza e difesa sia di professionisti destinatari di richieste di risarcimento  danni per inadempimento professionale sia di soggetti danneggiati da sinsitri, soprattutto per malpractice medica; consulenza relativamente alla gestione e alla tutela dei dati personali in ogni area e settore di attività nonché assistenza e difesa, stragiudiziale e giudiziale, per quanto riguarda i contratti e i rapporti tramite internet ed in generale tutte le problematiche relative ai servizi on line ed ai correlati diritti; redazione di accordi di licenza e cessione di marchi, dei diritti di sfruttamento economico delle opere dell'ingegno, di know-how e di brevetti; difesa giudiziale per la tutela dei diritti d'autore e di brevetti, marchi e disegni, nonché avverso attività di concorrenza sleale; difesa e rappresentanza nei giudizi dinanzi alle commissioni tributarie. Per Diritto.it è Referente delle sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio. Pagina Facebook: https://www.facebook.com/studiolegalemasimuia/?ref=br_rs Pagina Instagram: https://www.instagram.com/mmp_studiolegale/


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

  • Rimani aggiornato sulle novità del mondo del diritto
  • Leggi i commenti alle ultime sentenze in materia civile, penale, amministrativo
  • Acquista con lo sconto le novità editoriali – ebook, libri e corsi di formazione

Rimani sempre aggiornato iscrivendoti alle nostre newsletter!

Iscriviti alla newsletter di Diritto.it e