Si rammenta che l’art. 32, par. 1, del GDPR prescrive che “tenuto conto dello stato dell’arte e dei costi di attuazione, nonché del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio …”, mentre, secondo l’art. 5, par. 1, lett. f), i dati sono “trattati in maniera da garantire un’adeguata sicurezza …, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (<integrità e riservatezza>)”.
>> Leggi l’ORDINANZA di INGIUNZIONE del Garante privacy <<
Il Caso
Nella vicenda in oggetto la Casa di Cura, quale Titolare del trattamento, notificava al Garante, ai sensi dell’art. 33 del Regolamento, una violazione dei dati personali “in relazione a un attacco informatico riconducibile al gruppo hacker LulzSec_ITA,” che comportava ”la pubblicazione, sul profilo Twitter del medesimo gruppo, di immagini radiologiche riconducibili alla Casa di Cura”. In particolare, “un soggetto qualificatosi come hacker e denominato LulzSecITA” pubblicava sul proprio account Twitter il seguente messaggio: <Tanti soldi spesi nella sanità, e poi nostri dati privati e sensibili, sono protetti da password di default. Che schifo>”.
Dai controlli immediatamente richiesti al Responsabile del Trattamento dei dati – Amministratore di Sistema emergeva “che dalla schermata che avrebbe dovuto consentire ai soli medici .. l’accesso da remoto ad esami diagnostici, … era possibile accedere ai dati mediante password di default e non dedicate, in tal modo rendendo l’accesso ai dati non impossibile”. In ogni caso, dai controlli sui file di log eseguiti risultava che erano “state visionate dall’hacker un solo fotogramma di indagine radiologica di un interessato (l’indagine completa è composta da una pluralità di immagini) e la radiografia di altro interessato, senza poter vedere in entrambi i casi alcun referto, poiché non accessibile dal web.
In ogni caso la pubblicazione su Twitter, effettuata dall’Hacker, avveniva oscurando il cognome e ogni altro dato utile all’identificazione.
Il Responsabile del trattamento, poi, ammetteva l’accaduto, assumendosene la responsabilità e precisando di aver subito rimosso le cause.
Nella notifica della violazione all’Autorità di controllo, eseguita ai sensi dell’art. 33 del Regolamento, la Casa di Cura precisava, poi, di non ritenere sussistenti i presupposti per la comunicazione agli interessati di cui all’art. 34, reputando le probabili conseguenze “nulle per gli interessati, in quanto l’accesso ha consentito di individuare solo nome e cognome, ma non altri dati tali da individuare il soggetto in modo univoco”. In sostanza, “il dato rivelato ha riguardato unicamente che un soggetto avente un certo nome e cognome ha svolto esame di diagnostica in una struttura sanitaria, senza che sia possibile l’individuazione univoca né dell’uno né dell’altro”.
Dall’istruttoria effettuata è emerso che la “installazione che consentiva al medico radiologo di visionare le immagini da refertare, permetteva l’accesso al … software … pensato per diagnosi, visualizzazione, archiviazione e trasmissione di immagini medicali fruibile mediante browser web e una password di accesso – su protocollo http (hypertext transfer protocol), ossia un protocollo di rete che non garantisce l’integrità e la riservatezza dei dati scambiati tra il browser dell’utente e il server che ospita il servizio/sito web e non consente agli utenti di verificare l’autenticità del server a cui si collegano”.
La decisione del Garante
Nel provvedimento sanzionatorio, il Garante, “tenuto conto della natura dei dati oggetto di accesso e degli elevati rischi derivanti dalla loro possibile acquisizione da parte di terzi” ha ritenuto che “l’utilizzo del protocollo http per accedere al software … nonché l’assegnazione di un’utenza di tipo amministrativo (admin) e password non robusta (admin) al medico radiologo, non possano essere considerate misure idonee a garantire un adeguato livello di sicurezza (artt. 5, par. 1, lett. f), e 32, par. 1, lett. a) del Regolamento, che individua espressamente la cifratura come una delle possibili misure di sicurezza idonee a garantire un livello di sicurezza adeguato al rischio; …)”.
Infatti, per il Garante, le misure tecniche e organizzative adottate dalla Casa di Cura, per il tramite del Responsabile del trattamento, per la gestione dell’accesso al citato software “con particolare riferimento all’utilizzo del protocollo “http” e alle modalità di assegnazione delle password utilizzate, non sono idonee a garantire un livello di sicurezza adeguato ai rischi dello specifico trattamento. Ciò ha contribuito, peraltro, a creare le premesse per il verificarsi della violazione dei dati personali, oggetto di notifica, con la conseguente illecita acquisizione di dati personali, anche relativi alla salute, degli interessati”.
Però dell’incidente non può ritenersi imputabile soltanto il Responsabile del trattamento, ma anche la Casa di Cura, resasi “responsabile della mancata adozione di misure tecniche e organizzative adeguate a garantire la riservatezza e l’integrità dei dati personali trattati mediante il software …”.
Infatti, il Titolare del trattamento ha una responsabilità generale sui trattamenti posti in essere ed è tenuto a mettere in atto misure adeguate ed efficaci. Tale obbligo sussiste, altresì, “quando taluni operazioni di trattamento siano poste in essere da un Responsabile per suo conto e quanto utilizza prodotti o servizi realizzati da terzi”. La circostanza che il Responsabile del Trattamento avesse garantito che l’installazione del software “avrebbe consentito l’accesso da remoto alla diagnostica per immagini, assicurando “la piena compliance al GDPR” non esonera da responsabilità il Titolare del trattamento, che avrebbe dovuto svolgere attività di vigilanza, controllo o revisione in merito alla sicurezza dei dati trattati.
Tenuto conto che la violazione ha riguardato dati sulla salute ma non ha interessato referti, in quanto si è trattato di un solo fotogramma di indagine radiologica di un interessato e di una radiografia relativa ad altro interessato e che la pubblicazione su Twitter da parte degli hacker è avvenuta oscurando il cognome e ogni altro dato utile all’identificazione, valutati gli elementi nel loro complesso, il Garante, rilevata la violazione degli artt. 5 e 32 del GDPR, ha determinato, nei confronti della Casa di Cura, la sanzione pecuniaria, prevista dall’art. 83, par. 4, lett. a) e par. 5, lett. a) del GDPR, di euro 30.000 (trentamila).
Consigliamo il volume:
La tutela della privacy in ambito sanitario
L’opera mira a fornire agli operatori del settore sanitario, pubblico e privato, gli strumenti per comprendere in modo chiaro e semplice la copiosa normativa relativa al trattamento dei dati sanitari, in modo che gli stessi possano adempiere con tranquillità agli obblighi su di loro gravanti, volti alla cura e alla protezione dei dati personali dei loro assistiti. In particolare, l’Autore, dopo aver illustrato le caratteristiche principali dei dati sanitari, necessarie per poter individuare quali informazioni rientrano in detta categoria, si dedica all’esame di tutte le disposizioni che incidono sul loro trattamento: dal codice privacy fino al GDPR, passando per le linee guida adottate dal Garante nel corso degli anni in tema di dossier sanitario, siti web dedicati alla salute, referti on-line, indagini di customer satisfaction nonché per la normativa in tema di fascicolo sanitario elettronico. Il trattamento dei dati in ambito sanitario, in considerazione della delicatezza delle informazioni che riguardano lo stato di salute degli interessati, è sempre stato estremamente pericoloso. L’opera si rende ancor più utile oggi, in un mondo in cui anche nell’ambito sanitario i dati personali assumono un’importanza fondamentale e vengono trattati attraverso diversi strumenti tecnologici ed elettronici, rientrando la protezione di tali dati tra i principali adempimenti che i professionisti e le strutture sanitarie debbono curare per poter fornire le proprie prestazioni senza preoccupazioni di incorrere in responsabilità.Pier Paolo Muià Si è laureato in Giurisprudenza presso l’Università degli Studi di Firenze. Esercita la professione di avvocato tra Firenze, Prato e Pistoia, occupandosi in particolare di responsabilità medica, diritto di internet, privacy e IP. È autore di numerose pubblicazioni sulle principali riviste giuridiche nazionali e collabora stabilmente con il portale giuridico Diritto.it. È stato relatore in diversi convegni, anche per ordini professionali medici.
Pier Paolo Muià | 2018
Scrivi un commento
Accedi per poter inserire un commento