Il Garante privacy sanziona Casa di Cura per violazione degli obblighi in materia di sicurezza

di Stefano Comellini, Avv.
PDF

Con un recente provvedimento il Garante per la Protezione dei Dati Personali (Ordinanza – Ingiunzione 2 dicembre 2021, n. 9734884) ha sanzionato una Casa di Cura, con sede nella  provincia di Varese, per avere effettuato un trattamento di dati in violazione degli obblighi in materia di sicurezza, di cui all’art. 32, par. 1, del Regolamento (UE) 2016/679 (GDPR) e dei principi di base di cui all’art. 5, par. 1, lett. f) del medesimo Regolamento.

Si rammenta che l’art. 32, par. 1, del GDPR prescrive che “tenuto conto dello  stato dell’arte e dei costi di attuazione, nonché del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al   rischio …”, mentre, secondo l’art. 5, par. 1, lett. f), i dati sono “trattati in maniera da garantire un’adeguata sicurezza …, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (<integrità e riservatezza>)”.

>> Leggi l’ORDINANZA di INGIUNZIONE del Garante privacy <<

Il Caso

Nella vicenda in oggetto la Casa di Cura, quale Titolare del trattamento, notificava al Garante, ai sensi dell’art. 33   del Regolamento, una violazione dei dati personali “in relazione a un attacco informatico riconducibile al gruppo hacker LulzSec_ITA,” che comportava ”la pubblicazione, sul profilo Twitter del medesimo gruppo, di immagini radiologiche riconducibili alla Casa di Cura”. In particolare, “un soggetto qualificatosi come hacker e denominato LulzSecITA” pubblicava sul proprio account Twitter il seguente messaggio: <Tanti soldi spesi nella sanità, e poi nostri dati privati e sensibili, sono protetti da password di default. Che schifo>”.

Dai controlli immediatamente richiesti al Responsabile del Trattamento dei dati – Amministratore di Sistema emergeva “che dalla schermata che avrebbe dovuto consentire ai soli medici .. l’accesso da remoto ad esami diagnostici, … era possibile accedere ai dati mediante password di default e non dedicate, in tal modo rendendo l’accesso ai dati non impossibile”.  In ogni caso, dai controlli sui file di log eseguiti risultava che erano “state visionate dall’hacker un solo fotogramma di indagine radiologica di un interessato (l’indagine completa è composta      da una pluralità di immagini) e la radiografia di altro interessato, senza poter vedere in entrambi i casi alcun referto, poiché non accessibile dal web.
In ogni caso la pubblicazione su Twitter, effettuata dall’Hacker, avveniva oscurando il cognome e ogni altro dato utile all’identificazione.
Il Responsabile del trattamento, poi, ammetteva l’accaduto, assumendosene la responsabilità e precisando di aver subito rimosso le cause.

Nella notifica della violazione all’Autorità di controllo, eseguita ai sensi dell’art. 33 del Regolamento, la Casa di Cura precisava, poi, di non ritenere sussistenti i presupposti per la comunicazione  agli interessati di cui all’art. 34, reputando le probabili conseguenze “nulle per gli interessati, in quanto l’accesso ha consentito di individuare solo nome e cognome, ma non altri dati tali da individuare il soggetto in modo univoco”. In sostanza, “il dato rivelato ha riguardato unicamente che un soggetto avente un certo nome e cognome ha svolto esame di diagnostica in una struttura sanitaria, senza che sia possibile l’individuazione univoca né dell’uno né dell’altro”.

Dall’istruttoria effettuata è emerso che la “installazione che consentiva al medico radiologo di visionare le immagini da refertare, permetteva l’accesso al …  software … pensato per diagnosi, visualizzazione, archiviazione e trasmissione di immagini medicali fruibile mediante browser web e una password di accesso – su protocollo http (hypertext transfer protocol), ossia un protocollo di rete che non garantisce l’integrità e la riservatezza dei dati scambiati tra il browser dell’utente e il server che ospita il servizio/sito web e non consente agli utenti di verificare l’autenticità del server a cui si collegano”.

>> GUARDA l’INTERVISTA di Diritto.it all’Avv. Pier Paolo Muià su “Il trattamento dei dati sanitari” <<

La decisione del Garante

Nel provvedimento sanzionatorio, il Garante, “tenuto conto della natura dei dati oggetto  di accesso e degli elevati rischi derivanti dalla loro possibile acquisizione da parte di terzi” ha ritenuto chel’utilizzo del protocollo http per accedere al software … nonché l’assegnazione di un’utenza di tipo amministrativo (admin) e password non robusta (admin) al medico radiologo, non possano essere considerate misure idonee a garantire un adeguato livello di sicurezza (artt. 5, par. 1, lett. f), e 32, par. 1, lett. a) del Regolamento, che individua espressamente la cifratura come una delle possibili misure di sicurezza idonee a garantire un livello di sicurezza adeguato al rischio; …)”.

Infatti, per il Garante, le misure tecniche e organizzative adottate dalla Casa di Cura, per il tramite del Responsabile del trattamento, per la gestione dell’accesso al citato software “con particolare riferimento all’utilizzo del protocollo “http” e alle modalità di assegnazione delle password utilizzate, non sono idonee a garantire un livello di sicurezza adeguato ai rischi dello specifico trattamento. Ciò ha contribuito, peraltro, a creare le premesse per il verificarsi della violazione dei dati personali, oggetto di notifica, con la conseguente illecita acquisizione di dati personali, anche relativi alla salute, degli interessati”.

Però dell’incidente non può ritenersi imputabile soltanto il Responsabile del trattamento, ma anche la Casa di Cura, resasi “responsabile della mancata adozione di misure tecniche e organizzative adeguate a garantire la riservatezza e l’integrità dei dati personali trattati mediante il software …”.

Infatti, il Titolare del trattamento ha una responsabilità generale sui trattamenti posti in essere ed è tenuto a mettere in atto misure adeguate  ed efficaci. Tale obbligo sussiste, altresì, “quando taluni operazioni di trattamento siano poste in essere da un Responsabile per suo conto e quanto utilizza prodotti o servizi realizzati da terzi”. La circostanza che il Responsabile del Trattamento avesse garantito che l’installazione del software “avrebbe consentito l’accesso da remoto alla diagnostica per immagini, assicurando “la piena compliance  al GDPRnon esonera da responsabilità il Titolare del trattamento, che avrebbe dovuto    svolgere attività di vigilanza, controllo o revisione in merito alla sicurezza dei dati trattati.

Tenuto conto che la violazione ha riguardato dati sulla salute ma non ha interessato referti, in quanto si è trattato di un solo fotogramma di indagine radiologica di un interessato e di una radiografia relativa ad altro interessato e che la pubblicazione su Twitter da parte degli hacker è avvenuta oscurando il cognome e ogni altro dato utile all’identificazione, valutati gli elementi nel loro complesso, il Garante, rilevata la violazione degli artt. 5 e 32 del GDPR, ha determinato, nei confronti della Casa di Cura, la sanzione pecuniaria, prevista dall’art. 83, par. 4, lett. a) e par. 5, lett. a) del GDPR, di euro 30.000 (trentamila).

Consigliamo il volume:

La tutela della privacy in ambito sanitario

La tutela della privacy in ambito sanitario

Pier Paolo Muià, 2018,

L’opera mira a fornire agli operatori del settore sanitario, pubblico e privato, gli strumenti per comprendere in modo chiaro e semplice la copiosa normativa relativa al trattamento dei dati sanitari, in modo che gli stessi possano adempiere con tranquillità agli obblighi su di loro gravanti,...



Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

stefano-comellini

Stefano Comellini

Laureato in Giurisprudenza all’Università di Bologna, con una tesi in Scienza delle Finanze e Diritto Finanziario, è Avvocato in Bologna e patrocinante in Cassazione. Si interessa, da oltre 20 anni, di Diritto dell’Informatica e delle Telecomunicazioni. Si occupa, altresì, di Diritto Industriale, di Protezione dei Dati e degli aspetti giuridici delle Cripto-attività. E’ relatore in convegni, divulgatore giuridico sui principali social network ed è autore, per Maggioli editore, dei testi - “Il Responsabile della Protezione dei Dati (Data Protection Officer – DPO)”, - “Il Regolamento generale sulla Protezione dei dati personali e la nomina del DPO nella Pubblica Amministrazione”, - “La Moneta elettronica. Altri sistemi di pagamento elettronico e valute virtuali”, nonché co-autore di - “Blockchain, Criptovalute, I.C.O. e Smart Contract”. Attualmente è Responsabile della Protezione dei Dati (DPO) dell’ASL Città di Torino.


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

  • Rimani aggiornato sulle novità del mondo del diritto
  • Leggi i commenti alle ultime sentenze in materia civile, penale, amministrativo
  • Acquista con lo sconto le novità editoriali – ebook, libri e corsi di formazione

Rimani sempre aggiornato iscrivendoti alle nostre newsletter!

Iscriviti alla newsletter di Diritto.it e