Il garante sanziona una struttura sanitaria per violazione della normativa privacy perché il software usato per la consultazione online dei referti ha permesso agli utenti di visualizzare i referti di altri pazienti

Il garante sanziona una struttura sanitaria per violazione della normativa privacy perché il software usato per la consultazione online dei referti ha permesso agli utenti di visualizzare i referti di altri pazienti

di Muia' Pier Paolo, Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio

Versione PDF del documento

 

Garante per la protezione dei dati personali: Ordinanza ingiunzione n. 174 del 1 ottobre 2020

https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9469345#

 

Il fatto

L’Università campus biomedico di Roma ha notificato al Garante per la protezione dei dati personali un data breach verificatosi nel sistema informatico utilizzato dal campus per permettere ai propri pazienti la visione on-line dei referti medici.

In particolare, il campus universitario ha evidenziato al Garante di aver avuto cognizione del fatto che, per un lasso di tempo che va dal 2016 al 2018, gli utenti che utilizzavano l’applicazione informatica per accedere al servizio di consultazione on-line dei referti, hanno potuto visualizzare delle immagini radiologiche e dei referti clinici relativi ad altri utenti del sistema. Infatti, a causa di una problematica di carattere tecnico informatica, gli utenti che accedevano al servizio di consultazione on line, dopo aver visualizzato le immagini e i referti relativi alla propria posizione, cliccando per due volte il tasto indietro del browser dell’applicazione potevano visualizzare l’elenco di tutti gli altri utenti, inseriti all’interno del sistema informatico, e quindi potevano accedere alle relative cartelle e ai dati sanitari ivi contenuti. Il campus universitario ha, infine, evidenziato nella notifica al Garante che, nel caso di specie, sono state consultate le cartelle contenenti immagini radiologiche e i referti clinici di 74 utenti diversi rispetto a quelli che hanno compiuto l’accesso al sistema.

Per giustificare la propria posizione, il campus universitario ha poi aggiunto al Garante che i soggetti che hanno potuto prendere visione dei dati relativi alla salute altrui sono stati circa 39, anch’essi pazienti e pertanto non aventi alcun interesse a divulgare le informazioni altrui acquisite dalla consultazione e che, comunque, nonostante i 74 accessi illegittimi, in nessun caso, tali soggetti che hanno avuto accesso ai dati altrui hanno mai effettuato il download dei dati sanitari visualizzati. Infine, il campus universitario ha aggiunto che, dopo essersi accorto della problematica, ha immediatamente interrotto il servizio di pubblicazione delle immagini e dei referti on-line e ha segnalato l’accaduto alla società che forniva il sistema informatico, la quale ultima, dopo aver individuato le cause del problema, ha immediatamente apportato i correttivi dovuti, impedendo l’ulteriore visualizzazione dei referti.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Monica Mandico, 2019, Maggioli Editore

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad...



La decisione del Garante

Ricevuta la segnalazione da parte del campus universitario, il Garante per la protezione dei dati personali ha avviato il procedimento nei suoi confronti per l’adozione dei provvedimenti sanzionatori per violazione della normativa in materia di privacy.

Preliminarmente, il Garante ha evidenziato come ai fatti oggetto di esame si applichi la normativa introdotta dal regolamento europeo per la protezione dei dati personali (GDPR), nonostante la condotta posta in essere dal campus universitario sia iniziata prima della pubblicazione del Regolamento stesso. Infatti, secondo il Garante, ai fini dell’individuazione della normativa applicabile, bisogna considerare la natura permanente della condotta posta in essere dal titolare del trattamento e pertanto il momento rilevante a tali fini è quello in cui è cessata la condotta illecita posta in essere dal titolare del trattamento. Ebbene, nel caso di specie, secondo il Garante, la condotta si è protratta fino all’agosto del 2019 e pertanto in un momento in cui il regolamento europeo era già pienamente applicabile.

Ciò premesso, il garante è passato ad esaminare la illiceità della condotta posta in essere dal campus universitario.

In primo luogo, il Garante ha evidenziato come la condotta posta in essere dal titolare del trattamento, sostanziatasi nel permettere, agli utenti dell’applicazione utilizzata per la consultazione on-line dei referti, l’accesso ai dati relativi alla salute di ben 74 utenti diversi, sostanzia una comunicazione di categorie particolari di dati degli interessati a soggetti terzi in assenza di un idoneo presupposto giuridico. Pertanto, detta comunicazione può ritenersi illegittima in quanto viola i principi di base del trattamento dati previsti dal Regolamento europeo e cioè quelli di liceità, correttezza e trasparenza nonché di integrità e riservatezza del trattamento.

In secondo luogo, il garante ha rilevato come il Regolamento europeo escluda in generale la possibilità che il titolare del trattamento compia operazioni di trattamento di dati personali appartenenti alle categorie particolari, come quelli relativi allo stato di salute dell’interessato, e come, tuttavia, lo stesso Regolamento ammetta la possibilità di effettuare il trattamento, in deroga al divieto suddetto, qualora ciò sia necessario per finalità di diagnosi e lo stesso sia effettuato sulla base del diritto dell’unione o di uno Stato membro. Ebbene, secondo il Garante, il caso di specie rientra proprio in tale deroga, in quanto trattasi di dati trattati per finalità di diagnosi e sulla base di una norma di diritto. Tuttavia, la problematica di carattere informatico verificatasi dal 2016 al 2019, che ha permesso agli altri utenti di poter consultare i referti di altri utenti contenenti dati relativi alla salute, sostanzia un accesso non autorizzato ai dati e quindi un trattamento illecito.

Infine, il garante ha concluso il procedimento, individuando le sanzioni da applicare al campus universitario.

A tal proposito, in primo luogo ha rilevato che non ricorrono i presupposti per adottare delle misure correttive della violazione, in considerazione del fatto che la condotta illecita ha esaurito i suoi effetti visto che il titolare ha emendato l’errore informatico che aveva determinato il data brach.

In secondo luogo, il garante ha ritenuto di applicare la sanzione amministrativa pecuniaria a carico del campus universitario, determinandola quantitativamente in base ai principi di effettività, proporzionalità e dissuasività previsti dal Regolamento europeo. A tal fine, il garante ha osservato che, nonostante la violazione abbia riguardato numerosi interessati e abbia avuto ad oggetto dati relativi alla salute, è stato lo stesso titolare del trattamento a segnalare al garante la violazione oggetto di esame ed inoltre non vi è stata alcuna volontarietà nella commissione dell’illecito da parte di quest’ultimo, il quale si è anzi immediatamente attivato per correggere la problematica tecnica ed evitare nuove perdite di dati, collaborando in maniera attiva con il Garante durante tutta la fase procedimentale. In considerazione di tutto quanto sopra, il garante ha ritenuto di applicare al campus universitario la sanzione pecuniaria di €. 20.000, oltre alla pubblicazione del provvedimento sul sito internet del garante stesso.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Monica Mandico, 2019, Maggioli Editore

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad...



Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

pier-paolo-muia

Muia' Pier Paolo

Co-founder dello Studio Legale "MMP Legal", svolge la professione di avvocato in Firenze, Prato e Pistoia, occupandosi in via principale con il suo staff di responsabilità professionale e civile; internet law, privacy e proprietà intellettuale nonchè diritto tributario. In particolare, svolge attività di assistenza e difesa sia di professionisti destinatari di richieste di risarcimento  danni per inadempimento professionale sia di soggetti danneggiati da sinsitri, soprattutto per malpractice medica; consulenza relativamente alla gestione e alla tutela dei dati personali in ogni area e settore di attività nonché assistenza e difesa, stragiudiziale e giudiziale, per quanto riguarda i contratti e i rapporti tramite internet ed in generale tutte le problematiche relative ai servizi on line ed ai correlati diritti; redazione di accordi di licenza e cessione di marchi, dei diritti di sfruttamento economico delle opere dell'ingegno, di know-how e di brevetti; difesa giudiziale per la tutela dei diritti d'autore e di brevetti, marchi e disegni, nonché avverso attività di concorrenza sleale; difesa e rappresentanza nei giudizi dinanzi alle commissioni tributarie. Per Diritto.it è Referente delle sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio. Pagina Facebook: https://www.facebook.com/studiolegalemasimuia/?ref=br_rs Pagina Instagram: https://www.instagram.com/mmp_studiolegale/


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

Ricevi tutte le novità di Diritto.it attraverso le nostre newsletter. Se sei interessato a un ambito specifico effettua l’iscrizione direttamente a questo indirizzo.

Non abbandonare Diritto.it
senza iscriverti alle newsletter!