Garante sanziona struttura sanitaria dal cui sito internet si poteva facilmente accedere ai dati sanitari di 1700 utenti

Il Garante per la protezione dei dati personali riceveva un reclamo nel quale veniva denunciato che, accedendo al sito internet dell’Azienda socio sanitaria territoriale di Milano, ai fini della prenotazione di una prestazione sanitaria, era possibile visualizzare chiaramente le informazioni relative a coloro che, tramite il portare dell’azienda, avevano aderito alla campagna vaccinale influenzale 2020/2021. Il reclamante spiegava che ciò era possibile rimuovendo l’estensione “Prenotazione.php” dall’indirizzo internet dell’Azienda utilizzato dagli utenti per la prenotazione.

A fronte del reclamo presentato, l’Autorità procedeva ad effettuare i necessari controlli. Innanzitutto, aveva potuto constatare che nel sito internet indicato non era possibile rinvenire i file indicati e non era possibile raggiungere le pagine web indicate. Inoltre, constatava che sul server che ospita il sito dell’Azienda veniva utilizzato un software di base non aggiornato, tale da poter compromettere la riservatezza e l’integrità dei dati al suo interno contenuti e trattati.

In considerazione di ciò, il Garante riteneva che si trattasse di trattamento di dati personali non conforme alla disciplina dettata in materia e, dunque, invitata l’Azienda sanitaria a presentare allo stesso memorie difensive nelle quali potesse rappresentare i fatti oggetto del reclamo.

L’Azienda, in particolare, riferiva che i fatti erano avvenuti in un contesto particolare, in quanto il quadro pandemico aveva sottoposto a pressione il sistema sanitario, locale, e nazionale, nel suo complesso. Rappresentava, inoltre, che il suddetto sito internet, appositamente predisposto per ricevere le prenotazioni sanitarie, era stato realizzato in soli tre giorni al fine di sostituire in breve tempo le numerose richieste di prenotazione che pervenivano via e-mail.

La struttura sanitaria faceva, inoltre, presente che, essendo consapevole di aver predisposto un sistema non aggiornato, aveva successivamente modificato e aggiornato il software utilizzato dall’Azienda. Infine, la struttura sanitaria rilevava come, il Responsabile avesse dichiarato che, durante la fase di migrazione dei dati, ossia di aggiornamento, erano state predisposte tutte le misure idonee a evitare rischi per la lesione dei diritti e delle libertà degli interessati.

>> Leggi l’ordinanza di ingiunzione del Garante privacy, 27 gennaio 2022 nei confronti di Azienda socio sanitaria territoriale Nord di Milano

Consigliamo il volume: 

I rischi nel trattamento dei dati – e-Book in pdf

L’ebook analizza gli aspetti pratici dell’attività di analisi dei rischi connessi al trattamento dei dati, partendo dal quadro normativo e fornendo risposte alle principali FAQ in materia di DPIA.Michele IaselliAvvocato, Funzionario del Ministero della Difesa, Docente a contratto di Informatica giuridica all’Università di Cassino e Collaboratore della cattedra di Informatica giuridica alla LUISS ed alla Federico II. Inoltre è Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore di numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di Privacy, Informatica giuridica e Diritto dell’informatica con le principali case editrici. 

Michele Iaselli | 2021 Maggioli Editore

9.90 €  8.42 €

Il trattamento dei dati relativi alla salute

Innanzitutto, il Garante ha osservato che, la fattispecie oggetto di esame, riguarda una possibile violazione dei dati personali di circa 1700 interessati.

Inoltre, il Garante ha osservato che l’oggetto della possibile violazione riguarda una particolare categoria di personali, ossia i dati relativi alla salute, per i quali il titolare del trattamento deve adottare maggiori cautele in ragione della delicatezza e importanza dei dati trattati.

In ragione della loro natura, i dati sanitari, in quanto idonei a rivelare informazioni sullo stato di salute psicofisica dell’interessati, sono qualificati come meritevoli di una specifica protezione sotto il profilo dei diritti e delle libertà fondamentali. Il GDPR, infatti, dispone, ex art. 9, il generale divieto di trattamento di questa particolare tipologia di dati, con unica eccezione prevista per il settore sanitario, in quanto sono dati necessari all’erogazione della prestazione sanitaria complessivamente intesa.


GUARDA l’INTERVISTA all’Avv. Pier Paolo Muià sul trattamento dei dati sanitari


Inoltre, il GDPR dispone che il consenso al trattamento di questi dati sia informato e specifico e che venga prestato liberamente dall’interessato.

Ciò detto, i dati personali devono essere trattati secondo il principio di integrità e riservatezza, in conformità con la previsione contenuta nell’art. 5, par. 1, lett. f) e in base al quale i dati devono essere trattati in modo tale da garantire una sicurezza adeguata al rischio cui sono potenzialmente esposti.

A tal fine, è onere del titolare ridurre al minimo i rischi di violazione dei dati trattati, attraverso la predisposizione di strutture informatiche adeguate.

Inoltre, l’articolo 32 del regolamento prevede che, “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio“. In altri termini, nella valutazione del livello di sicurezza, il titolare deve tener conto sia del possibile rischio derivante da accessi non autorizzati, sia dalla possibile perdita o distruzione dei dati.

La valutazione del Garante

Sulla base dei fatti emersi a seguito dell’istruttoria e delle previsioni normative in materia di protezione dei dati personali, come sopra riepilogati, l’Autorità Garante ha ritenuto che l’Azienda sanitaria aveva attuato un trattamento illecito dei dati personali violando il disposto degli artt. 5, par. 1, lett. f), 25, 32 e 33 del GDPR.

Rimandando alle considerazioni di cui al precedente paragrafo per quanto riguarda le previsioni dell’art. 5 e dell’art. 32,

in base all’art. 25 del GDPR, il titolare del trattamento, all’atto del trattamento stesso, deve adottare misure tecniche ed organizzative adeguate, al fine di attuare efficacemente i principi di protezione dei dati e garantire che il trattamento abbia tutti i requisiti previsti dal GDPR nonché tuteli i diritti degli interessati. Inoltre, il titolare deve attuare misure tecniche ed organizzative adeguate per garantire che siano trattati solo i dati personali necessari per ciascuna finalità del trattamento.

L’art. 33 del GDPR, invece, dispone che rientra tra gli obblighi del titolare anche la notifica all’Autorità di controllo, senza ingiustificato ritardo e ove possibile, entro 72 ore dal momento in cui ne ha avuto conoscenza, di ogni violazione della sicurezza dei dati personali che presenti un rischio per i diritti e le libertà delle persone fisiche.

In considerazione di tutto quanto sopra, quindi, il Garante, nel determinare la sanzione da applicare, ha tenuto conto del fatto che la condotta lesiva della privacy posta in essere dall’Azienda socio sanitaria aveva esaurito i suoi effetti e che detta struttura aveva predisposto una nuova piattaforma per i servizi di prenotazione, introducendo una nuova funzione di tracciamento e un nuovo protocollo di comunicazione sicura.

Pertanto, l’Autorità ha ritenuto che non sussistevano i presupposti per l’applicazione delle misure correttive ex art. 58, par. 2 del GDPR e si è limitata ad irrogare una sanzione amministrativa pecuniaria di €. 20.000 e la pena accessoria della pubblicazione dell’’ordinanza ingiunzione sul sito web del Garante.

Consigliamo il volume: 

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder.  Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.

Monica Mandico | 2019 Maggioli Editore

32.00 €  30.40 €

Avv. Muia’ Pier Paolo

Scrivi un commento

Accedi per poter inserire un commento