Il garante sanziona una struttura sanitaria per violazione della normativa privacy perché il software usato per la consultazione online dei referti ha permesso agli utenti di visualizzare i referti di altri pazienti

Scarica PDF Stampa
 

Garante per la protezione dei dati personali: Ordinanza ingiunzione n. 174 del 1 ottobre 2020

https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9469345#

 

Il fatto

L’Università campus biomedico di Roma ha notificato al Garante per la protezione dei dati personali un data breach verificatosi nel sistema informatico utilizzato dal campus per permettere ai propri pazienti la visione on-line dei referti medici.

In particolare, il campus universitario ha evidenziato al Garante di aver avuto cognizione del fatto che, per un lasso di tempo che va dal 2016 al 2018, gli utenti che utilizzavano l’applicazione informatica per accedere al servizio di consultazione on-line dei referti, hanno potuto visualizzare delle immagini radiologiche e dei referti clinici relativi ad altri utenti del sistema. Infatti, a causa di una problematica di carattere tecnico informatica, gli utenti che accedevano al servizio di consultazione on line, dopo aver visualizzato le immagini e i referti relativi alla propria posizione, cliccando per due volte il tasto indietro del browser dell’applicazione potevano visualizzare l’elenco di tutti gli altri utenti, inseriti all’interno del sistema informatico, e quindi potevano accedere alle relative cartelle e ai dati sanitari ivi contenuti. Il campus universitario ha, infine, evidenziato nella notifica al Garante che, nel caso di specie, sono state consultate le cartelle contenenti immagini radiologiche e i referti clinici di 74 utenti diversi rispetto a quelli che hanno compiuto l’accesso al sistema.

Per giustificare la propria posizione, il campus universitario ha poi aggiunto al Garante che i soggetti che hanno potuto prendere visione dei dati relativi alla salute altrui sono stati circa 39, anch’essi pazienti e pertanto non aventi alcun interesse a divulgare le informazioni altrui acquisite dalla consultazione e che, comunque, nonostante i 74 accessi illegittimi, in nessun caso, tali soggetti che hanno avuto accesso ai dati altrui hanno mai effettuato il download dei dati sanitari visualizzati. Infine, il campus universitario ha aggiunto che, dopo essersi accorto della problematica, ha immediatamente interrotto il servizio di pubblicazione delle immagini e dei referti on-line e ha segnalato l’accaduto alla società che forniva il sistema informatico, la quale ultima, dopo aver individuato le cause del problema, ha immediatamente apportato i correttivi dovuti, impedendo l’ulteriore visualizzazione dei referti.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder.  Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.

Monica Mandico | 2019 Maggioli Editore

32.00 €  25.60 €

La decisione del Garante

Ricevuta la segnalazione da parte del campus universitario, il Garante per la protezione dei dati personali ha avviato il procedimento nei suoi confronti per l’adozione dei provvedimenti sanzionatori per violazione della normativa in materia di privacy.

Preliminarmente, il Garante ha evidenziato come ai fatti oggetto di esame si applichi la normativa introdotta dal regolamento europeo per la protezione dei dati personali (GDPR), nonostante la condotta posta in essere dal campus universitario sia iniziata prima della pubblicazione del Regolamento stesso. Infatti, secondo il Garante, ai fini dell’individuazione della normativa applicabile, bisogna considerare la natura permanente della condotta posta in essere dal titolare del trattamento e pertanto il momento rilevante a tali fini è quello in cui è cessata la condotta illecita posta in essere dal titolare del trattamento. Ebbene, nel caso di specie, secondo il Garante, la condotta si è protratta fino all’agosto del 2019 e pertanto in un momento in cui il regolamento europeo era già pienamente applicabile.

Ciò premesso, il garante è passato ad esaminare la illiceità della condotta posta in essere dal campus universitario.

In primo luogo, il Garante ha evidenziato come la condotta posta in essere dal titolare del trattamento, sostanziatasi nel permettere, agli utenti dell’applicazione utilizzata per la consultazione on-line dei referti, l’accesso ai dati relativi alla salute di ben 74 utenti diversi, sostanzia una comunicazione di categorie particolari di dati degli interessati a soggetti terzi in assenza di un idoneo presupposto giuridico. Pertanto, detta comunicazione può ritenersi illegittima in quanto viola i principi di base del trattamento dati previsti dal Regolamento europeo e cioè quelli di liceità, correttezza e trasparenza nonché di integrità e riservatezza del trattamento.

In secondo luogo, il garante ha rilevato come il Regolamento europeo escluda in generale la possibilità che il titolare del trattamento compia operazioni di trattamento di dati personali appartenenti alle categorie particolari, come quelli relativi allo stato di salute dell’interessato, e come, tuttavia, lo stesso Regolamento ammetta la possibilità di effettuare il trattamento, in deroga al divieto suddetto, qualora ciò sia necessario per finalità di diagnosi e lo stesso sia effettuato sulla base del diritto dell’unione o di uno Stato membro. Ebbene, secondo il Garante, il caso di specie rientra proprio in tale deroga, in quanto trattasi di dati trattati per finalità di diagnosi e sulla base di una norma di diritto. Tuttavia, la problematica di carattere informatico verificatasi dal 2016 al 2019, che ha permesso agli altri utenti di poter consultare i referti di altri utenti contenenti dati relativi alla salute, sostanzia un accesso non autorizzato ai dati e quindi un trattamento illecito.

Infine, il garante ha concluso il procedimento, individuando le sanzioni da applicare al campus universitario.

A tal proposito, in primo luogo ha rilevato che non ricorrono i presupposti per adottare delle misure correttive della violazione, in considerazione del fatto che la condotta illecita ha esaurito i suoi effetti visto che il titolare ha emendato l’errore informatico che aveva determinato il data brach.

In secondo luogo, il garante ha ritenuto di applicare la sanzione amministrativa pecuniaria a carico del campus universitario, determinandola quantitativamente in base ai principi di effettività, proporzionalità e dissuasività previsti dal Regolamento europeo. A tal fine, il garante ha osservato che, nonostante la violazione abbia riguardato numerosi interessati e abbia avuto ad oggetto dati relativi alla salute, è stato lo stesso titolare del trattamento a segnalare al garante la violazione oggetto di esame ed inoltre non vi è stata alcuna volontarietà nella commissione dell’illecito da parte di quest’ultimo, il quale si è anzi immediatamente attivato per correggere la problematica tecnica ed evitare nuove perdite di dati, collaborando in maniera attiva con il Garante durante tutta la fase procedimentale. In considerazione di tutto quanto sopra, il garante ha ritenuto di applicare al campus universitario la sanzione pecuniaria di €. 20.000, oltre alla pubblicazione del provvedimento sul sito internet del garante stesso.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder.  Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.

Monica Mandico | 2019 Maggioli Editore

32.00 €  25.60 €

Avv. Muia’ Pier Paolo

Scrivi un commento

Accedi per poter inserire un commento