L’IMPORTANZA DI GARANTIRE L’INTEGRITA’, LA RISERVATEZZA E LA SICUREZZA DEI DATI PERSONALI

IL GARANTE PRIVACY SANZIONA UN POLICLINICO PER UN DATA BREACH RELATIVO AL SISTEMA INFORMATICO DI REFERTAZIONE ONLINE

Attraverso uno dei primi interventi sanzionatori resi noti successivamente all’insediamento dei nuovi componenti del Collegio, il Garante per la Protezione dei Dati Personali ha colto l’occasione per sottolineare nuovamente l’importanza dei principi di integrità e riservatezza dei dati personali stabiliti dal GDPR.

Come noto, l’art. 5 del Regolamento prescrive che le informazioni relative a persone fisiche identificate o identificabili debbano essere trattate “in maniera da garantire un’adeguata sicurezza…compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”.

Il verificarsi di un data breach può dar luogo all’irrogazione, nei confronti del titolare del trattamento, delle temute sanzioni pecuniarie previste dal GDPR: l’importanza dell’obbligo di sicurezza è tale che ciò può aver luogo anche qualora l’evento risulti in concreto riconducibile, sotto il profilo causale, ad un mero errore tecnico effettuato da un proprio fornitore di servizi, e siano state tempestivamente adottate le misure rimediali più opportune.

Nel caso in esame, l’attenzione dell’Autorità è stata richiamata dalla notificazione di un data breach effettuata spontaneamente dal titolare del trattamento – un Policlinico – conformemente agli obblighi imposti dal GDPR.

La segnalazione aveva ad oggetto, in particolare, un incidente di sicurezza relativo al sistema informatico predisposto dal Policlinico al fine di consentire, ai propri pazienti, la consultazione on-line di referti clinici e dei risultati di esami medici specialistici effettuati presso la struttura.

Secondo quanto ricostruito dall’Autorità nel corso dell’attività istruttoria, un malfunzionamento inerente l’app per smartphone predisposta per offrire tale servizio consentiva agli utenti, una volta effettuato l’accesso al proprio profilo personale sulla piattaforma ed impartito al software una specifica sequenza di comandi, di consultare non soltanto i propri referti medici, bensì anche quelli riferibili ad un numero limitato di altri pazienti.

Ancorché accidentale e determinato – secondo le stesse prospettazioni del titolare del trattamento – da un errore umano nella configurazione del sistema informatico, il Garante ha reputato che l’evento oggetto del provvedimento in esame integrasse gli estremi di una “violazione dei dati personali” ai sensi dell’art. 4 del GDPR, essendo stata compromessa – sia pure in modo fortuito – la confidenzialità delle informazioni relative ad alcuni pazienti.

In particolare, a giudizio dell’Autorità, il malfunzionamento in questione aveva comportato “la possibilità che gli utenti del servizio di consultazione online dei referti potessero visualizzare i dati relativi alla salute” di altri pazienti della struttura, associati ai relativi dati identificativi, realizzando così una “comunicazione di categorie particolari di dati degli interessati a terzi in assenza di un idoneo presupposto giuridico”.

Dichiarata l’illiceità del trattamento così effettuato, e tenuto conto della natura particolarmente delicata dei dati oggetto della violazione, il Garante ha ritenuto opportuno comminare al titolare del trattamento una sanzione pecuniaria pari ad Euro 20.000,00 – ben inferiore, quindi, rispetto ai limiti massimi stabiliti dal Regolamento, nonché alle sanzioni record irrogate nel corso dell’ultimo anno di attività istituzionale.

Nel determinarne la misura, tuttavia, l’Autorità ha fatto applicazione dei criteri di quantificazione stabiliti dall’art. 83 del GDPR, attribuendo coerentemente rilievo a circostanze del caso concreto indubbiamente mitigatrici della responsabilità del Policlinico.

In particolare, il Garante ha considerato il tempestivo assolvimento degli obblighi di notificazione gravanti sul titolare del trattamento, il significativo grado di cooperazione mostrato sin dall’inizio del procedimento nonché il difetto di “elementi di volontarietà” nella causazione dell’evento, oltre all’immediata risoluzione del bug che aveva causato l’incidente di sicurezza e l’assenza di alcuna segnalazione o reclamo da parte degli interessati.

Dott. Valerio Laganà