Il Garante per la protezione dei dati personali, con il provvedimento n. 197 del 17 maggio 2023, ha sanzionato un’ASL del Veneto per una violazione che ha riguardato i dati di circa 40 mila pazienti.
Nel dettaglio, i pazienti avevano ricevuto nella cassetta della posta il certificato di esenzione del ticket contenente i dati personali (nome, cognome, luogo e data di nascita, codice fiscale, codice di esenzione) di un altro assistito.
Nell’applicare la sanzione il Garante ha ribadito che aziende sanitarie devono adottare tutte le misure tecniche e organizzative necessarie per evitare la comunicazione dei dati dei pazienti ad altri destinatari.
I reclami e la notifica di data breach
Durante lo stato di emergenza da Covid-19, la ASL in questione aveva adottato una modalità di spedizione dei certificati di esenzione dal ticket sanitario tramite posta al fine di scongiurare ed evitare specifici assembramenti presso gli sportelli dell’Azienda.
L’Azienda confermava anche per l’anno 2022 tale modalità di messa a disposizione dei certificati di esenzione.
Alcuni assistiti avevano formulato un reclamo al Garante per la Protezione dei Dati Personali nei confronti dell’ASL che utilizzava tale modalità, lamentando di aver ricevuto una comunicazione a loro indirizzata, ma contenente un certificato di esenzione dal ticket sanitario concernente una terza persona.
Con una nota successiva al reclamo, l’Azienda notificava al Garante, una violazione dei dati personali ai sensi dell’art. 33 del GDPR (c.d. data breach) che stabilisce: “In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.”
A seguito della ricezione del reclamo e della notifica di violazione, il Garante notificava all’ASL l’avvio del procedimento per l’adozione dei provvedimenti correttivi di cui all’art. 58, par. 2, del GDPR invitandola a produrre scritti difensivi o documenti.
Tale procedimento veniva attuato in quanto è stato ritenuto che la stessa ASL, comunicando dati personali a terzi in assenza di un idoneo presupposto giuridico, aveva effettuato un trattamento di dati sulla salute in violazione dei principi di esattezza e di integrità e riservatezza (art. 5 par. 1, lett. d) e f) del Regolamento), dei principi di base del trattamento di cui all’art. 6 Regolamento e degli obblighi in materia di sicurezza di cui all’art. 32 del Regolamento.
Dalle verifiche effettuate dall’Autorità era emerso che la violazione (c.d. data breach) era stata causata da un problema tecnico di disallineamento dei dati nel database contenente le anagrafiche dei pazienti.
Per il Garante questo “disallineamento” era imputabile ad un malfunzionamento randomico ed imprevedibile del software.
L’Azienda si è subito attivata per definire una modalità distributiva differente, provvedendo per tempo ad attivare un portale aziendale dove, a marzo, potranno, altresì, essere scaricati anche in formato digitale i medesimi certificati.
All’esito dell’attività istruttoria il Garante ha rilevato l’illiceità del trattamento dei dati personali da parte dell’Azienda in quanto ha trattato dati personali in violazione dei principi di base del trattamento cui agli artt. 5 e 6 del Regolamento, ovvero quello di «esattezza», secondo il quale “devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono stati trattati” (art. 5, par. 1, lett. d) del Regolamento) e quello di «integrità e riservatezza», secondo il quale i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (art. 5, par. 1, lett. f) del Regolamento).
Infine, ha violato gli obblighi in materia di sicurezza di cui all’art. 32 del Regolamento: “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio […]” (par. 1) e che “nel valutare l’adeguato livello di sicurezza si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati” (par. 2).
La sanzione del Garante
Il Garante ha ordinato all’Azienda di pagare € 10.000,00 a titolo di sanzione amministrativa pecuniaria.
La sanzione, di € 10.000,00, è stata calcolata tenendo conto che l’azienda sanitaria ha immediatamente dimostrato un elevato grado di collaborazione con il Garante e che l’episodio è risultato isolato e non volontario.
Questo articolo ti è stato utile?
Consulta le nostre sezioni dedicate al Regolamento 679/2016 (GDPR) e privacy e al supporto alle stazioni appaltanti. Puoi anche iscriverti alla nostra newsletter e non perdere le notizie più importanti in tema di Appalti, anticorruzione, digitalizzazione della PA e D.Lgs. 231 responsabilità delle persone giuridiche. Non preoccuparti, saremo moderati. Anche noi odiamo lo SPAM.