Responsabilità

Privacy, il trattamento di dati particolari tra carenze tecniche e culturali

In alcune recenti pronunce del Garante i profili di responsabilità nelle violazioni del trattamento dei dati “particolari”, riferibili alla salute dei cittadini

Privacy Policy touchscreen is shown by businesswoman.

di Alessandra Spangaro*

L’Autorità Garante, nel corso delle ultime settimane, ha pronunciato una serie di provvedimenti sanzionatori nei confronti di alcune Asl e di una società di gestione dei sistemi informativi, rispettivamente quali titolari e responsabile del trattamento dei dati personali - nella specie qualificabili come particolari, essendo relativi alla salute dei cittadini afferenti a quel territorio – in considerazione della violazione di più previsioni del Regolamento europeo in materia di dati personali ( Reg. 2016/679, GDPR ). Le condotte dei protagonisti delle vicende sottoposte all’attenzione del Garante non sono tutte sovrapponibili, ma le fattispecie, pur in alcuni casi del tutto eterogenee, evidenziano che anche soggetti istituzionali appaiono talvolta agire in sottovalutazione dei rischi connessi al trattamento dei dati personali e forse anche alle conseguenze sanzionatorie che ne derivano.

Le fattispecie

I casi analizzati dal Garante possono suddividersi in due differenti tipi di condotte. Nella prima, di per sé piuttosto comune, la Asl non aveva predisposto le adeguate misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio, in considerazione della natura dei dati e delle finalità del relativo trattamento (art. 32 GDPR), così finendo per consentire ripetuti accessi ai dossier sanitari aziendali (DSE) da parte di personale sanitario che, pur formalmente autorizzato al trattamento, non era coinvolto nello specifico processo di cura dei soggetti a cui i dossier sanitari si riferivano.

Gli accessi inappropriati, segnalati dagli stessi pazienti, non avevano trovato, nella successiva sede di indagine, adeguate ragioni giustificative; nella istruttoria interna promossa dalla Asl, infatti, una infermiera aveva sostenuto di non ricordarsi di aver effettuato l’accesso al DSE; un altro sanitario coinvolto non era più operativo e dunque l’Asl aveva riferito di non essere riuscita a contattarlo e, in un terzo caso dalla banale ordinarietà, era emerso che un medico aveva effettuato l’accesso al DSE dell’ex marito, pur non essendo il suo referente sanitario e senza che quest’ultimo mai l’avesse autorizzata. Inoltre, solamente nel corso dell’istruttoria, la Asl si era dotata di sistemi di alert utili ad evidenziare accessi anomali, basati, per esempio, sulla rilevazione del numero degli accessi eseguiti in un dato arco temporale.

In sintesi, si è accertato il fatto che sostanzialmente tutto il personale sanitario aveva accesso ai DSE, a prescindere dalle funzioni svolte, dal fatto di avere o meno in carico quello specifico paziente ed anche senza che vi fosse alcuna limitazione temporale rispetto alle prestazioni sanitarie effettuate, con conseguente violazione delle previsioni del GDPR e delle specifiche linee guida emanate dal Garante in materia di Dossier sanitario nel giugno 2015 (Provvedimento del 4.6.2015, doc web n. 4084632), nelle quali l’Autorità ha esplicitamente indicato ai titolari del trattamento l’esigenza di porre particolare attenzione nell’individuazione dei profili di autorizzazione all’accesso ai dati, oltre che nella formazione dei soggetti abilitati.

Nella seconda fattispecie rientrano invece tre casi che hanno visto coinvolti le Asl di un’altra regione e diversi enti di gestione del servizio sanitario regionale, quali titolari del trattamento, oltre che una società di servizi per l’organizzazione digitale delle attività tecnico-amministrative di interesse regionale, quale responsabile del trattamento .

Nella specie si era verificata una serie di attacchi malware, alcuni dei quali – penetrati nel sistema attraverso il computer di alcuni dipendenti in smart working e dunque collegati da remoto, in ragione delle regole vigenti in epoca pandemica - avevano reso indisponibili per un certo periodo di tempo diservizi, quali le prenotazioni sanitarie, il teleconsulto, il deposito dei referti relativi ad esami di laboratorio, compresi quelli relativi ai tamponi da Covid-19, essendo invece sempre stata garantita la funzionalità dei servizi essenziali offerti dai numeri 112 e 118. Nonostante il fatto che, dalle informazioni emerse in sede investigativa, si sia portati ad escludere l’esfiltrazione delle informazioni conservate nei sistemi violati, si deve evidenziare come anche la mera indisponibilità dei dati personali per un certo periodo di tempo costituisca di per sé una violazione, in quanto la mancanza di accesso a dette informazioni potrebbe avere un impatto significativo sui diritti e sulle libertà delle persone, come già precisato dal Garante nelle “Linee guida sulla notifica” 9/2022.

Una volta manifestatosi il data breach, si sono poi evidenziate diverse condotte non conformi al GDPR in capo sia ai titolari, che al responsabile del trattamento. In un caso non vi è stata nemmeno la tempestiva notifica della violazione al Garante, in violazione dell’art. 33, ma ciò che, in generale, è emerso è stata la diffusa mancanza di misure tecniche adeguate in relazione al rischio, anche in considerazione della natura particolare dei dati trattati e pur a fronte di vulnerabilità note del software utilizzato, ormai del tutto obsoleto (e per il quale, infatti, non erano più disponibili aggiornamenti di sicurezza). Invero, deve riferirsi che la console utilizzata aveva intercettato, nella serata precedente all’effettiva violazione, alcune “attività ostili”, rilevate tuttavia solo la mattina successiva, posto che – come successivamente emerso - “ tale strumento di monitoraggio non era presidiato H24 ” e, pertanto, “ non si è potuto gestire tali allarmi con maggiore tempestività ”; a ciò si aggiunge, tra l’altro, che non erano state definite specifiche procedure di gestione dei backup e che i sistemi server sui quali tali software erano installati non erano stati adeguatamente isolati dalle altre reti, cosa che ha aggravato l’evento, in quanto il responsabile del trattamento, in via emergenziale, ha provveduto a spegnere tutti i sistemi server, non essendo in grado, nella contingenza dell’attacco informatico, di determinare quali di questi fossero compromessi e volendo ad ogni modo evitare la propagazione del malware.

I profili di responsabilità

I pur differenti casi su riportati hanno portato all’emersione di condotte violative di alcune significative previsioni del GDPR poste in essere da importanti attori istituzionali che operano nell’ambito del trattamento dei dati personali, anche di natura particolare, in quanto riferibili ai soggetti assistiti dai servizi sanitari regionali coinvolti. In particolare, è risultato violato il principio di integrità e sicurezza dei dati, lungo tutta l’arco temporale del trattamento. In primo luogo, infatti, la stessa progettazione del trattamento non è stata impostata con lo specifico fine di minimizzare i rischi per i diritti e le libertà degli interessati, in violazione del principio della c.d. “ privacy by design ”, di cui all’art. 25 GDPR; successivamente, sono state omesse le misure tecniche e organizzative adeguate per individuare tempestivamente le violazioni e assicurare così sia la riservatezza, l’integrità e la disponibilità dei dati trattati , sia la resilienza dei sistemi del trattamento, in violazione dell’art. 32, oneri che incombono sotto il profilo della responsabilità e dell’accountability, in capo sia al titolare, che al responsabile. A ciò è venuta poi ad aggiungersi - in alcuni dei casi indicati - la tardiva notifica del data breach, che, come precisato dal Garante, non può considerarsi “un formalismo fine a sé stesso, posto che, al contrario, essa costituisce il principale mezzo attraverso il quale l’Autorità viene a conoscenza delle violazioni dei dati personali, potendo così dar corso ai propri compiti; nella specie, solo l’eco della notizia della violazione aveva, infatti, permesso al Garante di procedere d’ufficio.

Le violazioni dei principi e delle regole base del trattamento, inoltre, secondo il Garante, sono state connotate da una significativa gravità, in particolar modo considerando il fatto che alcuni dei protagonisti delle vicende indicate operano come responsabili del trattamento di numerosi enti del servizio sanitario regionale e dunque possono considerarsi strategici.

Ciò che se ne trae è la sensazione di una ancora non compiuta coscienza del tema, che si riflette non tanto o non solo in insufficienze tecnico/strutturali, quanto in un incompiuto fattore culturale circa la valenza dei dati trattati, le conseguenti responsabilità e, in definitiva, circa il ruolo svolto dalle regole del GDPR, ancora oggi spesso ritenute più un appesantimento burocratico, che una opportuna tutela.

_______

*A cura dell’Avv. Alessandra Spangaro, DigitalMediaLaws

Per saperne di piùRiproduzione riservata ©