Un medico ha scaricato i dati di un paziente dagli archivi informatici di un’azienda sanitaria e li ha utilizzati per scopi di divulgazione scientifica senza neanche renderli anonimi. Da Verona, omonimia e diffusione dati del paziente: sono due dei moltissimi casi registrati di ‘data breach’ più comunemente intesa come ‘violazione dei dati personali’ e del Regolamento UE 2016/679 e che hanno richiesto l’intervento del Garante della Privacy. Ma identifichiamo prima tutte le componenti di questo tipo di violazione.
Distruzione, perdita, modifica, divulgazione non autorizzata, accesso ai dati personali trattati, accidentalmente o in modo illecito: è questa la violazione dei dati personali o data breach e comporta la compromissione della riservatezza, dell’integrità o della disponibilità di dati personali. Alcuni possibili esempi possono essere: l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati; il furto o la perdita di dispositivi informatici contenenti dati personali; la deliberata alterazione di dati personali; l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.; la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità; la divulgazione non autorizzata dei dati personali.
Tutti siamo, siamo stati o saremo titolari di trattamento dei dati personali, sia che ci identifichiamo come soggetto pubblico, impresa, associazione, sia come partito, libero professionista ecc.
Quando ci accorgiamo della violazione in atto, in qualità di titolari del trattamento e senza ingiustificato ritardo, ove possibile, entro 72 ore dal momento in cui ne abbiamo avuto conoscenza, dobbiamo notificare la violazione al Garante per la protezione dei dati personali, a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.
Il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il titolare in modo che possa attivarsi.
È importante essere consapevoli che le notifiche al Garante vanno effettuate non oltre il termine delle 72 ore e, in caso di ritardo, devono essere accompagnate dai motivi del ritardo.
Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto. Il titolare del trattamento, a prescindere dalla notifica al Garante, documenta tutte le violazioni dei dati personali, ad esempio predisponendo un apposito registro. Tale documentazione consente all’Autorità di effettuare eventuali verifiche sul rispetto della normativa.
Vanno notificate unicamente le violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali. Ciò può includere, ad esempio, la perdita del controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d’identità o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione e qualsiasi altro significativo svantaggio economico o sociale.
Dal 1° luglio 2021, la notifica di una violazione di dati personali deve essere inviata al Garante tramite un’apposita procedura telematica, resa disponibile nel portale dei servizi online dell’Autorità, e raggiungibile all’indirizzo https://servizi.gpdp.it/databreach/s/. Nella stessa pagina è disponibile un modello facsimile, da non utilizzare per la notifica al Garante ma utile per vedere in anteprima i contenuti che andranno comunicati al Garante. Esiste un sistema di autovalutazione o self assesment che consente ai titolari di trattamento, di individuare le azioni da intraprendere a seguito di una violazione dei dati personali derivante da un incidente di sicurezza.
Il Garante per la protezione dei dati personali può prescrivere misure correttive nel caso sia rilevata una violazione delle disposizioni del Regolamento stesso, anche per quanto riguarda l’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione. Sono previste sanzioni pecuniarie che possono arrivare fino a 10 milioni di euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale.
Non sono pochi i casi di violazione dei dati, soprattutto se ad essere trattati sono i dati sanitari dei pazienti. Abbiamo già analizzato esempi come la sanzione da parte del Garante della privacy nei confronti del medico di base, ed abbiamo già rintracciato la tutela del medico spiegata dal Garante per i referti online. Tuttavia, esistono moltissime sfaccettature ancora inesplorate di casi non ancora verificatesi e di altri che invece hanno trovato risoluzione nell’applicazione della normativa di riferimento.
Per definizione e direttamente dal sito ufficiale del Garante della Privacy viene ribadito il concetto, che è chiaramente contenuto anche nel GDPR, di data breach ovvero: “una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali”.
In tutti i casi in cui è evidente che ci si trovi al cospetto di un errore causato da negligenza umana e lesione della sfera di riservatezza dell’interessato, non è di poco conto se si considera che la stessa corte di Cassazione ritiene, attraverso diverse pronunce, che i dati relativi alla salute sono “dati super-sensibili”.
Nell’ottobre del 2020, il Garante per la protezione dei dati personali ha ricevuto una notifica di data breach da parte dell’Azienda ospedaliera universitaria integrata di Verona. L’art. 32 del GDPR precisa che il titolare del trattamento, “tenendo conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento” deve porre in essere e poi periodicamente aggiornare, le misure di sicurezza che tutelino il trattamento di dati personali.
Ai sensi dell’art. 9 del GDPR che vieta il trattamento di dati sensibili in assenza di un consenso esplicito, è stata quindi rilevata una violazione. Consenso che in questo caso, ovviamente, non poteva esserci. Ad ogni modo, l’Autorità ha riconosciuto all’azienda ospedaliera che la violazione di sicurezza è avvenuta in un contesto emergenziale e che, citando la lettera del provvedimento “l’origine dei fatti è da ascrivere anche a errori umani causati dalla delicatezza delle condizioni cliniche di uno dei pazienti coinvolti nella vicenda e che i due codici fiscali dei pazienti differiscono solo di un carattere”.
L’azienda ha corretto i dati erroneamente attribuiti ai pazienti in un breve arco temporale. Il Garante infine ha tenuto conto del fatto che il titolare si era adeguato alle disposizioni delle Linee guida del 2015 in materia di dossier sanitario. Tutte le attenuanti del caso hanno valutato questa violazione come una ‘violazione minore’ ed applicato l’articolo 58, comma 2, lettera b) del Regolamento disciplina proprio tale tipologia di sanzione.
L’ammonimento rientra nell’alveo dei poteri correttivi dell’autorità di controllo: è una specie di cartellino giallo che è andato all’azienda veronese.
Ammonita anche l’Asl di riferimento di un medico che ha scaricato i dati di un paziente dagli archivi informatici e li ha utilizzati per scopi di divulgazione scientifica – diversi dai fini curativi – senza neanche renderli anonimi. In tal caso, invece, il medico è stato sanzionato.
È ovvio che non è possibile conoscere bene tutta la normativa a riguardo e vagliare i propri comportamenti per evitare di essere responsabili di questo tipo di violazioni, tuttavia è possibile affidarsi a degli esperti che possono analizzare il caso specifico e sorvegliare che il comportamento che si sta per adottare sia conforme ai canoni di giustizia italiani ed europei. A questo scopo, il team legal Consulcesi & Partners si mette a disposizione.
Leggi anche: