Data Protection: le ultime sanzioni emesse dal Garante Privacy

Gli ultimi provvedimenti sanzionatori emessi dal Garante per la Protezione dei Dati Personali confermano, semmai ce ne fosse ancora bisogno, che il tema della data protection riguarda tutti gli operatori economici, dai colossi alle piccole e medie imprese. 

Premessa

A inizio gennaio, dopo mesi di speculazioni, il Garante per la Protezione dei Dati Personali si è messo in scia delle altre autorità europee, irrogando le prime sanzioni per violazione delle disposizioni di cui al Regolamento UE 2016/679 (il c.d. “GDPR”) e del Codice Privacy, così come modificato dal D.Lgs 101/2018.

Come ci si poteva aspettare i primi bersagli del Garante sono stati i big player del panorama economico italiano: ENI è stata destinataria di due provvedimenti sanzionatori per complessivi 11,5 milioni di euro, mentre TIM è stata sanzionata per una cifra record di oltre 27 milioni.

Forse per la minore notorietà dei destinatari o per la portata delle sanzioni, notevolmente più contenute, sono passati forse un po’ sottotraccia altri due provvedimenti molto interessanti.

Mi riferisco ai due provvedimenti del 23 gennaio scorso, il n. 17 nei confronti della Università degli studi di Roma “La Sapienza” e il n. 18 nei confronti dell’Azienda Ospedaliero Universitaria Integrata di Verona.

La Sapienza e il sistema di gestione del Whistleblowing

Il primo caso riguarda un evento di data breach (violazione di dati personali) avvenuto nel contesto delle procedure adottate dall’Università per la segnalazione anonima di possibili comportamenti illeciti (il c.d. “Whistleblowing”). In particolare, i dati identificativi di due persone che avevano segnalato all’ateneo possibili illeciti sono finiti on line e resi accessibili a tutti tramite i comuni motori di ricerca.

Un evento molto grave, considerata anche la delicatezza delle informazioni diffuse, ma i cui effetti sono stati contenuti dall’Università in modo abbastanza efficace, come peraltro sostenuto dallo stesso Garante. Infatti:

i. la violazione è stata prontamente notificata al Garante entro 72 ore dalla scoperta, come richiesto dall’art. 33 GDPR, e
ii. comunicata ai due soggetti interessati, ai sensi dell’art. 34 GDPR,
iii. l’Università ha chiesto e ottenuto dai motori di ricerca più diffusi la cancellazione delle pagine che contenevano i dati dei due segnalanti.

Tutto corretto, senonché l’illecito contestato non aveva ad oggetto l’attuazione o meno di procedure per la segnalazione di un data breach, ma l’adozione di misure di sicurezza di cui all’art. 32 GDPR.

Nell’ambito di tali misure, il titolare del trattamento – tenendo conto della natura, dell’oggetto, del contesto e delle finalità del trattamento – deve mettere in atto misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio.

Nel corso dell’istruttoria, invece, il Garante ha potuto constatare come la violazione dei dati personali fosse riconducibile all’assenza di adeguate misure tecniche per il controllo degli accessi, che avrebbero consentito di limitare la consultazione al solo personale autorizzato.

Inoltre, ed è forse questo l’aspetto più interessante, l’autorità italiana ha imputato all’Università di essersi limitata a recepire le scelte progettuali del fornitore del software di gestione del whistleblowing. Tale applicativo, infatti, non prevedeva la cifratura dei dati personali (misura consigliata sia dal GDPR, che dalle specifiche raccomandazioni contenute nelle “Linee guida in materia di tutela del dipendente pubblico che segnala illeciti”, adottate nel 2015 dall’ANAC), né l’adozione di un protocollo di trasmissione che garantisse una comunicazione sicura, sia in termini di riservatezza e integrità dei dati scambiati, sia di autenticità del sito web visualizzato da chi invia le segnalazioni. È compito, invece, del titolare del trattamento adottare apposite procedure “per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento” (art. 32, par. 1, lett. d), del GDPR).

Tali carenze hanno determinato un trattamento illecito di dati personali, in quanto (i) non conforme liceità, correttezza e trasparenza di cui all’art. 5, par. 1, lett. a), del GDPR; (ii) carente di un idoneo presupposto di liceità, ai sensi  dell’art. 2-ter, commi 1 e 3, del Codice Privacy e dell’art. 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del GDPR; e (iii) in violazione delle “norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro” ai sensi dell’art. 88, par. 1, del GDPR.

Per tali violazioni il Garante ha, quindi, inflitto all’ateneo una sanzione amministrativa di 30.000 euro. Ai fini dell’ammontare della sanzione, l’autorità italiana ha valutato positivamente:

 i. il numero esiguo degli interessati vittime del data breach,
ii. delle misure correttive tempestivamente adottate dall’ateneo, volte all’eliminazione delle cause che hanno generato la condotta contestata,
iii. nonché la cooperazione con l’autorità.

La sanzione all’Azienda Ospedaliero Universitaria Integrata di Verona

Anche il provvedimento sanzionatorio emesso nei confronti dell’Azienda Ospedaliero Universitaria Integrata di Verona presenta degli elementi molto simili rispetto a quelli evidenziati in precedenza.

Ancora una volta l’indagine del Garante parte dopo la comunicazione di tre violazioni di dati. A seguito di alcuni controlli periodici effettuati dall’ospedale, venivano accertati degli accessi indebiti ai dossier sanitari di dipendenti in cura presso lo stesso nosocomio. In un caso l’accesso era stato effettuato con le credenziali di un medico che aveva lasciato incustodita la propria postazione; negli altri due casi uno specializzando e un tecnico radiologo erano entrati nel dossier sanitario dei loro colleghi.

All’esito dell’attività istruttoria è emersa la violazione dell’art. 5, lett. f) del GDPR, in quanto le misure tecniche e organizzative adottate dall’Azienda si sono rilevate non pienamente adeguate al fine di garantire un’adeguata sicurezza dei dati personali contenuti nei dossier sanitari. Tali misure, infatti, non hanno permesso di evitare la possibilità che il personale sanitario abilitato accedesse alla documentazione clinica di pazienti non al fine di erogare prestazioni di cura agli interessati, ma per ragioni personali descritte dall’Azienda stessa come “mera curiosità”.

Un aspetto importante da tenere in considerazione è che l’Azienda, come peraltro rilevato dal Garante, non era del tutto sguarnita di protocolli di sicurezza; aveva, infatti, implementato un disciplinare interno sull’uso degli strumenti elettronici, gli incaricati del trattamento erano stati destinatari di lettere di nomina e di istruzione contenenti specifiche indicazioni in merito ai presupposti di liceità degli accessi al dossier sanitario aziendale (anche con specifico riferimento ai quelli dei colleghi) e alle misure relative all’impostazione di un intervallo di timeout per la sessione dell’applicativo utilizzato per il dossier.

Norme interne ritenute del tutto insufficienti. Mentre le misure indispensabili, già individuate nelle “Linee guida in materia di dossier sanitario”, emanate dal Garante nel 2015, volte a limitare l’accesso al dossier sanitario dei pazienti solo al personale sanitario che li ha in cura, all’individuazione dei profili di autorizzazione e alla formazione del personale abilitato sono state adottate dall’Azienda solo dopo aver accertato gli episodi illeciti.

Come sottolineato dall’autorità, la loro preventiva adozione, anche alla luce dei principi privacy by design e per privacy by default contemplati all’art. 25 del GDPR, “avrebbe potuto impedire (o limitare) i predetti accessi non autorizzati ai dossier sanitari aziendali oggetto delle citate comunicazioni di violazioni effettuate dall’Azienda”.

Le violazioni poste in essere dall’ospedale hanno determinato un trattamento illecito di dati personali, per il quale il Garante ha deciso di applicare una sanzione per un importo pari a 30 mila euro.

Ai fini del contenimento dell’ammontare della sanzione è stato valutato positivamente che:

i. sia stata la stessa Azienda sanitaria a comunicare al Garante gli accessi illegittimi ai dossier sanitari aziendali;
ii. gli accessi sono stati individuati dall’Azienda nell’ambito dei controlli periodicamente effettuati dalla stessa;
iii. l’Azienda abbia spontaneamente avviato una revisione delle specifiche tecniche e organizzative relative all’accesso ai dossier sanitari aziendali.

Un aspetto poco chiaro del provvedimento in commento riguarda il fatto che, diversamente da quanto avvenuto con La Sapienza, il numero limitato di interessati coinvolti nei data breaches (16 in tutto) non è stato considerato ai fini di una riduzione della sanzione, sul presupposto che “analoghi accessi non autorizzati si sarebbero potuti verificare nei confronti di un numero ben maggiore di interessati”.

Una motivazione un po’ contorta e contradditoria, posto che il medesimo ragionamento poteva essere valido per il caso della Sapienza, dove il numero limitatissimo degli interessati vittime della violazione era dovuto al semplice fatto che questi erano gli unici soggetti inseriti nel sistema di gestione del Whistleblowing. Anche in tale ipotesi, in linea di principio, gli illeciti avrebbero ben potuto riguardare un numero maggiore di interessati se solo ci fossero stati più segnalanti.

Il peso dell’art. 32 GDPR e del principio di accountability nelle valutazioni del Garante

Il fondamentale principio di accountability su cui poggia la struttura del GDPR impone al titolare del trattamento di mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è posto in essere in modo conforme al Regolamento.

Ed è proprio su tale aspetto che può essere individuato il collegamento tra i due provvedimenti in commento – e, sotto certi aspetti, quelli nei confronti di ENI e TIM. Balza subito agli occhi l’estrema attenzione posta dal Garante alla verifica dell’implementazione di misure di sicurezza tecniche e organizzative adottate dal titolare del trattamento ai sensi dell’art. 32 GDPR. Sia l’Università La Sapienza che l’Azienda Ospedaliero Universitaria Integrata di Verona avevano implementato delle policy in qualche misura efficaci, grazie alle quali avevano potuto individuare le violazioni dei dati personali. Anche se in entrambi i casi sono state ritenute non adeguate al rischio.

Data la natura estremamente riservata delle informazioni violate – da un lato i dati di soggetti che si erano esposti nella segnalazione di illeciti dell’Università, dall’altro i dati “sensibili” contenuti nei dossier sanitari – avrebbero dovuto indurre i titolari del trattamento ad una maggiore attenzione nella scelta e nella verifica delle misure da implementare.

Conclusioni

Le decisioni in commento dimostrano l’inutilità di quegli strumenti di protezione dei dati personali esistenti solo sulla carta, meramente documentali.

La predisposizione degli atti indispensabili richiesti dal GDPR (registro dei trattamenti, informative, valutazioni d’impatto sulla protezione dei dati personali), la predisposizione di un set documentale di gestione della privacy (policy interne, individuazione di una governance aziendale e l’adozione di un modello organizzativo) sono prive di effetto se non sono calate nella quotidianità della gestione aziendale.

Una gestione consapevole del titolare del trattamento circa l’importanza dei dati personali trattati costituisce l’unica applicazione pratica del concetto di accountability.

Avv. Pasquale Distefano – Ughi e Nunziante Studio Legale