[:it]Con il Provvedimento n. 174 del 1° ottobre 2020 (doc. web n. 9469345), il Garante della Protezione Dati Personali, ha sanzionato per 20 mila euro un policlinico per aver violato la riservatezza dei referti on line di alcuni utenti.
Da quanto emerso nella fase istruttoria, infatti, pare che 39 pazienti del policlinico, mentre consultavano le proprie radiografie collegandosi con lo smartphone attraverso le loro credenziali, abbiano potuto avere accesso all’elenco alfabetico di 74 altri assistiti, visualizzando così i loro referti radiologici e l’elenco degli esami.
In particolare l’utente faceva accesso al servizio denominato “My-Hospital“, utilizzando un browser da smartphone, tramite username e password. Poi, inserendo il codice segreto faceva accesso alla sezione relativa al download dei documenti dove poteva visualizzare l’elenco di eventuali referti prodotti negli ultimi 45 giorni. Nel caso il referto fosse legato ad immagini l’utente selezionava il pulsante “guarda immagini” e visualizzava correttamente le immagini relativamente all’episodio clinico selezionato. Qualora l’utente, giunto a questo punto, invece di uscire, avesse selezionato il pulsante “indietro”, avrebbe visto sul portale MyVue – come dovuto e atteso – il proprio nominativo dal quale sarebbe stato nuovamente possibile accedere alle proprie immagini. Tuttavia, se a questo punto l’utente avesse selezionato nuovamente il pulsante “indietro”, avrebbe visto sul portale MyVue l’elenco ordinato alfabeticamente di tutti gli utenti, dal quale avrebbe potuto selezionare un nominativo diverso dal suo e quindi visualizzarne l’elenco degli esami e le relative immagini, cosa che nel corso degli anni è avvenuta in 39 casi.
Lo stesso iter fatto da browser desktop non evidenziava tuttavia alcuna anomalia.
Il Policlinico ha poi precisato che 25 dei predetti accessi sono stati effettuati nel “periodo compreso tra il 25 maggio 2018 e il 4 agosto 2019.
Venuto a conoscenza della violazione dei dati a seguito di una segnalazione, il policlinico aveva interrotto la procedura di consultazione dei referti online, corretto il bug, onde evitare futuri accessi non autorizzati ai dati dei pazienti e segnalato l’incidente al fornitore del sistema. Aveva poi, come previsto dal Regolamento Ue, notificato il data breach al Garante ai sensi dell’art. 33, spiegando che la causa della violazione era da attribuire ad un errore umano nell’integrazione di due sistemi informatici. La struttura ospedaliera aveva specificato di non aver ricevuto reclami o richieste di risarcimento dei danni in merito.
Il Garante, alla luce dell’illecita comunicazione di dati sanitari causata dall’errore informatico, ha applicato una sanzione di 20 mila euro, tenendo conto dell’elevato livello di cooperazione dimostrato dal policlinico e della tempestiva risoluzione del problema.
In particolare il Garante ha precisato nel Provvedimento in commento che la sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 85, par. 2, del Regolamento in relazione ai quali ha osservato, tra l’altro, che:
a) l’Autorità ha preso conoscenza dell’evento a seguito della notifica di violazione dei dati personali effettuata dallo stesso titolare e non sono pervenuti reclami o segnalazioni al Garante sull’accaduto (art. 83, par. 2, lett. a) e h) del Regolamento);
b) l’assenza di elementi di volontarietà da parte del policlinico nella causazione dell’evento (art. 83, par. 2, lett. b) del Regolamento);
c) l’immediata presa in carico della problematica a cui è seguita l’individuazione di soluzioni correttive e risolutive (art. 5, par. 2 e art. 83, par. 2, lett. c) e d) del Regolamento);
d) il titolare ha fin da subito dimostrato un elevato grado di cooperazione (art. 83, par. 2, lett. c), d) e f) del Regolamento).
Il Garante dimostra quindi grande sensibilità nei confronti di quei soggetti che, in presenza di un trattamento illecito conseguente ad un data leak come nel caso di specie, segnalino prontamente il leak, dimostrando di cooperare immediatamente con il Garante proponendo soluzioni correttive e risolutive.
La sanzione così strutturata ritengo sia assolutamente in linea con lo spirito del GDPR. Le sanzioni non devono essere viste come uno strumento per mettere in difficoltà aziende e consulenti, ma una extrema ratio che abbia una funzione effettiva, proporzionata e dissuasiva e che spinga sia le aziende private che gli enti pubblici ad agire con correttezza e trasparenza e sopratutto cooperando con il Garante in maniera risolutiva.
Non sono certo che l’INPS abbia avuto la stessa attenzione del policlinico.[:]