Il Garante ha emesso una sanzione contro una azienda sanitaria locale a seguito di due data breach causati dall’errore umani di alcuni dipendenti, censurando la violazione degli articoli 5, paragrafo 1 a) e f), 9 e 32 GDPR a causa della mancata implementazione di adeguate misure tecniche e organizzative nonché della violazione dei principi di integrità e riservatezza dei dati personaliCon un recente provvedimento, il Garante per la protezione dei dati personali ha comminato una sanzione amministrativa pari a 10.000 euro nei confronti di una azienda sanitaria locale a seguito della notifica di due distinti data breach.
In particolare, il Garante ha censurato la violazione degli articoli 5, paragrafo 1 a) e f), 9 e 32 Regolamento UE 679/2016 (“GDPR”) a causa della mancata implementazione di adeguate misure tecniche e organizzative nonché della violazione dei principi di integrità e riservatezza dei dati personali.
La sanzione del Garante per i data breach dovuti ad un errore dei dipendenti
La vicenda trae origine dall’avvenuta notifica, ai sensi dell’articolo 33 GDPR, di due distinti data breach sofferti dall’Azienda Sanitaria. Entrambe le violazioni sono state causate da un “mero errore dell’operatore incaricato” e hanno riguardato dati “sensibili” degli interessati: nel primo caso, era stata consegnata copia di una cartella clinica a un soggetto diverso dal richiedente, a seguito dell’esercizio del diritto di accesso da parte di due distinti interessati; mentre, nel secondo caso, erano stati scambiati, in fase di invio a mezzo posta, i referti medici di altri due pazienti.
In parallelo alla notifica all’Autorità, l’Azienda Sanitaria ha prontamente informato soggetti interessati, come previsto dall’art. 34 GDPR, e provveduto a ritirare la documentazione sanitaria consegnata per errore. Inoltre, in ottica cautelativa, il Titolare ha raccolto, da parte degli erronei destinatari contestualmente alla riconsegna dei documenti, specifica e mirata dichiarazione con la quale hanno escluso ulteriori operazioni di trattamento in relazione ai dati personali violati.
Durante la fase istruttoria, l’Azienda Sanitaria ha dichiarato al Garante di aver implementato una serie di ulteriori misure organizzative, anche per scongiurare futuri data breach causati da errori materiali, aventi ad oggetto:
- la formazione del personale;
- l’aggiornamento di indicazioni e istruzioni operative condivise nell’intranet aziendale; nonché
- la costituzione di un gruppo di lavoro aziendale sulla data protection costituito da uno o più rappresentanti di ogni dipartimento dell’Azienda Sanitaria.
Alla luce delle circostanze dell’accaduto e delle misure organizzative implementate, il Garante ha comunque irrogato una sanzione pecuniaria di 10.000 euro, considerando seguenti elementi attenuanti, come previsto dall’art. 83 GDPR:
- l’Azienda Sanitaria è prontamente intervenuta comunicando agli interessati il data breach che li ha coinvolti;
- il Titolare ha tempestivamente introdotto soluzioni correttive volte a ridurre al minimo l’errore umano e dunque la replicabilità degli stessi eventi occorsi; e
- l’Azienda Sanitaria ha dimostrato un elevato grado di cooperazione con il Garante per porre rimedio alle violazioni e attenuarne i possibili effetti negativi.
Tuttavia, considerati gli elementi che precedono, l’Azienda Sanitaria non aveva comunque implementato misure tecniche e organizzative sufficienti per garantire un livello di sicurezza adeguato al rischio per gli interessati, comportando anche una violazione del principio di integrità e confidenzialità da parte del Titolare in relazione ai due data breach sofferti. Inoltre, il Titolare era già stato ammonito dall’Autorità a seguito di un’altra violazione di dati personali.
Quali lezioni emergono per le aziende nella gestione di data breach ai sensi del GDPR
Nonostante il Garante non abbia irrogato una sanzione pecuniaria elevatissima, il presente provvedimento è comunque rilevante per le aziende a cui si applica il GDPR, in relazione alle conseguenze della violazione di dati personali. Infatti, ricordiamo che, in ottica di accountability, è necessario che le aziende si dotino dei presidi necessari per garantire che il trattamento dati personali avvenga in sicurezza, specialmente nel caso di dati “sensibili”, attraverso l’implementazione di misure adeguate.
In particolare, ricordiamo di:
- predisporre e aggiornare periodicamente le policy interne per la gestione di data breach;
- fornire l’autorizzazione al trattamento e idonee istruzioni al proprio personale;
- formare e sensibilizzare adeguatamente il proprio staff attraverso apposite sessioni di training.
In altre parole, prevenire è meglio che curare, anche secondo le Guidelines 01/2021 on Examples regarding Personal Data Breach Notification dello European Data Protection Board (“Little can be undertaken by the controller after [the mispostal] happened, so prevention is even more important in these cases than in other breach types.”).
Sul tema data breach, potrebbero interessarvi i seguenti contenuti “Con Matteo Flora sulla comunicazione di un ransomware – 3 cose da NON FARE e 3 cose DA FARE”, “Obblighi privacy di un attacco ransomware spiegati con il legal design” e “Un data breach da cyberattacco ransomware in Italia: come gestirlo ai sensi del GDPR?”.
Autore: Giorgia Carneri
