Il Garante privacy ha emesso una sanzione tramite un’ordinanza ingiunzione nei confronti di una società per trattamento illecito di dati sanitari in violazione dei principi di trasparenza, integrità e riservatezza dei dati personali.
Nel caso oggetto di analisi, il Garante privacy ha riscontrato gravi violazioni dei principi del GDPR nell’esecuzione di trattamenti piuttosto rischiosi per gli interessati, sia in virtù della natura dei dati personali trattati, che del numero considerevole di soggetti coinvolti. È dunque interessante esaminare il provvedimento sanzionatorio, per comprendere i rilievi mossi dal Garante e i criteri seguiti nella determinazione della sanzione.
Lo scenario in cui ha avuto luogo la violazione del GDPR è quello dell’emergenza sanitaria causata dalla pandemia da Covid-19 e, nello specifico, di un’iniziativa promossa dalla regione Friuli Venezia Giulia e dalla Federfarma FVG, quale associazione di categoria, a sostegno delle farmacie coinvolte in misura massiva nella gestione dell’emergenza.
Con la crescente richiesta di tamponi conseguente all’introduzione dell’obbligo di green pass per l’accesso a determinati luoghi, le farmacie avevano offerto alla Regione Friuli Venezia Giulia la propria disponibilità ad effettuare test diagnostici nell’ambito delle attività di screening volte a fronteggiare la pandemia. In tale contesto, la Federfarma FVG commissionava alla società la realizzazione di una piattaforma per gestire l’agenda delle prenotazioni dei tamponi antigenici, sia da parte delle farmacie che degli utenti, con accessi dedicati e previa designazione da parte delle farmacie aderenti all’iniziativa della società quale responsabile del trattamento di queste ultime.
Il portale realizzato in seguito dalla società risultava accessibile senza alcun meccanismo di autenticazione e per la prenotazione dei test antigenici venivano obbligatoriamente richiesti il codice fiscale, il nome e cognome, il numero di telefono e, in via opzionale, l’indirizzo email degli utenti. Inoltre, se il codice fiscale risultava già presente in archivio (in quanto relativo ad un utente che aveva già usufruito del servizio), il sistema completava in automatico le ulteriori informazioni sull’utente, rendendo in tal modo possibile ottenere i dati personali di qualunque utente con il solo codice fiscale dello stesso. A ciò si aggiunga che la funzione “annulla prenotazione”, disponibile sulla piattaforma, permetteva di visualizzare tutte le prenotazioni inserite dall’utente. Nessuna informativa sul trattamento dei dati personali era fornita attraverso il portale.
Il provvedimento offre alcuni interessanti spunti di riflessione:
- il Garante ribadisce come la nozione di “dati relativi alla salute” debba essere interpretata in senso ampio. Nonostante il portale realizzato dalla società non contenesse i risultati dei tamponi effettuati dagli interessati né altre informazioni che rivelassero direttamente il loro stato di salute, l’Autorità ha ritenuto che la violazione abbia riguardato anche dati sanitari degli interessati, essendo visibili sul portale le informazioni sulle prenotazioni dei test antigenici inserite dagli utenti. Per avvalorare la propria posizione, il Garante ha rammentato che il Considerando 35 del GDPR precisa che i dati relativi alla salute “comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria” nonché “un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco ai fini sanitari”;
- nonostante il GDPR ponga in capo al titolare del trattamento l’obbligo di fornire l’informativa privacy agli interessati nonché quello di ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti di mettere in atto misure di sicurezza adeguate, il Garante ha ritenuto che le 151 farmacie titolari del trattamento avessero un legittimo affidamento che la società avrebbe gestito conformemente al GDPR il trattamento dei dati personali degli utenti. Ciò in considerazione del fatto che (i) l’iniziativa era stata promossa dall’associazione di categoria Federfarma FVG; (ii) l’atto di nomina della società quale responsabile del trattamento prevedeva che quest’ultima si sarebbe occupata della gestione e trasmissione dei dati relativi all’effettuazione di test antigenici presso le farmacie, nonché di tutte le attività connesse e collegate, per conto delle titolari del trattamento, menzionando gli artt. da 12 a 23 del GDPR; e (iii) lo stesso atto di nomina obbligava la società a dare attuazione all’obbligo di adottare misure di sicurezza adeguate, a norma dell’art. 32 del GDPR. Quindi, quanto sopra indicato è stato ritenuto sufficiente per sanzionare il responsabile del trattamento anziché le titolari che avrebbero dovuto vigilare sul suo operato.
Il Garante ha ritenuto che la mancanza di misure di sicurezza adeguate concretasse sia la violazione dell’art. 32 del GDPR che del principio di integrità e riservatezza, sancito all’art. 5(f) del Regolamento. In questo modo è possibile alzare il massimo edittale della sanzione da 10 a 20 milioni o dal 2% al 4% del fatturato totale annuo dell’esercizio precedente. Nel caso di specie, l’importo massimo di una possibile sanzione per il trattamento illecito di dati sanitari sarebbe stato comunque quello più elevato previsto dal GDPR, poiché il Garante ha contestato anche la violazione del principio di trasparenza, ma è bene tenere a mente l’approccio adottato dall’Autorità nelle contestazioni di violazioni connesse alla mancanza di idonee misure di sicurezza. Del resto, non è la prima volta che il Garante sposa questo approccio. E’ interessante però notare quali criteri sono alla base della determinazione dell’importo della sanzione. A tal proposito, il Garante ha sottolineato che:
- il trattamento aveva riguardato dati relativi allo stato di salute di un numero elevato di interessati e si era svolto nella fase più acuta della pandemia;
- la società aveva operato in violazione dei principi di correttezza e buona fede nell’interpretare l’atto di nomina conferitole dalle farmacie;
- non risultavano precedenti violazioni della normativa privacy da parte della società, né provvedimenti a suo carico disposti a norma dell’art. 58 del GDPR;
- la società aveva collaborato pienamente con l’Autorità nel corso del procedimento; e
- erano state gradualmente ma prontamente adottate misure tecniche per migliorare la sicurezza della piattaforma, sino all’introduzione di un meccanismo di autenticazione a due fattori, in conformità con le prescrizioni dell’Autorità.
L’importo della sanzione comminata di € 10.000 per il trattamento illecito di dati sanitari risulta pari a circa l’1% del fatturato della società, dell’esercizio precedente a quello in cui il Garante ha comminato la sanzione.
Su di un simile argomento, il seguente articolo può essere di interesse “Il Garante sanziona una azienda sanitaria per informative privacy non conformi al GDPR”.