Ausl sanzionata per 100.000 € per illecito trattamento di dati personali. Cosa ci insegna questo provvedimento?

Con Provvedimento n. 278 del 17 dicembre 2020, il Garante Privacy ha comminato una sanzione di € 100.000 a una Azienda USL per illecito trattamento di dati personali.

La vicenda origina dalla segnalazione di un Medico di Medicina Generale (MMG) sul modello di sanità di iniziativa intrapreso dall’AUSL prima della piena applicazione del Reg. UE 2016/679 (GDPR).

Il progetto di medicina di iniziativa prevedeva l’arruolamento da parte dei MMG dei pazienti affetti da determinate patologie croniche individuate a livello regionale al fine di proporre loro un piano di assistenza individuale. Inizialmente i medici comunicavano all’Azienda il solo numero complessivo di pazienti arruolati. A partire dal 2018, invece, essi, su indicazione dell’AUSL, hanno iniziato a compilare un file Excel contenente l’anagrafica degli assistiti e le patologie di cui i pazienti erano affetti. Il MMG salvava il file sulla sua pen-drive personale e la consegnava al medico di distretto che, a sua volta, lo inviava all’Ente di Supporto Tecnico Amministrativo Regionale (ESTAR) in file zip protetto da password.

Nel corso dell’istruttoria, il Garante ha rilevato molteplici violazioni della normativa. Vediamo quali:

Mancata adozione del registro dei trattamenti

All’atto dell’accertamento svolto dall’Autorità il 27 novembre 2018, l’Azienda sanitaria non aveva ancora adottato il registro delle attività di trattamento previsto dall’art. 30 del GDPR, pienamente applicato dal 25 maggio 2018.

Inadeguatezza dell’atto di nomina del responsabile

L’Autorità ha ritenuto inidonea la designazione di ESTAR quale Responsabile del trattamento, sia con riferimento alla normativa previgente che all’attuale GDPR. A parere del Garante, infatti, l’atto di nomina non conteneva le specifiche istruzioni che il Titolare deve fornire al Responsabile ai sensi dell’art.28.

Inadeguatezza delle misure di sicurezza

I dati personali e particolari dei pazienti non erano protetti da misure tecniche ed organizzative adeguate. Il Garante non ha infatti ritenuto idoneo il salvataggio dei dati sulla pen-drive del MMG, tantomeno il successivo invio del file in formato zip.

Incompletezza dell'informativa sul trattamento dei dati

Le informative sul trattamento dei dati non contenevano tutte le informazioni richieste dalla normativa vigente al momento dell’arruolamento e neppure di quelle richieste dal GDPR: ai pazienti non veniva fornita alcuna indicazione sui tempi di conservazione dei dati, sui diritti esercitabili nei confronti del Titolare e sulla possibilità di proporre reclamo all’Autorità Garante. Inoltre, anche le indicazioni relative alla base giuridica del trattamento svolto dall’AUSL risultavano poco chiare.   

Mancato svolgimento della valutazione d'impatto

L’Azienda non aveva provveduto a effettuare la valutazione d’impatto che, nel caso specifico, il Garante ha ritenuto obbligatoria per la natura dei dati e la numerosità dei soggetti coinvolti. Sul punto, l’AUSL ha  addotto come motivazione la circostanza che i trattamenti fossero iniziati prima della piena applicazione del GDPR. Anche in questo caso, il Garante non ha accolto positivamente le argomentazioni sui riferimenti temporali, in quanto i medesimi trattamenti si sono svolti anche successivamente all’applicazione del GDPR.

Perché questo provvedimento è importante?

Ai fini della quantificazione della sanzione, l’Autorità ha tenuto in particolare considerazione il fatto che le violazioni rilevate sono connesse a un trattamento iniziato a cavallo tra la vecchia e la nuova normativa. Ciononostante, la sanzione è di consistente entità. A nulla sono valse le difese dell’Azienda circa il successivo adeguamento alla nuova normativa, ad esempio con l’adozione del registro dei trattamenti, avvenuta nel novembre 2018. Il Garante ha infatti ribadito che il GDPR era già in vigore dal 25 maggio 2016 e che i due anni intercorsi prima della sua piena applicazione servivano ai Titolari proprio per adeguare i trattamenti di dati alla nuova normativa. 

Cosa fare, quindi?

Nel rispetto del principio di accountability, i Titolari devono valutare tutti i trattamenti di dati svolti, anche quelli avviati prima della piena applicazione del GDPR. Questo vale senza dubbio per il settore sanitario, in quanto il cambio della normativa di protezione dei dati non ha sicuramente coinciso con la modifica sostanziale delle attività svolte che, per loro natura, sono connotate dal carattere della continuità.  

Quindi, ad esempio, per tutti quei trattamenti iniziati in epoca pre-GDPR e ancora in atto, occorrerà

• verificare se sia necessario condurre una valutazione di impatto ex 35 del GDPR;
• assicurarsi che le informative sui trattamenti di dati siano state tutte aggiornate;
• che le nomine dei responsabili del trattamento siano redatte osservando i requisiti previsti dall’art. 28 GDPR;
• che il livello di protezione dei dati sia adeguato al rischio concreto e non solo rispettoso del vecchio Allegato B al “Codice privacy”.

In definitiva, occorre che tutti i Titolari prevedano un Sistema di gestione dei dati strutturato ed efficace che consenta loro di individuare le eventuali non conformità dei trattamenti di dati personali e di predisporre un immediato piano di adeguamento alla normativa.