Sanzioni privacy, il provvedimento del Garante portoghese (CNPD). Quali le violazioni oggetto del provvedimento?

Deliberazione CNPD 984/2018 – procedimento 9932/2018

Negli ultimi giorni abbiamo dato notizia delle prime sanzioni erogate in applicazione del Reg. 679/2016 in materia di trattamento dei dai personali, ormai a pieno regime da oltre sei mesi.

Certamente il provvedimento al momento più interessante è quello adottato dall’Autorità garante portoghese, sia per l’importo della sanzione (€ 400.000) sia per la tipologia di violazioni e di dati coinvolti.

Ottenuta pertanto dall’Autorità portoghese la copia del provvedimento, analizziamo brevemente quali violazioni del trattamento sono state rilevate e sanzionate.

Il primo dato da sottolineare è che il Titolare del trattamento sanzionato è un centro ospedaliero, Centro Hospitalar Barreiro Montijo, e che i trattamenti contestati riguardano dati sanitari dei pazienti, quindi dati particolari ai sensi dell’art. 9 del Reg. 679/2016.

Nell’ambito dell’ispezione eseguita dall’Autorità garante relativamente al sistema informativo e di gestione dell’ospedale, veniva constatata

• la totale mancanza di un qualsiasi documento/procedura dove fosse prevista la corrispondenza o i criteri per stabilire tale corrispondenza tra le competenze funzionali degli utenti del sistema informatico e i relativi profili di accesso;
• la totale mancanza anche di un documento/procedura dove fossero stabilite le regole per la creazione degli account degli utenti del sistema informatico dell’ospedale;
• il non corretto utilizzo dei profili e dei codici di accesso previsti nei sistemi gestionali utilizzati dall’ospedale. In particolare l’ospedale utilizza due sistemi gestionali messi a disposizione dal Ministero della Salute portoghese, uno (SONHO) per la gestione amministrativa dell’ospedale, l’altro (SClinico) dove vengono registrate le informazioni cliniche dei pazienti.

L’applicazione SONHO prevede la creazione di account personali degli utilizzatori, con l’associazione di codici preimpostati per cui a ciascun codice corrispondono diversi profili di accesso ai dati. Nella gestione ordinaria dell’ospedale alcuni degli utenti “tecnici” avevano associato anche il codice riservato ai medici, di fatto accedendo all’intero fascicolo clinico dei pazienti;

• al momento dell’ispezione risultavano quasi 1000 utenti cui era associato il profilo di accesso ai dati riservato ai medici, a fronte di un numero di medici in servizio effettivo di 296; l’Autorità riscontrava l’esistenza di molti profili di fatto inattivi collegati a utenti che avevano operato nell’ospedale in forza di contratti a termine, mai disabilitati.

L’Autorità garante alla luce delle rilevanze di fatto ha quindi contestato

• la violazione del principio di minimizzazione, a causa dell’accesso indiscriminato ai dati personali e particolari dei pazienti anche da parte di soggetti che non avrebbero avuto alcuna necessità di accesso al fine di svolgere i propri compiti professionali;
• la violazione dei principi di integrità e riservatezza a causa della mancata adozione di misure tecniche e soprattutto organizzative volte ad impedire l’accesso indiscriminato ai dati;
• la mancata adozione da parte del Titolare del trattamento di misure tecniche ed organizzative adeguate al rischio nonché di procedure idonee a garantire un monitoraggio costante del sistema di trattamento dei dati.

Interessanti anche i criteri adottati dal CNPD per stabilire l’ammontare della sanzione; l’Autorità ai sensi dell’art. 83 del Reg. 679/2016 ha tenuto conto

• della tipologia di dati coinvolti, della durata nel tempo della violazione, del numero di interessati coinvolti e della gravità dei danni dagli stessi subiti;
• della negligenza nell’adozione delle misure organizzative e tecniche da parte dell’Ospedale, che per l’Autorità sfociano nel dolo eventuale nel momento in cui il Titolare ha permesso coscientemente l’associazione di profili di accesso al sistema informativo con profili operativi/funzionali non corrispondenti;
• è stato invece valutato positivamente l’atteggiamento collaborativo del Titolare volto ad attenuare le conseguenze negative delle violazioni.

Dalla lettura del provvedimento emerge chiaramente che la maggior parte delle violazioni contestate riguardano la mancata adozione di misure organizzative pur a fronte dell’utilizzo di mezzi tecnici (i sistemi gestionali messi a disposizione dal Ministero della Salute) che di per sé permettono una corretta profilazione degli utenti e quindi una limitazione degli accessi ai dati.

Sulle misure tecniche ed organizzative da porre in essere per non violare il GDPR si rimanda al nostro precedente approfondimento.