Garante per la protezione dei dati personali: Ordinanza ingiunzione n. 174 del 1 ottobre 2020

https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9469345#

 
Il fatto
L’Università campus biomedico di Roma ha notificato al Garante per la protezione dei dati personali un data breach verificatosi nel sistema informatico utilizzato dal campus per permettere ai propri pazienti la visione on-line dei referti medici.
In particolare, il campus universitario ha evidenziato al Garante di aver avuto cognizione del fatto che, per un lasso di tempo che va dal 2016 al 2018, gli utenti che utilizzavano l’applicazione informatica per accedere al servizio di consultazione on-line dei referti, hanno potuto visualizzare delle immagini radiologiche e dei referti clinici relativi ad altri utenti del sistema. Infatti, a causa di una problematica di carattere tecnico informatica, gli utenti che accedevano al servizio di consultazione on line, dopo aver visualizzato le immagini e i referti relativi alla propria posizione, cliccando per due volte il tasto indietro del browser dell’applicazione potevano visualizzare l’elenco di tutti gli altri utenti, inseriti all’interno del sistema informatico, e quindi potevano accedere alle relative cartelle e ai dati sanitari ivi contenuti. Il campus universitario ha, infine, evidenziato nella notifica al Garante che, nel caso di specie, sono state consultate le cartelle contenenti immagini radiologiche e i referti clinici di 74 utenti diversi rispetto a quelli che hanno compiuto l’accesso al sistema.
Per giustificare la propria posizione, il campus universitario ha poi aggiunto al Garante che i soggetti che hanno potuto prendere visione dei dati relativi alla salute altrui sono stati circa 39, anch’essi pazienti e pertanto non aventi alcun interesse a divulgare le informazioni altrui acquisite dalla consultazione e che, comunque, nonostante i 74 accessi illegittimi, in nessun caso, tali soggetti che hanno avuto accesso ai dati altrui hanno mai effettuato il download dei dati sanitari visualizzati. Infine, il campus universitario ha aggiunto che, dopo essersi accorto della problematica, ha immediatamente interrotto il servizio di pubblicazione delle immagini e dei referti on-line e ha segnalato l’accaduto alla società che forniva il sistema informatico, la quale ultima, dopo aver individuato le cause del problema, ha immediatamente apportato i correttivi dovuti, impedendo l’ulteriore visualizzazione dei referti.
Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali
Monica Mandico, 2019, Maggioli Editore
Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad…

32,00 € 30,40 € Acquista

su www.maggiolieditore.it

La decisione del Garante
Ricevuta la segnalazione da parte del campus universitario, il Garante per la protezione dei dati personali ha avviato il procedimento nei suoi confronti per l’adozione dei provvedimenti sanzionatori per violazione della normativa in materia di privacy.
Preliminarmente, il Garante ha evidenziato come ai fatti oggetto di esame si applichi la normativa introdotta dal regolamento europeo per la protezione dei dati personali (GDPR), nonostante la condotta posta in essere dal campus universitario sia iniziata prima della pubblicazione del Regolamento stesso. Infatti, secondo il Garante, ai fini dell’individuazione della normativa applicabile, bisogna considerare la natura permanente della condotta posta in essere dal titolare del trattamento e pertanto il momento rilevante a tali fini è quello in cui è cessata la condotta illecita posta in essere dal titolare del trattamento. Ebbene, nel caso di specie, secondo il Garante, la condotta si è protratta fino all’agosto del 2019 e pertanto in un momento in cui il regolamento europeo era già pienamente applicabile.
Ciò premesso, il garante è passato ad esaminare la illiceità della condotta posta in essere dal campus universitario.
In primo luogo, il Garante ha evidenziato come la condotta posta in essere dal titolare del trattamento, sostanziatasi nel permettere, agli utenti dell’applicazione utilizzata per la consultazione on-line dei referti, l’accesso ai dati relativi alla salute di ben 74 utenti diversi, sostanzia una comunicazione di categorie particolari di dati degli interessati a soggetti terzi in assenza di un idoneo presupposto giuridico. Pertanto, detta comunicazione può ritenersi illegittima in quanto viola i principi di base del trattamento dati previsti dal Regolamento europeo e cioè quelli di liceità, correttezza e trasparenza nonché di integrità e riservatezza del trattamento.
In secondo luogo, il garante ha rilevato come il Regolamento europeo escluda in generale la possibilità che il titolare del trattamento compia operazioni di trattamento di dati personali appartenenti alle categorie particolari, come quelli relativi allo stato di salute dell’interessato, e come, tuttavia, lo stesso Regolamento ammetta la possibilità di effettuare il trattamento, in deroga al divieto suddetto, qualora ciò sia necessario per finalità di diagnosi e lo stesso sia effettuato sulla base del diritto dell’unione o di uno Stato membro. Ebbene, secondo il Garante, il caso di specie rientra proprio in tale deroga, in quanto trattasi di dati trattati per finalità di diagnosi e sulla base di una norma di diritto. Tuttavia, la problematica di carattere informatico verificatasi dal 2016 al 2019, che ha permesso agli altri utenti di poter consultare i referti di altri utenti contenenti dati relativi alla salute, sostanzia un accesso non autorizzato ai dati e quindi un trattamento illecito.
Infine, il garante ha concluso il procedimento, individuando le sanzioni da applicare al campus universitario.
A tal proposito, in primo luogo ha rilevato che non ricorrono i presupposti per adottare delle misure correttive della violazione, in considerazione del fatto che la condotta illecita ha esaurito i suoi effetti visto che il titolare ha emendato l’errore informatico che aveva determinato il data brach.
In secondo luogo, il garante ha ritenuto di applicare la sanzione amministrativa pecuniaria a carico del campus universitario, determinandola quantitativamente in base ai principi di effettività, proporzionalità e dissuasività previsti dal Regolamento europeo. A tal fine, il garante ha osservato che, nonostante la violazione abbia riguardato numerosi interessati e abbia avuto ad oggetto dati relativi alla salute, è stato lo stesso titolare del trattamento a segnalare al garante la violazione oggetto di esame ed inoltre non vi è stata alcuna volontarietà nella commissione dell’illecito da parte di quest’ultimo, il quale si è anzi immediatamente attivato per correggere la problematica tecnica ed evitare nuove perdite di dati, collaborando in maniera attiva con il Garante durante tutta la fase procedimentale. In considerazione di tutto quanto sopra, il garante ha ritenuto di applicare al campus universitario la sanzione pecuniaria di €. 20.000, oltre alla pubblicazione del provvedimento sul sito internet del garante stesso.
Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali
Monica Mandico, 2019, Maggioli Editore
Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad…

32,00 € 30,40 € Acquista

su www.maggiolieditore.it

Diventa autore di Diritto.it
Scopri di più!

Ti potrebbe interessare anche

Il parere del Garante sul provvedimento del Direttore dell’Agenzia delle Entrate in tema di disciplina relativa ai sistemi di biglietterie automatizzate

di Muia’ Pier Paolo
23 luglio 2019

Le prescrizioni del Garante privacy relative al trattamento di dati personali effettuato per scopi di ricerca scientifica

di Muia’ Pier Paolo
12 settembre 2019

Il periodo di conservazione dei dati personali deve essere commisurato alla finalità perseguita con il trattamento

di Muia’ Pier Paolo
28 maggio 2020

Le prescrizioni del Garante privacy relative al trattamento di particolari categorie di dati da parte degli organismi di tipo associativo, delle fondazioni, delle chiese e associazioni o comunità religiose

di Muia’ Pier Paolo
13 settembre 2019

The post Il garante sanziona una struttura sanitaria per violazione della normativa privacy perché il software usato per la consultazione online dei referti ha permesso agli utenti di visualizzare i referti di altri pazienti appeared first on Diritto.it.
Source: Diritto.it

 
Garante per la protezione dei dati personali: Ordinanza ingiunzione n. 174 del 1 ottobre 2020

https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9469345#

 
Il fatto
L’Università campus biomedico di Roma ha notificato al Garante per la protezione dei dati personali un data breach verificatosi nel sistema informatico utilizzato dal campus per permettere ai propri pazienti la visione on-line dei referti medici.
In particolare, il campus universitario ha evidenziato al Garante di aver avuto cognizione del fatto che, per un lasso di tempo che va dal 2016 al 2018, gli utenti che utilizzavano l’applicazione informatica per accedere al servizio di consultazione on-line dei referti, hanno potuto visualizzare delle immagini radiologiche e dei referti clinici relativi ad altri utenti del sistema. Infatti, a causa di una problematica di carattere tecnico informatica, gli utenti che accedevano al servizio di consultazione on line, dopo aver visualizzato le immagini e i referti relativi alla propria posizione, cliccando per due volte il tasto indietro del browser dell’applicazione potevano visualizzare l’elenco di tutti gli altri utenti, inseriti all’interno del sistema informatico, e quindi potevano accedere alle relative cartelle e ai dati sanitari ivi contenuti. Il campus universitario ha, infine, evidenziato nella notifica al Garante che, nel caso di specie, sono state consultate le cartelle contenenti immagini radiologiche e i referti clinici di 74 utenti diversi rispetto a quelli che hanno compiuto l’accesso al sistema.
Per giustificare la propria posizione, il campus universitario ha poi aggiunto al Garante che i soggetti che hanno potuto prendere visione dei dati relativi alla salute altrui sono stati circa 39, anch’essi pazienti e pertanto non aventi alcun interesse a divulgare le informazioni altrui acquisite dalla consultazione e che, comunque, nonostante i 74 accessi illegittimi, in nessun caso, tali soggetti che hanno avuto accesso ai dati altrui hanno mai effettuato il download dei dati sanitari visualizzati. Infine, il campus universitario ha aggiunto che, dopo essersi accorto della problematica, ha immediatamente interrotto il servizio di pubblicazione delle immagini e dei referti on-line e ha segnalato l’accaduto alla società che forniva il sistema informatico, la quale ultima, dopo aver individuato le cause del problema, ha immediatamente apportato i correttivi dovuti, impedendo l’ulteriore visualizzazione dei referti.
Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali
Monica Mandico, 2019, Maggioli Editore
Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad…

32,00 € 30,40 € Acquista

su www.maggiolieditore.it

La decisione del Garante
Ricevuta la segnalazione da parte del campus universitario, il Garante per la protezione dei dati personali ha avviato il procedimento nei suoi confronti per l’adozione dei provvedimenti sanzionatori per violazione della normativa in materia di privacy.
Preliminarmente, il Garante ha evidenziato come ai fatti oggetto di esame si applichi la normativa introdotta dal regolamento europeo per la protezione dei dati personali (GDPR), nonostante la condotta posta in essere dal campus universitario sia iniziata prima della pubblicazione del Regolamento stesso. Infatti, secondo il Garante, ai fini dell’individuazione della normativa applicabile, bisogna considerare la natura permanente della condotta posta in essere dal titolare del trattamento e pertanto il momento rilevante a tali fini è quello in cui è cessata la condotta illecita posta in essere dal titolare del trattamento. Ebbene, nel caso di specie, secondo il Garante, la condotta si è protratta fino all’agosto del 2019 e pertanto in un momento in cui il regolamento europeo era già pienamente applicabile.
Ciò premesso, il garante è passato ad esaminare la illiceità della condotta posta in essere dal campus universitario.
In primo luogo, il Garante ha evidenziato come la condotta posta in essere dal titolare del trattamento, sostanziatasi nel permettere, agli utenti dell’applicazione utilizzata per la consultazione on-line dei referti, l’accesso ai dati relativi alla salute di ben 74 utenti diversi, sostanzia una comunicazione di categorie particolari di dati degli interessati a soggetti terzi in assenza di un idoneo presupposto giuridico. Pertanto, detta comunicazione può ritenersi illegittima in quanto viola i principi di base del trattamento dati previsti dal Regolamento europeo e cioè quelli di liceità, correttezza e trasparenza nonché di integrità e riservatezza del trattamento.
In secondo luogo, il garante ha rilevato come il Regolamento europeo escluda in generale la possibilità che il titolare del trattamento compia operazioni di trattamento di dati personali appartenenti alle categorie particolari, come quelli relativi allo stato di salute dell’interessato, e come, tuttavia, lo stesso Regolamento ammetta la possibilità di effettuare il trattamento, in deroga al divieto suddetto, qualora ciò sia necessario per finalità di diagnosi e lo stesso sia effettuato sulla base del diritto dell’unione o di uno Stato membro. Ebbene, secondo il Garante, il caso di specie rientra proprio in tale deroga, in quanto trattasi di dati trattati per finalità di diagnosi e sulla base di una norma di diritto. Tuttavia, la problematica di carattere informatico verificatasi dal 2016 al 2019, che ha permesso agli altri utenti di poter consultare i referti di altri utenti contenenti dati relativi alla salute, sostanzia un accesso non autorizzato ai dati e quindi un trattamento illecito.
Infine, il garante ha concluso il procedimento, individuando le sanzioni da applicare al campus universitario.
A tal proposito, in primo luogo ha rilevato che non ricorrono i presupposti per adottare delle misure correttive della violazione, in considerazione del fatto che la condotta illecita ha esaurito i suoi effetti visto che il titolare ha emendato l’errore informatico che aveva determinato il data brach.
In secondo luogo, il garante ha ritenuto di applicare la sanzione amministrativa pecuniaria a carico del campus universitario, determinandola quantitativamente in base ai principi di effettività, proporzionalità e dissuasività previsti dal Regolamento europeo. A tal fine, il garante ha osservato che, nonostante la violazione abbia riguardato numerosi interessati e abbia avuto ad oggetto dati relativi alla salute, è stato lo stesso titolare del trattamento a segnalare al garante la violazione oggetto di esame ed inoltre non vi è stata alcuna volontarietà nella commissione dell’illecito da parte di quest’ultimo, il quale si è anzi immediatamente attivato per correggere la problematica tecnica ed evitare nuove perdite di dati, collaborando in maniera attiva con il Garante durante tutta la fase procedimentale. In considerazione di tutto quanto sopra, il garante ha ritenuto di applicare al campus universitario la sanzione pecuniaria di €. 20.000, oltre alla pubblicazione del provvedimento sul sito internet del garante stesso.
Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali
Monica Mandico, 2019, Maggioli Editore
Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad…

32,00 € 30,40 € Acquista

su www.maggiolieditore.it

Diventa autore di Diritto.it
Scopri di più!

Ti potrebbe interessare anche

La tutela dei dati “sensibili” prevale sull’esigenza di trasparenza amministrativa

di Muia’ Pier Paolo
7 ottobre 2019

E’ legittimo l’uso dei dati relativi alle operazioni finanziarie compiute dai clienti degli operatori finanziari, per selezionare i contribuenti da sottoporre ad un’analisi del rischio di evasione fiscale.

di Muia’ Pier Paolo
6 giugno 2019

Uber:il Garante privacy si pronuncia sui trattamenti dati

di Muia’ Pier Paolo
21 gennaio 2019

I tanti volti della e-health

di Giulia De Paolis
10 luglio 2020

The post Il garante sanziona una struttura sanitaria per violazione della normativa privacy perché il software usato per la consultazione online dei referti ha permesso agli utenti di visualizzare i referti di altri pazienti appeared first on Diritto.it.
Source: Diritto.it