Il Garante privacy sanziona Casa di Cura per violazione degli obblighi in materia di sicurezza
Con un recente provvedimento il Garante per la Protezione dei Dati Personali (Ordinanza – Ingiunzione 2 December 2021, n. 9734884) ha sanzionato una Casa di Cura, con sede nella provincia di Varese, per avere effettuato un trattamento di dati in violazione degli obblighi in materia di sicurezza, in art. 32, by. 1, del Regolamento (EU) 2016/679 (GDPR) e dei principi di base di cui all’art. 5, by. 1, became. f) del medesimo Regolamento.
Si rammenta che l’art. 32, by. 1, del GDPR prescrive che “tenuto conto dello stato dell’arte e dei costi di attuazione, nonché del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio …”, while, secondo l’art. 5, by. 1, became. f), i dati sono “trattati in maniera da garantire un’adeguata sicurezza …, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (<integrità e riservatezza>)”.
>> Leggi l’ORDINANZA di INGIUNZIONE del Garante privacy <<
Il Caso
Nella vicenda in oggetto la Casa di Cura, quale Titolare del trattamento, notificava al Garante, pursuant to Article. 33 del Regolamento, una violazione dei dati personali “in relazione a un attacco informatico riconducibile al gruppo hacker LulzSec_ITA,” che comportava ”la pubblicazione, sul profilo Twitter del medesimo gruppo, di immagini radiologiche riconducibili alla Casa di Cura”. In particular, “un soggetto qualificatosi come hacker e denominato LulzSecITA” pubblicava sul proprio account Twitter il seguente messaggio: <Tanti soldi spesi nella sanità, e poi nostri dati privati e sensibili, sono protetti da password di default. Che schifo>”.
Dai controlli immediatamente richiesti al Responsabile del Trattamento dei dati – Amministratore di Sistema emergeva “che dalla schermata che avrebbe dovuto consentire ai soli medici .. l’accesso da remoto ad esami diagnostici, … era possibile accedere ai dati mediante password di default e non dedicate, in tal modo rendendo l’accesso ai dati non impossibile”. Anyhow, dai controlli sui file di log eseguiti risultava che erano “state visionate dall’hacker un solo fotogramma di indagine radiologica di un interessato (l’indagine completa è composta da una pluralità di immagini) e la radiografia di altro interessato, senza poter vedere in entrambi i casi alcun referto, poiché non accessibile dal web.
In ogni caso la pubblicazione su Twitter, effettuata dall’Hacker, avveniva oscurando il cognome e ogni altro dato utile all’identificazione.
Il Responsabile del trattamento, then, ammetteva l’accaduto, assumendosene la responsabilità e precisando di aver subito rimosso le cause.
Nella notifica della violazione all’Autorità di controllo, eseguita ai sensi dell’art. 33 del Regolamento, la Casa di Cura precisava, then, di non ritenere sussistenti i presupposti per la comunicazione agli interessati di cui all’art. 34, reputando le probabili conseguenze “nulle per gli interessati, in quanto l’accesso ha consentito di individuare solo nome e cognome, ma non altri dati tali da individuare il soggetto in modo univoco”. Basically, “il dato rivelato ha riguardato unicamente che un soggetto avente un certo nome e cognome ha svolto esame di diagnostica in una struttura sanitaria, senza che sia possibile l’individuazione univoca né dell’uno né dell’altro”.
Dall’istruttoria effettuata è emerso che la “installazione che consentiva al medico radiologo di visionare le immagini da refertare, permetteva l’accesso al … software … pensato per diagnosi, visualizzazione, archiviazione e trasmissione di immagini medicali fruibile mediante browser web e una password di accesso – su protocollo http (hypertext transfer protocol), ossia un protocollo di rete che non garantisce l’integrità e la riservatezza dei dati scambiati tra il browser dell’utente e il server che ospita il servizio/sito web e non consente agli utenti di verificare l’autenticità del server a cui si collegano”.
>> GUARDA l’INTERVISTA di Diritto.it all’Avv. Pier Paolo Muià su “Il trattamento dei dati sanitari” <<
La decisione del Garante
Nel provvedimento sanzionatorio, the Guarantor, “tenuto conto della natura dei dati oggetto di accesso e degli elevati rischi derivanti dalla loro possibile acquisizione da parte di terzi” ha ritenuto che “l’utilizzo del protocollo http per accedere al software … nonché l’assegnazione di un’utenza di tipo amministrativo (admin) e password non robusta (admin) al medico radiologo, non possano essere considerate misure idonee a garantire un adeguato livello di sicurezza (Articles. 5, by. 1, became. f), and 32, by. 1, became. a) del Regolamento, che individua espressamente la cifratura come una delle possibili misure di sicurezza idonee a garantire un livello di sicurezza adeguato al rischio; …)”.
Indeed, per il Garante, le misure tecniche e organizzative adottate dalla Casa di Cura, per il tramite del Responsabile del trattamento, per la gestione dell’accesso al citato software “con particolare riferimento all’utilizzo del protocollo “http” e alle modalità di assegnazione delle password utilizzate, non sono idonee a garantire un livello di sicurezza adeguato ai rischi dello specifico trattamento. Ciò ha contribuito, moreover, a creare le premesse per il verificarsi della violazione dei dati personali, oggetto di notifica, con la conseguente illecita acquisizione di dati personali, anche relativi alla salute, degli interessati”.
Però dell’incidente non può ritenersi imputabile soltanto il Responsabile del trattamento, ma anche la Casa di Cura, resasi “responsabile della mancata adozione di misure tecniche e organizzative adeguate a garantire la riservatezza e l’integrità dei dati personali trattati mediante il software …”.
Indeed, il Titolare del trattamento ha una responsabilità generale sui trattamenti posti in essere ed è tenuto a mettere in atto misure adeguate ed efficaci. Tale obbligo sussiste, altresì, “quando taluni operazioni di trattamento siano poste in essere da un Responsabile per suo conto e quanto utilizza prodotti o servizi realizzati da terzi”. La circostanza che il Responsabile del Trattamento avesse garantito che l’installazione del software “avrebbe consentito l’accesso da remoto alla diagnostica per immagini, assicurando “la piena compliance al GDPR” non esonera da responsabilità il Titolare del trattamento, che avrebbe dovuto svolgere attività di vigilanza, controllo o revisione in merito alla sicurezza dei dati trattati.
Tenuto conto che la violazione ha riguardato dati sulla salute ma non ha interessato referti, in quanto si è trattato di un solo fotogramma di indagine radiologica di un interessato e di una radiografia relativa ad altro interessato e che la pubblicazione su Twitter da parte degli hacker è avvenuta oscurando il cognome e ogni altro dato utile all’identificazione, valutati gli elementi nel loro complesso, the Guarantor, rilevata la violazione degli artt. 5 and 32 del GDPR, ha determinato, nei confronti della Casa di Cura, la sanzione pecuniaria, prevista dall’art. 83, by. 4, became. a) e par. 5, became. a) del GDPR, di euro 30.000 (trentamila).
Consigliamo il volume:
La tutela della privacy in ambito sanitario
Pier Paolo Muià, 2018,
L’opera mira a fornire agli operatori del settore sanitario, pubblico e privato, gli strumenti per comprendere in modo chiaro e semplice la copiosa normativa relativa al trattamento dei dati sanitari, in modo che gli stessi possano adempiere con tranquillità agli obblighi su di loro gravanti,…
20,00 € 19,00 €
Buy
your www.maggiolieditore.it –>
Guarda il prezzo su Amazon
Become an author of Diritto.it
Find out more!
You may also be interested
La privacy ai tempi del Covid-19: presente, annullata o mai avuta?
di Valentina Bottega
22 April 2020
Il Regolamento UE n. 679/2016 sulla protezione dei dati personali
di Cristina Fittipaldi
23 August 2021
Cookies e le nuove linee guida del garante della privacy
di Adelaide Casciato
8 October 2021
Garante privacy: ok alla linee guida Agid per l’accesso telematico ai servizi della PA
di Muia’ Pier Paolo
15 November 2021
The post Il Garante privacy sanziona Casa di Cura per violazione degli obblighi in materia di sicurezza appeared first on Diritto.it.
Source: Diritto.it