Il Garante torna a sanzionare le pubbliche amministrazioni: dal comune di Roma alla sanità toscana

Le ultime sanzioni del 2020 del Garante privacy non sono di certo passate inosservate, soprattutto per la natura dei Titolari del trattamento coinvolti, ovvero Roma Capitale e l’Azienda Unità Sanitaria Locale Toscana Sud Est.



Chi ha avuto modo di seguire la nostra ultima diretta streaming del 26 gennaio 2021 sulle sanzioni GDPR sarà certamente stato colpito dall’incremento del numero di sanzioni irrogate dalla nostra Autorità garante dal 2° semestre 2019 al 2° semestre 2020.

Proprio le ultime sanzioni del 2020 del Garante privacy non sono di certo passate inosservate, soprattutto per la natura dei Titolari del trattamento coinvolti, ovvero Roma Capitale e l’Azienda Unità Sanitaria Locale Toscana Sud Est.

Indice:

Il provvedimento del Garante sul sistema “TuPassi” di Roma Capitale

Fin dal 2015, presso tutti i Municipi del Comune di Roma e alcune strutture centrali, è stato reso disponibile il sistema “TuPassi” che consente agli utenti di prenotare servizi di sportello o fissare appuntamenti utilizzando diversi canali, tra cui l’app e il sito web dedicato.

Nel marzo del 2019 il Garante ha rilevato diversi profili di illiceità nel trattamento effettuato, ordinando al Titolare di adottare adeguate azioni correttive.

Tramite il sistema utilizzato non solo venivano trattati i dati degli utenti (sia in occasione della registrazione dell’account, sia nelle varie fasi di gestione dell’appuntamento), ma anche quelli degli operatori delineando così un profilo di controllo a distanza dei lavoratori.

Il sistema “TuPassi” non risultava inoltre progettato nel rispetto del principio della privacy by design, in quanto non era possibile impostare dei tempi di conservazione diversificati per ciascuna tipologia di dato e in relazione alle finalità concretamente perseguite.

Anche sotto il profilo delle misure di sicurezza sono state ravvisate molte lacune relative alla gestione delle utenze degli amministratori di sistema e alla sicurezza delle comunicazioni. Non da ultimo è stata rilevata l’assenza di un’idonea informativa, sia per gli utenti che per gli operatori/dipendenti, e la mancata nomina a responsabile del trattamento dei dati per il fornitore e manutentore del sistema stesso.

L’Ordinanza ingiunzione e la sanzione a Roma Capitale

Il 17 dicembre 2020, nonostante l’Autorità avesse valutato l’impegno dell’ente nell’aver provveduto a nominare il fornitore responsabile del trattamento, ad integrare l’informativa, ad individuare dei tempi di conservazione dei dati e ad intraprendere tutte le azioni necessarie per porre rimedio alle lacune di sicurezza informatica rilevate, ha deciso di sanzionare Roma Capitale per un ammontare di 500.000 euro.

Il valore della sanzione è stato determinato tenendo conto anche dell’ingente numero di interessati (utenti e dipendenti) che hanno utilizzato nel tempo il sistema “TuPassi” e la durata del complessivo trattamento, iniziato nel 2015.  È stata inoltre riscontrata una difficoltà nel cooperare in maniera efficace con il Data Protection Officer dell’ente.

La sanzione di 100.000 euro all’Azienda Sanitaria Toscana

Il 17 dicembre del 2020 è stata una giornata complicata anche per l’Azienda Unità Sanitaria Locale Toscana Sud Est sanzionata dall’Autorità garante per un ammontare di 100.000 euro.

In questo caso l’attività ispettiva è scaturita dalla segnalazione di un medico coinvolto nel trattamento posto in essere nell’ambito della cosiddetta “sanità di iniziativa”, un progetto assistenziale seguito in tutta la regione Toscana a partire dal 2017.

Nel caso di specie era stata evidenziata la presenza di un sistema complesso che aveva ad oggetto uno scambio di dati personali, anche di natura particolare, riferiti a pazienti con malattie croniche. I medici coinvolti comunicavano i dati dei pazienti ad altri professionisti tramite chiavette USB di loro proprietà, vi erano poi dei successivi invii dei dati tramite posta elettronica, fino ad arrivare all’Ente di Supporto Tecnico Amministrativo Regionale (ESTAR) nominato responsabile del trattamento dall’Azienda sanitaria. L’ESTAR, dopo aver ricevuto i vari file Excel dai medici referenti, provvedeva a consolidare tali informazioni e ad inserirle in un data warehouse aziendale a cui potevano accedere i dipendenti dell’Azienda autorizzati.

L’Autorità ha rilevato diversi profili di illiceità contestando principalmente:

  • l’assenza di una Valutazione d’Impatto (DPIA);
  • la mancata definizione del periodo di conservazione dei dati raccolti;
  • la mancata presenza del registro dei trattamenti;
  • l’inadeguatezza della nomina a responsabile per ESTAR;
  • la presenza di un’informativa inidonea;
  • la mancata adozione da parte dell’Azienda di misure tecniche e organizzative adeguate per garantire un livello di sicurezza proporzionato al rischio (es. pseudonimizzazione, cifratura dei dati personali).

L’effettuazione di scambi di dati di natura particolare tramite file Excel e supporti rimovibili tra soggetti diversi è stata considerata una modalità non in grado di garantire la sicurezza del trattamento.

Nonostante nel 2019 l’Azienda avesse dichiarato di aver avviato tutte le attività necessarie per porre rimedio alle criticità rilevate e, in particolare, di stare implementando un nuovo sistema di comunicazione dei dati in forma aggregata ed anonima, è stata sanzionata.

In tale caso il Garante ha tenuto conto della natura dei dati trattati e della numerosità dei soggetti interessati, evidenziando, tuttavia, la mancata denuncia di furti e di perdite di dati.

Conclusioni

In entrambi i casi si può affermare come l’Autorità abbia principalmente contestato, ancora una volta, l’assenza di adeguate misure di sicurezza e di sistemi in grado di garantire un trattamento rispettoso dei principi di proporzionalità e minimizzazione. È curioso, tuttavia, come nonostante nel caso di Roma Capitale non vi siano state segnalazioni e perdite di dati, l’Autorità abbia deciso di intervenire nei confronti di tale ente pubblico con maggiore severità.

Queste le sanzioni con cui si è concluso il 2020. È necessario fare tesoro delle contestazioni del Garante per continuare a lavorare sul processo di adeguamento che deve riguardare tutti i Titolari del trattamento, siano essi pubbliche amministrazioni o aziende private.

Se ti è piaciuto l'articolo condividi: