g-docweb-display Portlet

Provvedimento del 9 luglio 2020 [9446166]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9446166]

Provvedimento del 9 lugio 2020

Registro dei provvedimenti
n. 142 del 9 luglio 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il dott. Antonello Soro, presidente, la dott.ssa Giovanna Bianchi Clerici e la prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore la prof.ssa Licia Califano;

PREMESSO

1. Introduzione

In data 11 agosto 2018, la Società Megacom di Roberto Cardone, con sede in Viale Stazione 103/111 – 85050 Brienza (PZ) (di seguito la “Società”) dava riscontro alla richiesta di informazioni di questa Autorità, del 9 agosto 2018 (prot. n. 24157), che muoveva da una segnalazione concernente la presenza all’indirizzo web http//... (riconducibile alla società Megacom), di alcuni file contenenti dati sulla salute di pazienti che avevano effettuato prestazioni sanitarie presso strutture della Azienda Ospedaliera Regionale, San Carlo di Potenza.

In particolare, tramite il menzionato indirizzo web, risultavano accessibili, senza il superamento di alcuna procedura di autenticazione, due archivi compressi contenenti i cc.dd. “Patient CD” relativi a prestazioni sanitarie effettuate da un interessato, il 18 giugno 2015, presso la U.O. di Radiologia del presidio ospedaliero di Villa d’Agri (PZ) (v. verbale delle operazioni compiute dal Dipartimento tecnologie digitali e sicurezza informatica del Garante, in data 7 agosto 2018, agli atti del fascicolo).

Con la citata nota dell’11 agosto la Società, in persona del proprio titolare, Dott. Cardone Roberto, dichiarava: “di aver creato un contenitore su un proprio server corrispondente all’indirizzo web http... e di aver caricato dei files contenenti dati personali. Tale operazione è stata fatta a titolo di favore e del tutto gratuitamente in quanto il cliente, avendo l’esigenza di far consultare i propri dati ad uno specialista, mi ha chiesto una soluzione immediata all’invio dei dati. (... omissis…). Non mi è stato possibile inserire alcuna password di protezione per non creare difficoltà di lettura al destinatario in quanto il download doveva avvenire contestualmente. Una volta appreso che tali dati risultavano essere ancora visibili online senza alcuna protezione, ho provveduto immediatamente alla cancellazione, rimuovendo la cartella in oggetto”.

Con successive note, del 5 aprile e del 5 maggio 2019, la Società ha fornito riscontro alle ulteriori richieste di elementi dell’Ufficio (nota del 19 febbraio 2019 prot. n. 5854 e del 15 aprile 2019, prot. 12810), in ordine ai fatti oggetto della suddetta segnalazione, rappresentando in atti che:

- “l’impossibilità di individuare il soggetto indicato nella comunicazione dell’11/08/2018 [deriva dalla] mancata conoscenza diretta dello stesso”;

- il soggetto interessato alla trasmissione dei file non era un “cliente abituale della ns attività”;

- “(… omissis…) non siamo in grado di definire con certezza eventuali altri accessi in quanto i log degli accessi al nostro sito internet riporta indietro massimo di 6 mesi”;

-  “non siamo a conoscenza di alcuna causa che abbia potuto determinare l’evento segnalato all’Autorità”;

- “non essendo stato possibile risalire con precisione all’evento, il periodo di riferimento della creazione della cartella ricade presumibilmente nei giorni 22-23/06/2015”.

2. L’attività istruttoria.

Sulla base degli elementi acquisiti, l’Ufficio, con atto del 4 luglio 2019 (prot. n. 23138), con riferimento alle specifiche situazioni di illiceità in esso richiamate, ha notificato alla Società, in qualità di titolare del trattamento, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento, invitando la Società a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. n. 689 del 24 novembre 1981).

In particolare l’Ufficio, nel predetto atto, che qui deve intendersi integralmente riprodotto, ha rilevato la sussistenza di elementi idonei a configurare da parte della Società le violazioni di cui agli artt. 5, 9 e 32 del Regolamento.

La Società, per il tramite del proprio legale, con nota del 30 luglio 2019 (prot. n. 2020/0038603), ha fatto pervenire al Garante i propri scritti difensivi, rappresentando, in particolare che:

- “I soggetti chiedevano l'invio urgente ed immediato di radiografie sanitarie ad uno specialista”;

- “Sin da subito la Megacom informava gli stessi che si trattava di file di grandi dimensioni e che pertanto i normali canali di trasmissione erano impossibili”;

- “Veniva, quindi, paventato ai soggetti la possibilità di inviare detti file creando un apposito contenitore su un proprio server che consentiva la trasmissione richiesta ed inoltre si informava anche della possibilità di inserire una password per la protezione degli stessi”;

- “I soggetti prestavano il consenso a tale ipotesi e di guisa la Megacom creava l'indirizzo web http:..., ma non all'inserimento della password.”;

- “(…) i dati venivano messi in rete dalla Megacom, previo consenso orale, nel periodo compreso tra il 22-23 giugno 2015.

Da ciò, si può desumere che al caso di specie non è possibile applicare la normativa sanzionatoria entrata in vigore in data successiva e prevista nell'attuale Regolamento del 10.08.2018 n. 101 ed entrata in vigore in data 04.09.2018. Pertanto, seppur paventatesi l'ipotesi di una violazione dei dati relativi alla salute va da sé che occorre imprescindibilmente per il divieto di irretroattività della legge solo ed esclusivamente la normativa in essere al momento della relativa violazione”;

- “si deve far rilevare che l'art. 9 del Regolamento, al comma n. 2 statuisce espressamente i casi in cui non si concretizza la violazione, ed in particolare alla lettera a) si afferma che si ha l'esclusione allorché l'interessato presta il proprio consenso esplicito al trattamento dei dati personali per uno o più finalità specifiche”;

- “nel caso che ci occupa i soggetti erano stati preventivamente informati della tipologia di trasmissione che si andava a generare e data la necessità e l'urgenza dell'inoltro acconsentivano espressamente e liberamente all'indirizzo web su cui sarebbero transitati i dati. Pertanto, nessuna violazione nella trasmissione dei dati personali si può configurare proprio in considerazione del consenso orale prestato”.

In data 13 novembre 2019, si svolgeva l’audizione richiesta dal titolare del trattamento presso gli Uffici del Garante, nel corso della quale è stato ulteriormente rappresentato che “Ad integrazione di quanto già in atti, si precisa che la messa a disposizione dei dati a mezzo dell'indirizzo IP XX, per consentirne la visualizzazione al medico specialista, è avvenuto presso la sede della Società Megacom, sita in Viale Stazione 103-111, in Brienza, previa consegna dei CD da parte dei richiedenti il trasferimento”.

L’Azienda ha quindi chiesto “sulla base di quanto sopra esposto di procedere all'archiviazione del procedimento amministrativo e, in subordine, pur senza riconoscere la fondatezza delle contestazioni, l'applicazione di una sanzione nella minore entità possibile”.

3. Esito dell’attività istruttoria.

Premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”, all’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, si osserva  che:

1. seppure la violazione è iniziata a giugno 2015, al fine della determinazione della norma applicabile, sotto il profilo temporale, deve essere richiamato in particolare il principio di legalità di cui all’art. 1, comma 2, della l. n. 689/1981, che sancisce come «Le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in esse considerati». Ciò determina l’obbligo di prendere in considerazione le disposizioni vigenti al momento della commessa violazione, che nel caso in esame – data la natura permanente dell’illecito contestato – deve essere individuato all’atto di cessazione della condotta illecita, verificatasi successivamente alla data del 25/5/2018 in cui il Regolamento è divenuto applicabile. Dagli atti dell’istruttoria è, infatti, emerso che l’illecita diffusione dei dati sulla salute è cessata il 9 agosto 2018 (data in cui la Società ha dichiarato di aver provveduto a rimuovere la cartella contenente i dati personali sulla salute accessibili all’indirizzo web  http://..., cfr. nota della Società dell’11 agosto 2018);

2. in relazione all’asserito consenso che sarebbe stato prestato, espressamente e liberamente, dai soggetti interessati -della cui manifestazione non è stata, peraltro, fornita alcuna prova- esso avrebbe riguardato il trattamento dei dati personali avente ad oggetto la rapida e urgente trasmissione della documentazione medica allo specialista di fiducia, e non, invece, la diffusione dei dati personali direttamente accessibili all’indirizzo web http://..., oggetto del presente procedimento, ciò in violazione dell’ art.  9 del Regolamento;

3. l’accessibilità, senza il superamento di alcuna procedura di autenticazione, al menzionato indirizzo web, di due archivi compressi contenenti i cc.dd. “Patient CD” relativi a prestazioni sanitarie effettuate da un interessato presso la U.O. di Radiologia del presidio ospedaliero di Villa d’Agri (PZ) e la mancata cancellazione degli stessi dopo l’avvenuta trasmissione, ha comportato altresì la violazione dell’artt. 5, lett. a) e f) del Regolamento, in base al quale i dati devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato”, “trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”, e dell’art. 32 in base al quale il titolare del trattamento è tenuto a mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice˗ gli elementi forniti dal titolare del trattamento nella memoria difensiva, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni, considerando che, la messa a disposizione, nelle modalità sopra indicate dei dati sulla salute contenuti nei cc.dd. “Patient CD” relativi a prestazioni sanitarie effettuate da un interessato presso la U.O. di Radiologia del presidio ospedaliero di Villa d’Agri (PZ), consentendo a un numero indeterminato di soggetti di venirne a conoscenza, assume il connotato della diffusione di dati sulla salute, si confermano le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dalla Società in violazione degli artt. 9 e 32 del Regolamento,  nonché dei principi applicabili al trattamento, in particolare dei principi di cui all’art. 5, par. 1, lett. a), e f), del Regolamento.

In tale quadro, considerando che la condotta ha esaurito i suoi effetti, atteso che la Società ha dichiarato che “una volta appreso che tali dati risultavano essere ancora visibili online senza alcuna protezione, h(a) provveduto immediatamente alla cancellazione, rimuovendo la cartella in oggetto” (cfr. nota del 11 agosto 2018), si ritiene di qualificare il caso come “violazione minore”, ai sensi dell’art. 83, par. 2, e del considerando 148 del Regolamento.

Infatti, va tenuto conto che:

dalle risultanze degli atti, l’episodio risulta essere stato unico e isolato, determinato da un comportamento colposo della Società;

il citato indirizzo web seppure pubblico, non risultava facilmente raggiungibile in quanto doveva essere noto l’indirizzo IP del server;

i file presenti nei cc.dd.  Patient CD erano per la maggior parte in formato “DICOM” non fruibile senza la disponibilità di un opportuno programma di visualizzazione;

non sono pervenuti reclami o ulteriori segnalazioni al Garante sull’accaduto.

Si ritiene tuttavia necessario, relativamente al caso in esame, ammonire il titolare del trattamento ai sensi degli artt. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, per la violazione degli artt.  5, par. 1, lett. a) e f), e 9 e 32 del Regolamento e che non vi siano i presupposti per l’adozione di ulteriori provvedimenti correttivi da parte dell’Autorità, ai sensi dell’art. 58, par. 2, del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019, concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi degli artt. 57, par. 1, lett. f) del Regolamento e 166 del Codice, dichiara illecita la condotta tenuta dalla Società Megacom di Roberto Cardone, con sede in Viale Stazione 103/111 – 85050 Brienza (PZ), P.I. 01104500762, descritta nei termini di cui in motivazione, e ammonisce la società medesima per la violazione degli artt. 5, par. 1, lett. a), e f), 9 e 32 del Regolamento;

b) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’Autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 9 luglio 2020

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia