g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Promofarma Sviluppo s.r.l. - 20 ottobre 2022 [9832507]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9832507]

Ordinanza ingiunzione nei confronti di Promofarma Sviluppo s.r.l. - 20 ottobre 2022

Registro dei provvedimenti
n. 342 del 20 ottobre 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE” (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. La vicenda segnalata

La segnalazione pervenuta concerne una presunta violazione della disciplina in materia di protezione dei dati personali in riferimento al sistema di “prenotazione tamponi COVID” in farmacia tramite il portale reperibile alla pagina https://fvg.gopencare.it/gcalendar/ in uso presso talune farmacie della Regione Autonoma Friuli Venezia Giulia (nota del XX, prot. n. XX).

Secondo quanto segnalato, il predetto portale risultava liberamente accessibile senza alcun “meccanismo di autenticazione” e per la prenotazione venivano richiesti codice fiscale, cognome, nome, numero di telefono e, in via opzionale, l’indirizzo e-mail dell’utente. A tale riguardo, è stato segnalato all’Autorità che: “se il codice fiscale è già presente in archivio, il sistema completa automaticamente le informazioni rimanenti. Non essendoci un meccanismo di autenticazione, è possibile inserire un qualunque codice fiscale: se la persona è presente in archivio, i dati da questa inseriti in precedenza verranno visualizzati. In particolare, il numero di telefono, che è un dato obbligatorio”. Inoltre l’utilizzo della funzione “annulla prenotazione” avrebbe consentito di visualizzare “tutte le prenotazioni inserite, incluse quelle nel passato”.

In base alle caratteristiche sopra descritte, veniva evidenziato inoltre che il portale consentiva quindi di accedere ad informazioni, anche inerenti alle particolari categorie di dati di cui all’art. 9, par. 1 del Regolamento relative a qualsiasi soggetto del quale si conoscesse o si riuscisse a ricavare il codice fiscale.

È stato segnalato, infine, che “Il portale non fornisce alcuna informativa sul trattamento dei dati”.

2. L’attività istruttoria e procedimentale

Con riferimento alla vicenda segnalata, l’Ufficio del Garante ha avviato un’istruttoria preliminare al fine di conoscere ogni utile elemento di valutazione al riguardo e, in particolare, di verificare gli aspetti correlati all’attuazione del principio di trasparenza e dei previsti oneri informativi nei confronti degli interessati nonché alla sicurezza dei dati trattati (artt. 5, par. 1, lett. f) e 32 del Regolamento; artt. 12 e 13 del Regolamento e art. art. 17-bis, comma 5, d.l. 17 marzo 2020, n. 18, convertito con modificazioni in legge 24 aprile 2020, n. 27). 

L’Ufficio ha, in primo luogo, investito della questione la Regione Friuli Venezia Giulia (nota del XX, prot. n. XX), la quale tuttavia ha dichiarato che “il sistema citato non risulta progettato, sviluppato o gestito dalla scrivente Amministrazione e neppure dalla società Insiel S.p.A. che gestisce i sistemi informatici della stessa” (nota del XX, prot. n. XX).

L’Ufficio si è quindi rivolto alla società Profarma Sviluppo s.r.l. (di seguito anche solo “Promofarma” o “Società”), indicata a margine del link sopra richiamato come realizzatrice della piattaforma (nota del XX, prot. n. XX).

Con nota del XX la Società ha rappresentato, in particolare, che “La piattaforma https://fvg.gopencare.it/gcalendar/ è una piattaforma realizzata da Promofarma Sviluppo s.r.l.” [...] che “consente ai cittadini di poter visualizzare le farmacie (pubbliche e private) che si sono abilitate per la gestione on-line della prenotazione del test antigenico rapido per la rilevazione del Covid-19. Infatti, le farmacie che lo desiderano, possono attivare la propria agenda sulla predetta piattaforma e possono consentire all’utente di effettuare la prenotazione di questo servizio, selezionando le proprie preferenze di giorno ed orario, ed inserendo i propri dati personali (codice fiscale, nome, cognome, telefono, data di nascita, comune di nascita, sesso ed e-mail). L’applicazione permette la sola prenotazione degli appuntamenti e non consente la registrazione degli esiti”.

Originariamente, la modalità di funzionamento della piattaforma prevedeva che “dopo l’inserimento del codice fiscale da parte di utenti già censiti, cioè che avevano già utilizzato la piattaforma, la stessa permetteva automaticamente la visualizzazione di tutti i dati personali necessari alla prenotazione (ovvero, nome, cognome, data e luogo di nascita, comune di nascita, sesso, e-mail e telefono)”. A seguito della nota dell’Ufficio del Garante, la Società ha effettuato un aggiornamento del sistema tale per cui “nel caso in cui un soggetto già censito effettui una nuova richiesta di prenotazione nella piattaforma https://fvg.gopencare.it/gcalendar/, la stessa permette la visualizzazione del solo codice fiscale: questo con la finalità di evitare il reinserimento dei dati personali ad ogni prenotazione successiva alla prima”. Attualmente, pertanto “nel caso in cui si inserisca nella piattaforma il codice fiscale di un soggetto che abbia in precedenza utilizzato la piattaforma stessa, non è più possibile visualizzare dati personali già inseriti per precedenti prenotazioni”.

Sono state poi descritte le misure tecniche implementate per garantire la sicurezza dei dati trattati. A tale riguardo, è stato in particolare dichiarato che “In sintesi, i dati delle prenotazioni dei tamponi sono conservati su sistemi storage configurati in alta affidabilità all'interno dei datacenter ReeVo” e che “i dati vengono protetti dagli accessi indesiderati attraverso l'utilizzo di firewall configurati con VLAN”; e sono state inoltre descritte le misure di back up previste per assicurare la disponibilità dei dati per il tempo necessario. È stato rappresentato, infine, che: “La piattaforma https://fvg.gopencare.it/gcalendar/ è realizzata attraverso l'utilizzo di applicazioni web-based sviluppate tramite il linguaggio di programmazione Java” e che “Le web application si basano sul modello di comunicazione Secure Socket Layer (SSL)”.

Con riferimento agli oneri informativi è stato dichiarato che alla luce del “combinato disposto dei commi 1 e 5 dell’articolo 17bis, D.L. 17/03/2020 n.18” è stata ritenuta applicabile anche al servizio di prenotazione di cui trattasi la richiamata normativa, “tenuto anche conto che l’esecuzione di un tampone prevede necessariamente l’incontro fisico tra il farmacista e l’interessato, con la conseguente possibilità di fornire ogni informazione e chiarimento oralmente”.

In relazione alla vicenda segnalata e tenuto conto di quanto emerso nella fase preliminare dell’istruttoria avviata, l'Ufficio, con atto prot. n. XX, del XX, ha notificato a Promofarma, ai sensi dell'art. 166, comma 5 del Codice, l’avvio del procedimento per l'adozione dei provvedimenti di cui all'articolo 58, paragrafo 2 del Regolamento, contestando la violazione del principio di trasparenza e dell’obbligo di fornire preventivamente le informazioni agli interessati (artt. 5, par. 1, lett. a) e 13 del Regolamento) e del principio di integrità e riservatezza e dell’obbligo di adottare misure adeguate a garantire la sicurezza dei dati trattati su base permanente (art. 5, par. 1 lett. f) e 32 del Regolamento) ed ha invitato la predetta Società a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall'Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/l l/1981).

In data XX si è pertanto svolta l’audizione di Promofarma che in data XX ha fatto pervenire, come anticipato nel corso dell’audizione, ulteriori memorie e documentazione integrativa.

Nel corso della predetta audizione la Società ha rappresentato che “In considerazione dell’alto numero di lavoratori transfrontalieri e della richiesta di tamponi periodici per svolgere l’attività lavorativa, la Piattaforma è stata molto utilizzata dai farmacisti per pianificare lo svolgimento dei test. Con la crescente richiesta di tamponi, la Regione e le farmacie hanno chiesto di semplificare la procedura di prenotazione consentendo di effettuare la stessa direttamente da parte degli utenti e non solo da parte dei farmacisti”. Con specifico riferimento ai fatti in esame la Società ha evidenziato di aver ricevuto la medesima segnalazione inviata al Garante e che “Gli interventi correttivi sono stati apportati il 31 dicembre 2021, prima dell’arrivo della richiesta di informazioni dell’Autorità, non introducendo un sistema di autenticazione a due fattori, bensì confermando un sistema di autenticazione ad un fattore, introducendo tuttavia correttivi volti a scongiurare che l’utente potesse visionare ulteriori dati personali dell’interessato già registrato semplicemente inserendo il suo codice fiscale. Attualmente il sistema di autenticazione per la prenotazione dei test è ancora ad un fattore (codice fiscale), sebbene sia in corso una revisione di tale sistema”.

Con successiva nota del XX, la Società, in via preliminare, ha specificato che l’iniziativa era volta a consentire alle farmacie aderenti “una efficiente pianificazione dell’esecuzione dei tamponi durante il periodo dell’emergenza sanitaria e, in particolar modo, durante le sue fasi più acute”.

Visto l’incremento della curva pandemica e l’adozione di provvedimenti governativi che hanno introdotto l’obbligo di green pass per “l’accesso degli interessati a determinate categorie di locali aperti al pubblico e per la fruizione di servizi”, le “farmacie pubbliche e private convenzionate avevano offerto [alla Regione FGV, ndr.] la propria disponibilità ad effettuare test diagnostici nell’ambito delle attività di screening volte a fronteggiare” la pandemia. La Regione Friuli Venezia Giulia ha pertanto predisposto uno specifico “protocollo per l’esecuzione di test antigenico rapido in farmacia per la sorveglianza Copvid-19” avente ad oggetto “aspetti tecnici e organizzativi del servizio offerto dalle farmacie” ivi incluso in allegato “uno schema di informativa sul trattamento dei dati ai sensi dell’art. 13 del GDPR che avrebbe dovuto essere compilato da ciascuna farmacia aderente”.

Ciò premesso, la Società ha ribadito che, dopo una fase iniziale, in cui ogni farmacia ha provveduto autonomamente a gestire le proprie prenotazioni, a causa del “repentino aumento delle richieste, è sorta la necessità di avere uno strumento informatico a supporto di tale servizio. Per questo, nell’ambito delle attività istituzionali di Federfarma Friuli Venezia Giulia, la stessa commissionava a PFS [Promofarma sviluppo, ndr] la realizzazione di una piattaforma – da proporre alle farmacie associate – in grado di gestire l’agenda delle prenotazioni, sia da parte delle farmacie che da parte degli utenti, con accessi dedicati” (...) “La piattaforma così realizzata, denominata GCalendar (...) è stata messa a disposizione delle farmacie a seguito della manifestazione d’interesse che le stesse dovevano presentare e soprattutto a seguito della compilazione, sottoscrizione e invio all’associazione della lettere di designazione di PFS e Federfarma Friuli Venezia Giulia quali responsabili del trattamento, ai sensi dell’art. 28, par. 3 del GDPR, giusto il ruolo di titolare che ciascuna di esse avrebbe ricoperto in virtù dell’offerta del servizio tamponi alla generalità degli assistiti”. La Società ha trasmesso in atti copia dello schema dell’atto di designazione a responsabile del trattamento della Società da parte delle farmacie predisposto dalla Regione e da Federfarma nonché copia dell’offerta “economica sw GCalendar per gestione Agenda in farmacia” avanzata a Ferderfarma FVG.

La Società ha dichiarato in atti che sono state 151 le Farmacie che hanno aderito all’iniziativa e ha rappresentato, inoltre, di avere “predisposto e reso disponibile alle farmacie aderenti all’iniziativa un corso webinar con le indicazioni per l’accesso alla Piattaforma e le istruzioni per gestire le prenotazioni e la registrazione dei dati”, con particolare riferimento a “le funzionalità offerte da GCalendar di:

prenotare l’esecuzione del tampone, da parte della farmacia che del cittadino, con accessi diversificati;

Configurare la dinamica, la durata e il numero di appuntamenti da parte della farmacia;

Prenotare gli appuntamenti per fascia oraria;

Gestire e modificare l’appuntamento rispettivamente inserito dagli assisiti o dalle farmacie, ognuno per la propria competenza;

Prenotare con un anticipo massimo di 3 settimane a seguire dalla data di effettuazione della prenotazione e limitare a un massimo di 20, in questo arco temporale, il numero di prenotazioni effettuabili per codice fiscale;

Stampare un promemoria dell’appuntamento per l’assistito;

Stampare il riepilogo degli appuntamenti per la farmacia;

Annullare l’appuntamento, a cura dell’assistito, ma solo se lo stesso è in possesso del Codice di prenotazione rilasciato dal sistema in fase di rilascio dell’appuntamento”.

La Società ha chiarito che “in nessun caso i dati di cui all’art.9 del GDPR, relativi agli esiti dei tamponi, transitano attraverso GCalendar”, ciò essendo il modulo predisposto on line funzionale solo alla prenotazione dei tamponi e non alla consegna dei referti. Sul punto, è stato precisato che “In ragione del fatto che GCalendar rappresenta solo un modulo per la prenotazione degli appuntamenti, collegato alla piattaforma GOpenCare, ferma l’impostazione dei ruoli privacy tra i soggetti coinvolti, si è ritenuta applicabile anche a questa estensione del software la lettera di nomina ex art. 28 GDPR già sottoscritta. Tuttavia, (...) nella fase di pubblicazione di GCalendar non è stata inibita la funzionalità della compilazione automatica che era stata inizialmente pensata e realizzata per agevolare il processo di inserimento dati a cura delle farmacie aderenti, nel periodo in cui la prenotazione avveniva soltanto attraverso il canale telefonico”.

Con specifico riferimento all’obbligo di fornire l’informativa agli interessati, la Società ha evidenziato come tale adempimento spetti, in base all’art. 13 del Regolamento, al titolare del trattamento, precisando come “A ben vedere, la Società non sarebbe in grado -né è tenuta a farlo-, a norma del citato articolo di descrivere l’intero complesso dei processi di trattamento dei dati personali degli assistiti svolto dalle farmacie, nel quale si innesta quella porzione di attività che è stata alla stessa affidata, consistente nella messa a disposizione di GCalendar, e che viene svolta conformemente alla designazione ricevuta ex art. 28 del Regolamento”, e evidenziando come nell’ambito di tali trattamenti la Società non abbia perseguito alcuna finalità “sua propria”.

Con riguardo, invece, alle misure di sicurezza, pur senza “celare l’imprudenza consistente nell’aver rilasciato il Modulo senza inibire la funzione di automazione dell’inserimento dati nel momento in cui il sistema riconosceva il codice fiscale dell’assistito”, la Società ha ribadito di avere operato in un periodo di forte pressione emergenziale.

La Società ha inoltre evidenziato che in data 28 aprile 2022 ha aggiornato il “modulo che prevede il doppio meccanismo di autenticazione, al pari di quanto avviene per i sistemi regionali preposti alla prenotazione dei vaccini anti Covid-19 e sarà pertanto richiesto anche l’inserimento del numero di tessera sanitaria, quale dato ulteriore rispetto al codice fiscale”.

La Società ha precisato che “prima ancora, in data 31 dicembre 2021, in una fase precedente all’invio della Richiesta di informazioni da parte del Garante, la Società, accogliendo la segnalazione di un assistito, aveva migliorato la conformazione originaria del Modulo inibendo la visualizzazione degli altri dati personali necessari alla prenotazione, quali nome, cognome, data e luogo di nascita, sesso e-mail e telefono”.

La Società ha rappresentato che già precedentemente disponeva di misure atte a limitare prenotazioni massive e fraudolente, prevendendo che la prenotazione potesse essere effettuata con un massimo di 3 settimane di anticipo e che nell’arco di tempo identificato non potessero essere effettuare più di 20 prenotazioni, precisando, infatti, di non avere rilevato anomalie nel numero di prenotazioni registrate.

La Società ha infine rappresentato che “in tutto il 2021 (i) le farmacie hanno raccolto telefonicamente e gestito autonomamente un totale di n. 1.149.637 prenotazioni; (ii) sempre le farmacie hanno effettuato attraverso GCalendar (disponibile dal mese di ottobre 2021), n. 240.888 prenotazioni; e (iii) gli assistiti hanno effettuato, attraverso GCalendar (disponibile dal mese di ottobre 2021), n. 131.274 prenotazioni. Naturalmente gli assistiti solitamente pianificano e prenotano con la piattaforma GCalendar più tamponi, fino a coprire il limite consentito nel periodo. Nel 2022, fino alla data del 20 aprile 2022 (i) le farmacie hanno raccolto telefonicamente e inserito autonomamente un totale di n. 483.778 prenotazioni; (ii) sempre le farmacie hanno effettuato attraverso GCalendar, n.306.663 prenotazioni; e (iii) gli assistiti hanno effettuato, attraverso GCalendar, n. 155.163 prenotazioni”.

3. Esito dell’attività istruttoria

Preso atto di quanto rappresentato dalla Società nella documentazione in atti e nelle memorie difensive, si osserva, in primo luogo, che il trattamento di dati personali deve avvenire nel rispetto della normativa applicabile in materia di protezione dei dati personali e, in particolare, del Regolamento e del Codice, nonché della disciplina nazionale di settore nei vari ambiti, tra cui rileva quella emanata nel contesto dell’emergenza sanitaria in corso.

Si evidenzia quindi che, in base al Regolamento, i dati personali devono essere trattati “in modo lecito, corretto e trasparente nei confronti dell’interessato” (principio di «liceità, correttezza e trasparenza»)” (art. 5, par. 1, lett. a) del Regolamento), in particolare ogni trattamento deve essere preceduto da idonea informativa, ai sensi degli artt. 12 e 13 del Regolamento.

I dati inoltre devono essere trattati in maniera da garantirne un'adeguata sicurezza in base al principio di integrità e riservatezza (art. 5, par. 1, lett. f) del Regolamento). In particolare, il titolare del trattamento è tenuto ad adottare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, che comprendano, tra le altre, la capacità di assicurare su base permanente la riservatezza dei dati trattati (art. 32 del Regolamento). 

Il Regolamento prevede, poi che “Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest'ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato” (con 81 e art. 28; cfr. anche Comitato europeo per la promozione dei dati, Guidelines 07/2020 on the concepts of controller and processor in the GDPR, 07 July 2021).

Ai sensi del Regolamento si considerano “dati relativi alla salute” i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute (art. 4, par. 1, n. 15, del Regolamento). Il considerando n. 35 del Regolamento precisa poi che i dati relativi alla salute “comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria”; “un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari”;

Si segnala, inoltre, che sin dalla dichiarazione dello stato di emergenza deliberato dal Consiglio dei Ministri in data 31 gennaio 2020, sono stati adottati molti atti normativi d’urgenza, che contengono disposizioni anche relative al trattamento dei dati personali effettuato nell’ambito degli interventi relativi alla predetta emergenza sanitaria.

Le disposizioni d’urgenza adottate nel corso degli ultimi mesi prevedono degli interventi emergenziali che implicano il trattamento dei dati e che sono frutto di un delicato bilanciamento tra le esigenze di sanità pubblica e quelle relative alla protezione dei dati personali, in conformità a quanto dettato dal Regolamento per il perseguimento di motivi di interesse pubblico nei settori della sanità pubblica (cfr. art. 9, par. 1, lett. i)). Resta ovviamente fermo che il trattamento dei dati personali connesso alla gestione della predetta emergenza sanitaria deve svolgersi nel rispetto della disciplina vigente in materia di protezione dei dati personali e, in particolare, dei principi applicabili al trattamento, di cui agli artt. 5 e 25, par. 2, del Regolamento, in parte sopra richiamati;

In tale contesto, l’Autorità si è espressa in ordine alle modalità di autenticazione degli interessati ai portali regionali dedicati alla prenotazione del vaccino anti Covid-19, evidenziando come l’uso del codice fiscale, quale unico elemento di accesso ai sistemi di prenotazione del vaccino, renda il sistema più vulnerabile nei confronti di attacchi informatici volti a effettuare prenotazioni fraudolente in modo massivo e richiedendo come ulteriore o alternativo elemento di autenticazione il numero di tessera sanitaria. Al riguardo, l’Autorità ha ritenuto che l’onere in capo all’interessato di inserire in fase di prenotazione un dato ulteriore rispetto al codice fiscale appare ampiamente bilanciato rispetto ai rischi di non una non corretta identificazione dello stesso e di prenotazione di una dose vaccinale che non sarà poi utilizzata. Ciò, anche in considerazione del fatto che tale informazione, già in possesso dell’interessato proprio perché apposta sul documento (tessera sanitaria) che attesta il codice fiscale, deve essere in ogni caso in possesso dell’interessato all’atto della somministrazione del vaccino (cfr. anche parere del Garante del 13 maggio 2021, doc. web 9674151).

Con specifico riferimento alle informazioni da rendere agli interessati ai sensi dell’art. 13 del Regolamento, il legislatore, nel contesto emergenziale in atto, ha previsto che i soggetti che operano in tale contesto, ivi comprese le strutture pubbliche e private del servizio sanitario nazionale, possano “omettere di fornire l'informativa” di cui al predetto articolo 13 “o fornire un'informativa semplificata, previa comunicazione orale agli interessati dalla limitazione” (art. 17-bis, comma 5, d.l. 17 marzo 2020, n. 18 convertito con modificazioni in legge 24 aprile 2020, n. 27).

Tutto ciò premesso, si evidenzia che nell’atto di designazione a responsabile del trattamento -predisposto per le farmacie che, in qualità di titolari del trattamento, aderendo all’iniziativa, sono state chiamate altresì a qualificare in questi termini il ruolo della Società con riferimento al trattamento dei dati personali effettuato attraverso la piattaforma GCalendar-, è in primo luogo evidenziato che viene affidato a Promofarma “l’incarico di responsabile del trattamento dei dati personali connesso all’esecuzione del contratto relativo all’Accordo di commessa siglato il 08/02/2021 con Federfarma FVG che prevede lo sviluppo di una specifica piattaforma informativa dedicata alla gestione e trasmissione dei dati relativi all’effettuazione di test antigenici rapidi in farmacie associate a Ferderfarma stessa, nonché ogni attività ad esso connesse e collegata effettuata per conto del titolare del trattamento” (art. 1).

Nell’individuazione degli obblighi dei responsabili del trattamento, l’atto di nomina prevede che “il Responsabile è tenuto a trattare i dati personali solo ed esclusivamente ai fini dell’esecuzione dei contratti e/o servizi di cui agli articoli 1) e 2), nel rispetto di quanto disposto dalla normativa applicabile in materia di protezione dei dati personali”. Gli articoli 1 e 2 dell’atto in esame riguardano rispettivamente l’oggetto dell’accordo e le finalità del trattamento già sopra richiamate (art. 3).

L’atto di nomina prevede poi espressamente che “il responsabile (...) ha le competenze sufficienti per mettere in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio ai sensi dell’art. 32 primo comma del GDPR” (art. 5, lett. b).

L’atto prevede anche che “il Responsabile si impegna a collaborare con il Titolare attraverso l’applicazione di misure tecniche ed organizzative adeguate, nella misura in cui ciò sia possibile al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo II, artt. 12- 23 del GDPR” (art. 5, lett. f)”.

Con riferimento alla sicurezza dei dati trattati, l’atto di nomina indica esplicitamente che “il responsabile del trattamento individua e attua le misure di sicurezza necessarie ad attenuare i rischi che incorrono sull’attività di trattamento tenendo conto fra l’altro, della tipologia di trattamento, delle finalità perseguite del contesto e delle specifiche circostanze in cui avviene il trattamento, nonché della tecnologia applicabile e dei costi di attuazione. Vista la tipologia di trattamento tali misure consistono principalmente nell’istruire correttamente il personale autorizzato e incaricato dal Responsabile allo svolgimento dell’attività in merito agli obblighi di riservatezza, al divieto di effettuare copie di dati e/o conservarli in qualsiasi modo, nel rispetto delle istruzioni impartite dal Titolare del trattamento” (art. 7).

Lo scenario in cui ha avuto luogo il richiamato trattamento di dati personali, in violazione dei principi e degli obblighi sopra richiamati, è quello dell’emergenza sanitaria causata dalla pandemia da Covid-19 e, più nello specifico, di un’iniziativa promossa dalla Regione Friuli Venezia Giulia e dalla Federfarma FVG, quale associazione di categoria, a sostegno delle farmacie coinvolte in misura massiva nella gestione della predetta emergenza.

In tale contesto, la Promofarma ha proposto a Federfarma FVG, affinché a sua volta la proponesse alle farmacie del territorio, la piattaforma GCalendar per la gestione delle agende di prenotazione dei servizi in farmacia.

Poste tali premesse, deve ritenersi legittimo l’affidamento delle 151 farmacie aderenti all’iniziativa sul fatto che la Promofarma, in qualità di responsabile del trattamento, avrebbe gestito conformemente al Regolamento tutti gli aspetti correlati alle prenotazioni degli utenti in farmacia, ivi inclusi quelli relativi al trattamento dei dati personali (1337 c.c.). 

Sotto un primo profilo, deve notarsi come la circostanza che l’iniziativa sia stata promossa dall’associazione di categoria Federfarma FVG non può che avere fatto ritenere ai singoli titolari del trattamento (le farmacie associate aderenti), che la scelta del responsabile sia ricaduta su una società idonea a fornire garanzie adeguate sulla corretta attuazione, sin dalla progettazione e per impostazione predefinita, dei principi e degli obblighi del Regolamento (artt. 25, 28 e Parte II, punto 1.1 delle Guidelines 07/2020 on the concepts of controller and processor in the GDPR, cit. )

D’altro conto, è in questi termini che, sulla base dei principi di ragionevolezza e buona fede, deve interpretarsi l’atto di nomina che la Società e Federfarma FVG stesse hanno predisposto affinché le farmacie aderenti, in qualità di titolari del trattamento, designassero la Società responsabile del trattamento ai sensi dell’art. 28 del Regolamento (artt. 1366 e 1374 c.c.).

Infatti, le violazioni contestate alla Società concernono unicamente il trattamento di dati personali svolto attraverso la piattaforma per la gestione delle prenotazioni per conto delle farmacie, sia sotto il profilo della trasparenza che della sicurezza.

Con riferimento al principio di trasparenza e all’obbligo di fornire l’informativa agli interessati, il richiamato atto risulta, per altro, sufficientemente esplicito, laddove prevede che la Società si sarebbe occupata della “gestione e trasmissione dei dati relativi all’effettuazione di test antigenici rapidi in farmacie associate a Federfarma stessa, nonché ogni attività ad esso connesse e collegata effettuata per conto del titolare del trattamento” nonché della gestione dei diritti degli interessati, menzionando gli articoli da 12 a 23 del Regolamento; includendo quindi anche l’art. 13 relativo all’obbligo di fornire le informazioni agli interessati.

Si tratta, quindi, di un trattamento antecedente e differente rispetto a quello svolto nell’erogazione della prestazione sanitaria (effettuazione del tampone naso faringeo) e nella refertazione per il quale le Farmacie potevano godere delle semplificazioni introdotte dalla normativa emergenziale (art. 17-bis, comma 5, d.l. 17 marzo 2020, n. 18 convertito con modificazioni in legge 24 aprile 2020, n. 27).

Parimenti accertata risulta la responsabilità del responsabile del trattamento in riferimento alla mancata adozione di misure tecniche idonee ad assicurare su base permanente adeguata riservatezza ai dati degli utenti della piattaforma e a prevenire accessi abusivi. Ciò, in quanto l’atto di nomina conferisce esplicitamente al responsabile del trattamento il compito dare attuazione agli obblighi di cui all’art. 32 del Regolamento (art. 7).

Nel merito si ribadiscono le misure indicate dall’Autorità - mancanti nel caso di specie fino al 28 aprile 2022 - in ordine alle modalità di autenticazione degli interessati ai portali regionali dedicati alla prenotazione del vaccino anti covid-19, e rilevanti per analogia anche nel settore in esame, volte ad associare al codice fiscale degli interessati un ulteriore o alternativo elemento di autenticazione come il numero di tessera sanitaria (cfr. anche parere del Garante del 13 maggio 2021, doc. web 9674151, provv. 27 gennaio 2022, doc. web n. 9746448, 13 gennaio 2022 doc. web 9744496 e maggio 2021, doc. web 9685332).

La mancata adozione di tali ulteriori misure ha esposto quindi ingiustificatamente gli interessati al rischio che soggetti terzi non legittimati potessero conoscere loro dati personali e precedenti prenotazioni.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dalla Società nel corso dell’istruttoria e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”, gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni si rileva l’illiceità del trattamento di dati personali effettuato dalla Società in violazione degli articoli 5, par. 1, lett. a), e f), 13 e 32 del Regolamento). La violazione delle predette disposizioni rende, altresì, applicabile la sanzione amministrativa prevista dall’art. 83, par. 4 e 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo.

5. Misure correttive

L’art. 58, par. 2, del Regolamento prevede in capo al Garante una serie di poteri correttivi, di natura prescrittiva e sanzionatoria, da esercitare nel caso in cui venga accertato un trattamento illecito di dati personali.

Tra questi poteri, l’art. 58, par. 2, lett. d) del Regolamento, prevede quello di “ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine”.
Alla luce delle valutazioni sopra richiamate, si ritiene di dover ingiungere alla Società, ai sensi del richiamato art. 58, par. 2, lett. d) Regolamento, di predisporre, per conto delle farmacie aderenti, una informativa sul trattamento dei dai personali degli utenti, ai sensi dell’art. 13 del Regolamento, in relazione alle operazioni necessarie alla prenotazione della prestazione da adottare entro trenta giorni dalla notifica del presente provvedimento.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5 par. 1, lett. a) e f), 13 e 32 del Regolamento, causata dalla condotta omissiva di Promofarma Sviluppo s.r.l. è soggetta all’applicazione della sanzione amministrativa pecuniaria, ai sensi dell’art. 83, par. 4, lett. a) e 5, lett. a) e b) del Regolamento.

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2 del Regolamento. In relazione alla violazione di dati personali notificata dal titolare del trattamento, ai sensi dell’art. 33 del Regolamento, si osserva che:

1. il trattamento effettuato ha riguardato dati personali relativi allo stato di salute di un numero elevato di utenti di 151 farmacie della Regione Friuli Venezia svoltosi, in particolare, durante la fase più acuta dell’emergenza sanitaria da Covid 19 (art. 89, par. 2, lett. a) del Regolamento);

2. la condotta imputabile alla Società in qualità di responsabile del trattamento, per avere operato un’interpretazione dell’atto di conferimento dell’incaricato di responsabile contraria ai principi di correttezza e buona fede (artt. 1337, 1366 e 1374 c.c.);

3. l’erronea configurazione del modulo di inserimento dei dati è dipesa da un mancato aggiornamento della valutazione dei rischi connessi all’uso dello stesso non più solo ad opera delle farmacie ma anche direttamente da parte degli utenti; non risultano, precedenti violazioni pertinenti commesse dalla Società né sono stati precedentemente disposti provvedimenti di cui all’art. 58 del Regolamento (art. 83, par. 2, lett. e) del Regolamento);

4. la Società ha collaborato pienamente con l’Autorità nel corso dell’istruttoria e del presente procedimento (art. 83, par. 2, lett. f) del Regolamento);

5. la Società ha prontamente adottato misure tecniche volte a migliorare la conformazione originaria del Modulo di inserimento dei dati nella Piattaforma inibendo la visualizzazione dei dati personali necessari alla prenotazione, quali nome, cognome, data e luogo di nascita, sesso e-mail e telefono e successivamente, in data 28 aprile 2022, ha introdotto un doppio meccanismo di autenticazione per la prenotazione della prestazione sanitaria, richiedendo l’inserimento anche del numero di tessera sanitaria quale dato ulteriore rispetto al codice fiscale.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, nella misura di € 10.000,00 (diecimila) per la violazione degli artt. 5, par. 1 lett. a), f) e 13 e 32 del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1 e 3, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIO’ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dalla Promofarma Sviluppo s.r.l., per la violazione degli dell’art. 5, par. 1, lett. a) e f), 13 e 32 del Regolamento nei termini di cui in motivazione.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, alla società Promofarma Sviluppo Srl, con sede legale in Via Assisana, 33/C - loc. Piscille, 06135 Perugia, Partita IVA 03634610541, di pagare la somma di € 10.000,00 (diecimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

Alla Società Promofarma Sviluppo Srl.:

di pagare la somma di euro € 10.000,00 (diecimila) -in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice-, secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981;

ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di conformare i trattamenti alle disposizioni del Regolamento, adottando le misure correttive indicate nel paragrafo 5 del presente provvedimento, entro e non oltre il termine di 30 giorni dalla notifica del presente provvedimento. L’inosservanza di un ordine formulato ai sensi dell'art. 58, par. 2 del Regolamento, è punita con la sanzione amministrativa di cui all’art. 83, par. 6 del Regolamento;

ai sensi dell’art. 58, par. 1, lett. a) del Regolamento e dell’art. 157 del Codice, di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel predetto par. 5, e di fornire comunque riscontro, adeguatamente documentato, entro e non oltre il termine di 20 giorni dalla scadenza del termine sopra indicato. Il mancato riscontro a una richiesta formulata ai sensi dell’art. 157 del Codice è punito con la sanzione amministrativa, ai sensi del combinato disposto di cui agli artt. 83, par. 5, del Regolamento e 166 del Codice.

DISPONE

ai sensi dell’art. 166, comma 7 del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 20 ottobre 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL VICE SEGRETARIO GENERALE
Filippi