Provvedimento del 30 novembre 2023 [9984477]
Provvedimento del 30 novembre 2023 [9984477]
Condividi[doc. web n. 9984477]
Provvedimento del 30 novembre 2023
Registro dei provvedimenti
n. 557 del 30 novembre 2023
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE” (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;
RELATORE l’avv. Guido Scorza;
PREMESSO
1. La segnalazione
L’Autorità ha ricevuto una segnalazione da parte del sig. XX riguardante le modalità di refertazione utilizzate dalla Società Medical Center s.r.l., di seguito “la Società”. In particolare, è stato rappresentato che “la piattaforma propone un link valido ad un referto” ma “cambiando il numero finale” è possibile “accedere ad alcune informazioni relative ad altri referti” e “espandendo la sezione apposita, è possibile vedere il "Registro eventi" del referto contenuto nel link, che mostra una lista degli utenti che hanno scaricato il referto. In questo caso la piattaforma (…) mostra nel formato "nome.cognome" il nome utente di un soggetto terzo a cui corrisponde il referto indicato nel link”. Ciò, secondo quanto rappresentato dal segnalante, renderebbe possibile, per un utente loggato “enumerare i nomi dei pazienti che hanno usufruito dei (…) servizi”.
2. L’attività istruttoria
In relazione a quanto rappresentato nella segnalazione, l’Ufficio, con nota del XX prot. n. XX, ha richiesto, ai sensi dell’art. 157 del Codice, di fornire alcuni elementi utili alla valutazione dei profili rilevanti in materia di protezione dei dati personali e, in relazione a tale richiesta, la Società medesima, con nota del XX, ha fornito riscontro dichiarando che:
- “sulla base di un contratto di servizio datato XX la società CB Sistemi s.r.l. (…), assicura la manutenzione periodica della piattaforma https://referti.medicalcentersrl.it/... che essa stessa ha progettato al servizio delle necessità della società Titolare del Trattamento. Dopo attenta valutazione dei rapporti fra le parti in data XX le parti hanno finalizzato un accordo che prevede ai sensi dell’art. 28 del Reg. UE 2016/679 che la società CB sistemi S.r.l. operi in qualità di Responsabile del trattamento dei dati”;
- “i tecnici di CB Sistemi (…) riscontrano che l’applicativo, a causa di un bug, visualizzava una piccola parte dei dati relativi ad accettazioni intestate ad un’utenza diversa da quella loggata; in particolare era visibile il registro delle operazioni eseguite, nel quale compariva il nome utente usato per l’accesso al sito web (composto da nome.cognome), nonché data e ora di download dei file di fattura”;
- “non sono assolutamente mai state visibili informazioni di dati personali anagrafici o altro di altre utenze né è stato possibile scaricare fatture o referti di altre utenze”;
- “in merito al reclamo il problema è stato prontamente risolto il giorno XX alle ore 16:50 circa e sono state nascoste anche queste informazioni a chi non era abilitato a vederle”;
- “a fronte dell’istruttoria avviata intorno all’accesso del reclamante, il Titolare ha (…) potuto appurare quanto segue:
a. il tentativo di accesso alla piattaforma da parte del Sig. XX ha riguardato le operazioni di download di una sola persona fisica. CB Sistemi, ai quesiti posti dal DPO, in data XX conferma (…) che “il sig. XX non ha avuto accesso a dati particolari o sensibili di soggetti interessati o al tipo di prestazioni richieste”. Sebbene il Sig. XX abbia tentato l’accesso il XX alla pratica XX, XX, XX, XX, e il giorno XX Accettazione n°: XX, CB Sistemi spiega che “da verifiche più approfondite, delle accettazioni a cui il sig. XX ha avuto accesso, solo la XX del XX appartiene ad una persona fisica, il resto delle accettazioni sono afferenti alla Medicina del Lavoro e quindi associate alla ragione sociale di un’azienda. Quindi il Sig. XX ha potuto osservare i dati di download di una sola persona fisica;
b. sebbene, allo stato attuale, il Sig. XX conosca il nome e il cognome della persona che ha scaricato il referto XX il XX (senza venire a conoscenza del contenuto dello stesso (…)), tali informazioni non consentono di identificare in modo inequivocabile una persona, visto i possibili casi di omonimia;
c. il codice univoco assegnato al paziente è un dato progressivo che viene generato automaticamente all’atto dell'accettazione e non consente a terzi di poter rintracciare il paziente e la prestazione.
d. lato applicativo il software implementa i più diffusi strumenti di sicurezza come form authentication mvc di microsoft per autenticare in modo sicuro le utenze che accedono al sito web, antiforgery token per prevenzione degli attacchi di richiesta intersito falsa. L’accesso alle risorse è inoltre differenziato in base al ruolo assegnato all’utenza;
e. é bene tenere presente che tale dicitura è solo un log di notifica di inizio della procedura; non significa assolutamente che l’utente abbia scaricato il file in questione, in quanto il sistema riconosce che l’utenza non è autorizzata e immediatamente reindirizza il browser verso una pagina di errore”;
- “l’accesso del Sig. XX, seppur illecito, ha comportato un impatto basso poiché non ha comportato di fatto nessun effetto sui servizi e nessuna conseguenza sul piano materiale o reputazionale sul soggetto interessato (…)”.
A supporto di quanto dichiarato, il titolare ha allegato alcuni documenti recanti “Nomina responsabile del trattamento per servizi di manutenzione e assistenza software”, “Dichiarazione di conformità GDPR” di CB Sistemi s.r.l., la Relazione Tecnica di CB Sistemi s.r.l., “Istruzione-gestione violazione e notifica al Garante”, “Analisi data breach incident” di CB Sistemi s.r.l., nonché la notifica al Garante di violazione dei dati personali, dalla quale risulta che, quali misure adottate seguito della violazione “la società CB Sistemi s.r.l. ha (…) nascosto il registro delle operazioni sui referti a chi non era abilitato a trattarne i contenuti; a riprova di ciò non si sono registrati da quella data, altri tentativi di download da parte del Sig. XX”.
In relazione a quanto comunicato dalla Società, l’Ufficio, con atto del XX, prot. n. XX, ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2 del Regolamento, nei confronti della Società, invitandola a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, l. n. 689 del 24 novembre 1981). A seguito di quanto emerso, infatti, l’Ufficio ha ritenuto che la Società Medical Center s.r.l., al momento della segnalazione, aveva effettuato un trattamento di dati personali in violazione dei principi di base del trattamento di cui agli artt. 5, par. 1, lett. f), 25, par. 1, e 32 del Regolamento e ha, pertanto, contestato alla medesima Società, ai sensi dell’art. 166, comma 5, la predetta violazione.
Con mail del XX, la Società ha fatto pervenire le proprie memorie difensive, nelle quali, in particolare, è stato rappresentato, oltre a quanto già dichiarato, che:
“in base a quanto riportato dalla società CB Sistemi, a seguito della verifica dei log, si è potuto riscontrare che il sig. XX usando l’account della nonna sig.ra XX (in base a quanto dichiarato nel reclamo …) poteva certamente avere accesso al registro degli accessi di una sezione della piattaforma, ma in modo tutt’altro che immediato poiché:
• l’utente doveva avere competenze specifiche sul fronte della programmazione e sviluppo di software (…);
• l’utente ha dovuto reiterare più volte il tentativo di introdursi nell’area accettazione del programma (…)”;
“in data XX intorno alle ore 22:40 il sig. XX, usando l’account della sig.ra XX tenta più volte l’accesso alle accettazioni dei seguenti utenti, rappresentati con il codice univoco di seguito riportato: XX, XX, XX, XX, XX, XX. Il giorno successivo tenta il medesimo accesso sulla accettazione n°: XX. Oltre a ciò si riportano ulteriori tentativi di download non riusciti e di documenti non propri: per il giorno XX1 referti XX, XX, XX, XX, XX, XX, XX (non esiste), XX, XX, XX, XX (non esistente), XX (non esistente), XX (non esistente), XX (non esistente), XX, XX, XX; fatture XX, XX, XX, XX, XX; per il giorno XX nessun tentativo di download. I tentativi di accesso hanno consentito di poter di fatto osservare, il XX, i dati di download di una sola persona fisica (codice XX)”;
tenendo conto di quanto stabilito dal Regolamento, in ordine all’identificabilità di una persona, “l’impatto sui soggetti interessati conseguente all’accesso non controllato al registro degli accessi della piattaforma, ha conseguenze di fatto basse poiché in base al tracciato il reclamante o un navigatore incauto non avrebbe nessun altro riferimento, salvo il nome e cognome, per risalire all’utente. Se si considera che l’utenza a cui la società indirizza i propri servizi proviene da diverse parti d’Italia è ancor più remota la possibilità di una sua identificazione”;
“nel caso specifico il nome utente associato solo alle operazioni effettuate su un documento (es. Referto o fattura) e il codice sequenziale del documento non consente a terzi l’identificazione di altre informazioni rilevanti che possano determinare un danno sia di natura materiale, immateriale o reputazionale sui soggetti interessati. E’ proprio tale misura che ha consentito all’azienda di mitigare il rischio di accesso non autorizzato a informazioni particolari secondo quanto stabilito dall’art. 32 DEL REG.UE 2016/679”;
“il codice assegnato all’utente relativamente alla prestazione effettuata è un numero sequenziale che non rivela l’ambito della prestazione, l’urgenza o altre informazioni di natura particolare. Il campo di applicazione del laboratorio e dei suoi ambulatori è vasto e non è riconducibile a un solo tipo di trattamento sanitario”;
in relazione al carattere doloso o colposo “Medical Center non avendo al proprio interno conoscenze e competenze specifiche in fatto di programmazione per curare la piattaforma di refertazione on-line sceglie di esternalizzare rischi connessi allo sviluppo e manutenzione adottando tuttavia le seguenti cautele (…): A. Scegliere un fornitore qualificato con esperienza nel settore; B. Scegliere un prodotto dichiarato dal fornitore Compliance al GDPR; C. Formalizzare l’accordo di garanzia a tutela dei dati personali ex art. 28 GDPR e ottenere Dichiarazione di Conformità al GDPR e Relazione Tecnica delle Misure a garanzia della tutela e sicurezza dei dati personali ai sensi dell’art. 32 del Reg. UE 2016/679; D. Mantenere, successivamente all’avvio del software, un contratto di assistenza con il fornitore per assicurarne lo standard di sicurezza nel tempo e la generazione di release che consentano alla società di avere un prodotto sempre efficace sia sul piano della funzionalità che sicurezza”;
“il bug è stato generato durante l’aggiornamento del software e non era presente al momento dell’acquisto”;
“la società CB sistemi s.r.l. (…) ha dapprima provveduto a risolvere il problema e il giorno XX alle ore 16:50 ha nascosto il registro delle operazioni sui referti a chi non era abilitato a trattarne i contenuti; a riprova di ciò non si sono registrati da quella data altri tentativi di download da parte del sig. XX e di terzi. Il giorno XX alle ore 16:50 (correggendo il bug) viene nascosto il registro delle operazioni sui referti a chi non era abilitato a trattarne i contenuti. L’organizzazione intende programmare dei controlli periodici per riscontrare per tempo eventuali vulnerabilità dei sistemi; oltre a ciò, il personale e i fornitori strategici che operano in qualità di responsabili del trattamento saranno addestrati affinché possano, secondo criteri condivisi, intercettare gli incidenti e gestire con maggiore tempestività le procedure di classificazione e gestione dei data breach”;
“per garantire l’attenuazione delle conseguenze, la società intende: richiedere evidenza dei controlli effettuati dal fornitore a fronte del rilascio di una nuova release; effettuare un penetration test o vulnerability assessment su base annuale per assicurarsi che tutto sia stato effettivamente messo a posto; produrre un programma di sensibilizzazione dei fornitori”;
“l’azienda, seppur in fase di sviluppo, tra il 2020 e 2021 si è proposta di stabilire una serie di misure a tutela dei dati personali, fra queste sono compresi anche i criteri secondo cui viene effettuata l’analisi dei rischi e valutazione dei processi ad alto impatto”.
Alle predette dichiarazioni, è stata allegata la relazione tecnica del fornitore che illustra le Procedure interne di sviluppo del software nonché il “Documento di raccolta delle Policy privacy di Medical Center s.r.l.”.
3. Esito dell’attività istruttoria
Preso atto di quanto rappresentato dalla Società, si osserva che:
- per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)”; per “dati relativi alla salute” “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, nn. 1 e 13 del Regolamento; cfr. anche Cons. n. 35);
- il titolare può affidare un trattamento “a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i principi del Regolamento”, anche per la sicurezza del trattamento, tenuto conto degli specifici rischi derivanti dallo stesso (artt. 28, par. 1, 24 e 32 del Regolamento; cfr. anche Cons. n. 81). In questo caso “i trattamenti da parte di un responsabile sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, che vincoli il responsabile al titolare e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare” (art. 28, par. 3 del Regolamento);
- i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” (principio di «liceità, correttezza e trasparenza»), nonché “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (principio di «integrità e riservatezza»)” (art. 5, par. 1, lett. a) e f) del Regolamento). Gli stessi dati devono essere, altresì, trattati nel rispetto del principio di protezione dei dati fin dalla progettazione (privacy by design) secondo il quale, “sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso, il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate, volte ad attuare in modo efficace i principi di protezione dei dati e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del Regolamento e tutelare i diritti degli interessati” (art. 25 del Regolamento);
- secondo le “Linee guida 4/2019 sull’articolo 25 Protezione dei dati fin dalla progettazione e per impostazione predefinita” adottate dall’European Data Protection Board il 20 ottobre 2020, “l’obbligo di mantenere, verificare e aggiornare, ove necessario, il trattamento” in relazione ai requisiti in materia di protezione dati “si applica altresì ai sistemi preesistenti. Ciò implica che i sistemi progettati prima dell’entrata in vigore del RGPD devono essere sottoposti a verifiche e manutenzione per garantire l’applicazione di misure e garanzie che mettano in atto i principi e i diritti degli interessati in modo efficace (…). Tale obbligo si estende anche ai trattamenti svolti per mezzo di responsabili del trattamento. Le operazioni di trattamento effettuate dai responsabili dovrebbero essere regolarmente esaminate e valutate dai titolari per garantire che continuino a rispettare i principi e permettano ai titolari di adempiere ai rispettivi obblighi in tale contesto”;
- il titolare del trattamento è tenuto a mettere in atto “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”, tenendo conto, tra l’altro, “della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”, evidenziando che “nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati” (art. 32, par. 1 e 2). In ogni caso, il titolare del trattamento è tenuto ad adottare procedure “per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento” (art. 32, par. 1, lett. d) del Regolamento).
4. Conclusioni.
Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”, gli elementi forniti dal titolare del trattamento nella memoria difensiva sopra richiamata, seppure meritevoli di considerazione, non consentono di superare integralmente i rilievi notificati dall’Ufficio con il richiamato atto di avvio dei procedimenti, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del regolamento del Garante n. 1/2019.
Infatti, nell’evidenziare, come più volte ricordato dall’Autorità, che l’avvenuta prestazione di un servizio di assistenza sanitaria riferita a una persona specificatamente indicata dal nome utente (nome.cognome) costituisce un’informazione riconducibile alla nozione di dato sulla salute, ai sensi dell’art. 4, par. 1, n. 15 del Regolamento e del Cons. n. 35 (cfr., ex multis, Provv. 29 settembre 2021 n. 358, doc. web n. 9720448), è stato accertato che un soggetto terzo non autorizzato, sebbene attraverso azioni mirate, del segnalante, volte a introdursi nell’area accettazione del programma, ha avuto la possibilità di prendere visione di dati personali contenuti nell’accettazione intestata ad altro interessato, a causa di un bug dell’applicativo. Al riguardo, si osserva che, alla luce dei principi sopra evidenziati, il predetto applicativo avrebbe dovuto essere oggetto di test e collaudo da parte della Società, anche a seguito dell’aggiornamento di funzionalità del portale. Infatti, la vulnerabilità del sistema, che avrebbe potuto consentire a terzi di accedere ad informazioni relative ad accettazioni intestate ad altri interessati, manipolando l’url di accesso ad una specifica pagina del sito, era stata prevista in fase di test iniziale e opportunamente bloccata, ma non è stata considerata in seguito ad una operazione di aggiornamento del medesimo portale, volta a introdurre la funzionalità che prevedeva la possibilità di visualizzare il registro delle operazioni eseguite (cfr. le dichiarazioni presenti nel documento del 17 novembre 2021 “La particolare azione che ha comportato la falla consiste nel manipolare l’URL di accesso ad una specifica pagina del sito (che consente di visualizzare i dati di una accettazione) nella parte in cui viene specificato il numero di accettazione, modificandolo con altro valore, al fine di tentare di accedere ad informazioni non proprie. Tale operazione illecita era stata prevista dal nostro sviluppatore in fase di test e opportunamente bloccata. La falla si è creata in seguito ad un aggiornamento di funzionalità del portale che prevedeva la possibilità di visualizzare il registro delle operazioni eseguite. Lo sviluppatore che ha introdotto tale funzionalità non ha previsto la possibilità di accesso illecito tramite manipolazione dell’URL”).
Pertanto, tenuto conto della natura dei dati oggetto di accesso e degli elevati rischi derivanti dalla loro possibile acquisizione da parte di terzi, in relazione alla predetta nuova funzionalità, introdotta senza aver previsto la possibilità di alterazione dell’url da parte di terzi, e senza, quindi, avere effettuato il relativo test a collaudo, si ritiene che la Società non abbia adottato misure idonee a garantire un livello di sicurezza adeguato al rischio (artt. 5, par. 1, lett. f), e 32 del Regolamento per “assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento”), non rispettando, altresì, il principio di protezione dei dati fin dalla progettazione, di cui all’art. 25, par. 1, del Regolamento.
La circostanza che il titolare del trattamento avesse affidato alla Società CB Sistemi s.r.l. le attività di manutenzione e di assistenza software, non esonera da responsabilità la Società, che avrebbe dovuto svolgere attività di vigilanza, controllo o revisione in merito alla sicurezza dei dati trattati, per proprio conto, dalla Società CB Sistemi s.r.l.
Ciò, in ragione del fatto che il titolare è il soggetto sul quale ricadono le decisioni circa le finalità e le modalità del trattamento dei dati personali degli interessati e che ha una “responsabilità generale” sui trattamenti posti in essere (artt. 4, par. 1, punto 7, art. 5, par. 2 del Regolamento - c.d. principio di “accountability” e art. 24 del Regolamento); lo stesso è, infatti, tenuto a “mettere in atto misure adeguate ed efficaci [e…] dimostrare la conformità delle attività di trattamento con il […] Regolamento, compresa l’efficacia delle misure” (Cons. n. 74), anche con riferimento alla predisposizione di misure tecniche e organizzative che soddisfino i requisiti del Regolamento sotto il profilo della sicurezza (artt. 24 e 32 del Regolamento). Tale obbligo, sussiste, altresì, quando talune operazioni di trattamento siano poste in essere da un responsabile per suo conto e quando utilizza prodotti o servizi realizzati da terzi (cfr. alcune decisioni del Garante relative anche al ruolo e alle connesse responsabilità del titolare e del responsabile del trattamento: provv. 17 settembre 2020, nn. 160 e 161, doc. web nn. 9461168 e 9461321, provv. 11 febbraio 2021, n. 49, doc. web n. 9562852, nonché provv. 17 dicembre 2020, nn. 280, 281 e 282, doc. web nn. 9524175, 9525315 e 9525337; cfr. anche già provv. 7 marzo 2019, n. 81, doc. web n. 9121890 e, in ambito sanitario, provv. del 2 dicembre 2021 nn. 422 e 423, doc. web nn. 9734884 e 9734934).
Per le ragioni sopra esposte, la violazione non può essere ritenuta imputabile soltanto alla Società CB Sistemi s.r.l., ma anche alla Società Medical Center, la quale, anch’essa, si è resa responsabile della mancata adozione di misure tecniche e organizzative adeguate a garantire la riservatezza e l’integrità dei dati personali trattati, in violazione degli artt. 5, par.1, lett. f), 25 e 32 del Regolamento.
Si rileva, pertanto, l’illiceità del trattamento di dati personali effettuato dalla Medical Center s.r.l. per aver effettuato un trattamento di dati personali in violazione degli obblighi di cui agli artt. 25, par. 1 e 32, par. 1, del Regolamento e dei principi di base di cui all’art 5, par. 1, lett. f) del medesimo Regolamento, come sopra descritto.
In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.
Ciò premesso, tenuto conto che:
- dalle risultanze degli atti, l’episodio risulta essere un fatto isolato e, sotto il profilo psicologico, privo di dolo, determinato da un comportamento intenzionale del segnalante; la responsabilità è riconducibile ad un grado di colpa da valutarsi come lieve alla luce degli elementi che connotano l’episodio;
- la violazione ha riguardato dati sulla salute di un solo interessato ma non ha interessato il contenuto di referti;
- la Società è intervenuta prontamente per attenuare gli effetti della violazione occorsa nonché per prevenire il ripetersi di eventi analoghi;
- il titolare del trattamento si è dimostrato prontamente e estremamente collaborativo durante tutta la fase istruttoria e procedimentale e non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento;
le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi del cons. 148 del Regolamento e delle “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal “Gruppo di Lavoro Art. 29” il 3 ottobre 2017, WP 253 e fatte proprie dal Comitato europeo per la protezione dei dati con l’”Endorsement 1/2018” del 25 maggio 2018. Si ritiene, pertanto, relativamente al caso in esame, che sia sufficiente ammonire il titolare del trattamento ai sensi degli artt. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, per avere violato gli artt. 5, par. 1, lett. f), 25, par. 1 e 32 del Regolamento. Considerato che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.
TUTTO CIÒ PREMESSO IL GARANTE
a) dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dalla Società Medical Center s.r.l., con sede legale in Via IV Novembre 1, 21018, Sesto Calende (Va), C.F./P.iva 02285810020;
b) ai sensi dell’art. 58, par. 2, lett. b), del Regolamento, ammonisce la Società Medical Center s.r.l., quale titolare del trattamento in questione, per aver violato gli artt. 5, par. 1, lett. f), 25, par. 1 e 32 del Regolamento, come sopra descritto;
c) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’Autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 30 novembre 2023
IL PRESIDENTE
Stanzione
IL RELATORE
Scorza
IL SEGRETARIO GENERALE
Mattei
