g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Ordinanza ingiunzione o revoca
  4. Provvedimento del 24 gennaio 2024 [9988652]

Provvedimento del 24 gennaio 2024 [9988652]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9988652]

Provvedimento del 24 gennaio 2024

Registro dei provvedimenti
n. 38 del 24 gennaio 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del Garante n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

RELATORE la prof.ssa Ginevra Cerrina Feroni;          

PREMESSO

1. L’attività istruttoria.

Con note del XX e del XX, l’Ospedale Pediatrico Bambino Gesù, sito in Roma, Piazza Sant'Onofrio n. 4, 00165 - Codice Fiscale/P.IVA: 80403930581 - Pec: presidenza@pec.opbg.net (di seguito Ospedale pediatrico) ha notificato all’Autorità, ai sensi dell’art. 33 del Regolamento, una violazione di dati personali avvenuta tra il XX e il XX, dichiarando di aver ricevuto, in data XX, alle ore 13:56, una segnalazione con la quale un paziente dichiarava di aver avuto accesso (tramite il portale dedicato “Carta della Salute” https://cartadellasalute.ospedalebambinogesu.it) al referto di un'altra paziente (…), oltre ad aver direttamente rilevato, alle ore 9:34 dello stesso giorno, un’anomalia, “segnalata prontamente al fornitore Dedalus S.p.A. individuato formalmente quale Responsabile del Trattamento da parte dell’Ospedale (…)”. Nella predetta comunicazione l’Ospedale pediatrico ha, altresì, aggiunto che “(…) il giorno XX alle ore 12:01 è pervenuta all’Ospedale una ulteriore segnalazione da parte di un interessato, che indicava la facoltà di accedere ad un referto di altro paziente. L’analisi successiva ha rivelato un errore ulteriore, conseguenza del bug già individuato e corretto in precedenza, relativo ad un numero esiguo di utenti”. 

Nel descrivere la violazione, l’Ospedale pediatrico ha fatto presente che questa “è consistita nell’invio, da parte del sistema del fornitore Dedalus Italia S.p.A., al sistema di gestione dati dell’Ospedale (middleware Mirth) di messaggi HL7 di laboratorio contenenti un segmento di informazione riportante un identificativo paziente diverso rispetto al contenuto del messaggio (referto). La propagazione successiva di questi messaggi ha generato un’associazione errata tra referto e paziente negli altri applicativi integrati. L’effetto della suddetta anomalia è l’associazione di un referto, integro e coerente nel suo insieme, ad un paziente sbagliato. Oggetto del malfunzionamento è la componente di integrazione del software Dedalus Dnlab, del fornitore Dedalus Italia S.p.A. (…).  All’esito del controllo analitico puntuale relativo ai singoli interessati ed ai referti ad essi relativi, il numero di referti coinvolti che integrano una violazione dei dati personali, ponendo a rischio i diritti e le libertà delle persone fisiche, è pari a 24 (referti)”.

Nella stessa notifica, l’Ospedale ha chiesto ai soggetti che hanno avuto accesso erroneo ai referti riservati, di cancellare i dati personali in essi contenuti. 

Oltre a descrivere i sistemi, i software, i servizi e le infrastrutture IT coinvolti nella violazione, con indicazione della loro ubicazione, l’Ospedale pediatrico ha illustrato le misure tecniche e organizzative, in essere al momento della violazione, nonché quelle adottate per porre rimedio alla violazione e ridurre gli effetti negativi per gli interessati.

In relazione a queste ultime, l’Ospedale ha comunicato di aver effettuato: “1. Blocco temporaneo dell’accesso ai referti (portale "Carta della Salute") in attesa di analisi dei documenti potenzialmente errati (ore 12:43 del XX); 2. Analisi dei log di accesso per verificare i download dei referti errati; 3. Adozione misura correttiva temporanea in attesa di definitiva individuazione e correzione di eventuali bug di sistema da parte del fornitore del software di gestione dei laboratori; 4. Deprecazione dei referti errati e generazione dei referti a seguito di correzione degli errori materiali individuati; 5. Riapertura dell’accesso ai referti (portale "Carta della Salute") alle ore 20:16 del XX (…).  In relazione all’ulteriore segnalazione di visualizzazione non corretta, l’errore è stato individuato alle 12.01 del XX, a seguito di segnalazione da parte di un interessato, e sanato alle ore 12:36 dello stesso giorno XX”.

Inoltre, al fine di scongiurare ulteriormente il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati, sono state predisposte e verranno inviate (…) comunicazioni personalizzate ai soggetti visualizzatori con l’esplicita richiesta di cancellazione completa di file/dati eventualmente salvati nel proprio PC. A tal fine l’Ospedale ha previsto, come ulteriore misura, il contatto telefonico da parte di un team costituito ad hoc per supportare, anche da un punto di vista tecnologico, i soggetti visualizzatori nella suddetta cancellazione”.

Infine, il sopracitato Ospedale pediatrico ha elencato le seguenti misure tecniche e organizzative adottate per prevenire, in futuro, violazioni analoghe: “richiesta al fornitore di inserire un test esplicito di "non-regression" per le evoluzioni future del software, in modo da evitare che la casistica di errore informatico individuata (…) possa ripetersi in futuro. E’ stato installato un filtro ulteriore, nel sistema interno all’Ospedale, che individua la casistica di errore e blocca il trasferimento dei relativi referti. Questa ulteriore misura approntata consente l'analisi, la correzione del dato e la possibile individuazione di eventuali errori del software. (…) Il bug individuato sui sistemi forniti all’Ospedale da Dedalus Italia S.p.A. è stato: - isolato negli effetti in via preliminare mediante azione dell’Ospedale attuata il giorno XX sui propri sistemi riceventi informazioni errate da parte dei sistemi in gestione al fornitore Dedalus Italia S.p.A.; - successivamente eliminato il giorno XX dal Fornitore. L’isolamento preliminare di cui al primo punto è stato introdotto come misura permanente difensiva all’interno del sistema di trasferimento dei messaggi (…) adottato dall’Ospedale, in modo da prevenire eventuali problematiche future legate ad un’errata formattazione dei campi identificativi dell’utenza, alla radice del problema che ha causato le violazioni riportate in questo documento. Verranno valutate ulteriori misure di restrizione dell’accesso ai referti sulla base della data di emissione degli stessi. Laddove un utente necessitasse di accedere a referti più risalenti, sarà inserita una procedura di richiesta esplicita, possibilmente in più fasi”.

In relazione a quanto rappresentato, l’Ufficio, con nota del XX (prot. n. XX), ha chiesto ulteriori informazioni e chiarimenti, ai sensi dell’art. 157 del Codice, al titolare del trattamento il quale, con nota del XX (prot. n. XX), ha fornito riscontro dichiarando, fra altro, che:

- “Al fine di chiarire (…), la correlazione tra il bug eliminato il giorno XX e l’errore oggetto di ulteriore segnalazione il giorno XX, si evidenzia quanto segue. L’Ospedale, individuato e isolato negli effetti in via preliminare il bug il giorno XX, (1) ha richiesto immediato supporto al Fornitore al fine di rimuovere il suddetto errore dal software, pertanto, tale azione ha fatto sì che i nuovi referti generati non fossero più corrotti; (2) ha provveduto ad oscurare i referti inesatti prodotti in conseguenza del bug. Ciò posto, al fine di procedere con l’azione di cui al precedente punto (2), si è reso necessario effettuare un’interrogazione dei sistemi per individuare quali fossero i referti errati prodotti. La lista generata è stata, successivamente, utilizzata per determinare l’eliminazione dei referti errati, effettuata nel medesimo giorno (XX). Tuttavia, ciò che al XX non era ancora noto, nelle more delle analisi preliminari ed immediate condotte dall’Ospedale con il supporto del Fornitore, era la presenza di una casistica di referti che erano stati intaccati dal bug in oggetto prima della sua rimozione, pertanto già presenti al XX e che, a causa della problematica occorsa, non erano stati individuati dall’interrogazione effettuata sui sistemi. L’ulteriore segnalazione del giorno XX ha consentito di ampliare il perimetro di analisi e di perfezionare l’individuazione dei referti che potenzialmente avrebbero potuto integrare un rischio per i diritti e le libertà delle persone fisiche. Ciò ha comportato un supplemento di analisi delle cause poste alla base della mancata rilevazione nella fase preliminare, che ha permesso l’individuazione della totalità dei referti residui errati e, infine, la loro rimozione definitiva; non sono stati rilevati, successivamente alla data del XX, ulteriori referti che potessero generare un rischio per i diritti e le libertà delle persone fisiche”;

- “Le misure adottate per porre rimedio alla violazione dei dati personali e anche per attenuarne i possibili effetti negativi hanno concretamente scongiurato la possibilità di verificarsi di eventi analoghi a quello in oggetto, poiché non è stato evidenziato né il ripresentarsi del bug precedentemente risolto, né di un analogo nuovo vulnus del sistema. Inoltre, le azioni poste in essere dall’Ospedale in via definitiva, hanno permesso di standardizzare metodiche di analisi ancor più di dettaglio, utilizzate anche per le fasi di test periodico e di analisi “a campione”, al fine di verificare la coerenza dei sistemi e la produzione dei referti nel tempo. Ad ogni modo, si rimarca come effettuata la segnalazione al Fornitore del sistema, lo stesso abbia provveduto ad apportare i dovuti correttivi e le verifiche effettuate, sia in ambiente di test sia di produzione hanno confermato come non possano più verificarsi analoghi episodi”;

- “(…) L’evento occorso, alla luce di quanto illustrato, ha determinato effetti (…) per un arco temporale limitato, ossia nel periodo compreso tra il 9 e il XX”;

- “(…) n. 6 persone (c.d. «Visualizzati») hanno subito una perdita di riservatezza, in quanto uno o più dei propri referti sono stati esposti a persone non autorizzate; n. 6 persone (c.d. «Visualizzatori») hanno avuto accesso a referti di altri interessati in modo erroneo, generando una perdita di riservatezza; nn. 8 persone hanno avuto un problema di probabile indisponibilità (una di esse faceva anche parte del gruppo «Visualizzatori»), il referto richiesto non era disponibile, pertanto hanno registrato un malfunzionamento e una difficoltà nell’utilizzo del servizio”;

- “(…) Nel dettaglio, le problematiche rilevanti sono state relative alla propagazione di un’errata associazione fra referto e identificativo del paziente, dando luogo alla “Condizione Errata” (…), in cui un referto corretto ed integro (contenente i dati ed i risultati delle analisi relative ad un “Paziente A” è stato erroneamente assegnato all’identificativo di un altro “Paziente B”);

- “l’Ospedale al fine di ottemperare compiutamente a quanto previsto dall’Articolo 34 del RGPD, ha predisposto e comunicato a mezzo posta la violazione agli interessati senza ingiustificato ritardo, trasmettendo due tipologie di comunicazioni entro il XX” e “(…) ha provveduto, come ulteriore misura, a contattare telefonicamente i soggetti Visualizzatori nella suddetta attività di cancellazione, tramite un team multidisciplinare costituito per fornire supporto, ove richiesto, anche da un punto di vista informatico agli interessati”;

- “(…) non sono pervenute, fino alla data odierna, ulteriori segnalazioni da parte degli interessati”.

In ultimo, il titolare del trattamento ha evidenziato di aver adottato il “Modello organizzativo privacy” e attivato specifici percorsi di formazione per il personale in materia di norme poste a protezione dei dati personali, allegando, altresì, gli atti di nomina della Società Dedalus Italia S.p.a. a responsabile del trattamento, relativi ai contratti di servizio stipulati.

Alla luce di quanto sopra riportato, con nota del XX (prot. n. XX), l’Ufficio ha richiesto informazioni, ai sensi dell’art. 157 del Codice, alla società Dedalus S.p.a., responsabile del trattamento, la quale, con nota del XX, ha fornito riscontro dichiarando, fra altro, quanto di seguito riportato.

- “Quanto a “la descrizione di dettaglio del bug”, esso ha riguardato la soluzione DNLAB (“DNLAB”), fornita dalla Società all’Ospedale Pediatrico Bambin Gesù (“OPBG”), ed è consistito nell’invio al sistema di gestione dati dello stesso OPBG, cioè il middleware Mirth, di messaggi HL7 di laboratorio contenenti un segmento d’informazione riportante un identificativo paziente diverso rispetto al contenuto del messaggio, cioè il referto delle analisi. La propagazione successiva di questi messaggi ha generato un’associazione errata tra referto e paziente negli altri applicativi integrati. Il problema era legato a un errore nel codice custom dell’integrazione, manifestatosi a fronte di una sovrapposizione dei contatori incrementali delle tabelle “Seqreferti” e “Seqrichiesta”. Il grafico di cui alla Fig. 1 riporta l’andamento storico di tali due valori, la cui sovrapposizione si è verificata il 9 giugno u.s.”.

Il responsabile del trattamento ha, poi, illustrato, anche attraverso alcuni grafici (“Andamento storico dell’assegnazione dei valori alle sequence “Seqreferti” e “Seqrichiesta”; Confronto dei valori “Seqreferti” e “Seqrichiesta” tra le ore 8:04:23 e le ore 8:06:53 del 9 giugno u.s.”) gli aspetti tecnici della dinamica della determinazione del bug, nonché dichiarato che “con riguardo a DNLAB non era e non è contrattualmente prevista “la realizzazione di test periodici di vulnerability assessment”. Né, al di là dell’assenza di un obbligo contrattuale in tale senso, la Società sarebbe stata in grado di svolgere autonomamente tali attività di vulnerability assessment, poiché DNLAB risiede interamente sull’ambiente di produzione di OPBG”.

2. Valutazioni del Dipartimento sul trattamento effettuato e notifica della violazione di cui all’art. 166, comma 5, del Codice

Sulla base di quanto sopra rappresentato, con atto del XX (prot. XX), che deve intendersi qui integralmente riprodotto, l’Ufficio ha avviato un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, nei confronti dell’Ospedale Pediatrico Bambino Gesù di Roma, quale titolare del trattamento, ai sensi dell’art. 166, comma 5, del Codice per aver effettuato un trattamento di dati sulla salute in violazione  del principio di “integrità e riservatezza” (art. 5, par. 1, lett. f), del Regolamento), dell’art. 9, nonché degli obblighi in materia di sicurezza del trattamento di cui all’art. 32 del Regolamento.

Con nota inviata in data XX, l’Ospedale pediatrico ha fatto pervenire le proprie memorie difensive nell’ambito delle quali ha evidenziato, fra altro, che:

- “L’evento occorso (…)” ha riguardato “(…) un arco temporale limitato, ossia nel periodo compreso tra il XX e il XX, anche grazie all’istituzione e all’attivazione del “Team Crisi” istituito con il Modello Organizzativo Privacy (MOP) adottato dall’Ospedale”;

- “(…) i Sistemi Informativi dell’Ospedale (…) (hanno) rilevato l’anomalia, circa 2 ore prima della segnalazione dell’interessato, richiedendo un supporto tecnico al Fornitore per effettuare un’analisi relativa al funzionamento inconsueto individuato”;

- “L’Ospedale, individuato e isolato negli effetti in via preliminare il bug il giorno XX, ha richiesto immediato supporto al Fornitore al fine di rimuovere il suddetto errore dal software (…) (e) ha provveduto ad oscurare i referti inesatti prodotti in conseguenza del bug; (…) effettuata la segnalazione al Fornitore del sistema, lo stesso ha provveduto ad apportare i dovuti correttivi e le verifiche effettuate, sia in ambiente di test sia di produzione hanno confermato come non possano ulteriormente verificarsi analoghi episodi”;

- “La risoluzione del problema da parte del Fornitore ha determinato una ridefinizione della procedura tale da eliminare il problema alla radice. Per questo motivo, l'Ospedale ha introdotto un filtro ulteriore, come misura permanente (e non solamente come test di "non-regression") difensiva all’interno del sistema di trasferimento dei messaggi HL7 adottato dall’Ospedale”; 

- “si evidenzia come, ad oggi, non siano emersi nei mesi successivi e non si siano registrate ulteriori conseguenze per gli interessati e i dati illegittimamente visionati non sono stati utilizzati per altri scopi o diffusi, né risultano esservi evidenze di ripercussioni consistenti in un danno fisico, materiale o immateriale agli interessati”;

- “L’OPBG nel corso del XX, in linea con un piano di miglioramento continuo, ha aggiornato il proprio Modello di Organizzazione Privacy (e) (…) avviato un progetto interno orientato nei prossimi mesi ad analizzare ulteriormente i processi aziendali, al fine di garantire la conformità allo schema volontario di certificazione ISDP©10003”;

- “si ritiene che la violazione abbia carattere colposo in quanto l’evento è stato generato dal bug individuato sui sistemi forniti dalla società Dedalus Italia S.p.A. (Responsabile del trattamento) all’Ospedale”;

- “in relazione alle misure tecniche e organizzative poste in essere, è bene evidenziare come in merito alle prime i software utilizzati diano garanzia in termini di rispetto del principio di minimizzazione; i dati sono conservati in sistemi posti in architettura protetta e ridondata, la cui composizione è periodicamente oggetto di una valutazione ad ampio raggio, volta ad individuare e rimuovere eventuali "single point of failure" introdotti con integrazioni successive; vengono effettuati backup quotidianamente; vi è una puntuale identificazione dei soggetti autorizzati a visualizzare i documenti, distinguendo i profili, tra personale sanitario e non, a cui è consentito l’acceso alla visualizzazione dei dati particolari; l'accesso tramite le funzioni applicative è regolato da utenze nominali; viepiù i sistemi software utilizzati dall’Ospedale hanno apposito sistema di log in grado di registrare tutti gli accessi ai dati effettuati dai singoli soggetti abilitati, in modo da poter sviluppare eventuali valutazioni su eventi anomali; infine, si evidenzia come il personale sia stato correttamente informato e formato in relazione alla normativa in materia di trattamento dei dati personali”.

3. Esito dell’attività istruttoria

Preso atto di quanto rappresentato nella documentazione in atti, si osserva che:

- per “dati relativi alla salute” si intendono “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, n. 15 del Regolamento). I dati personali relativi alla salute meritano una maggiore protezione dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali (Cons. n. 51);

- la disciplina in materia di protezione dei dati personali stabilisce che i medesimi dati devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (principio di “integrità e riservatezza”)” (art. 5, par. 1, lett. f) del Regolamento);

- il titolare e il responsabile del trattamento sono chiamati a porre in essere “misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio” tenendo conto, tra l’altro, “della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” (art. 32 par. 1, del Regolamento);

- in particolare il titolare e il responsabile del trattamento pongono in essere misure tecniche e organizzative che comprendano, tra le altre, se del caso, (…) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento (e) (…) una procedura per testare, verificare e valutare regolarmente l'efficacia (…) (di tali misure) al fine di garantire la sicurezza del trattamento” (art. 32, par. 1, lett. b) e d));

- per quanto attiene, specificamente, all’ambito sanitario, si evidenzia che la disciplina in materia di protezione dei dati personali prevede che le informazioni sullo stato di salute possano essere comunicate unicamente all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso previa delega scritta di quest’ultimo (art. 9 Regolamento);

- il bug operante nella soluzione “Dnlab” fornita dalla Società Dedalus S.p.a., responsabile del trattamento, determinando l’invio al sistema di gestione dati del titolare di messaggi HL7 di laboratorio contenenti un segmento d’informazione riportante un identificativo paziente diverso rispetto al contenuto del referto, ha comportato l’accessibilità dei referti di n. 6 pazienti ad altri sei pazienti non autorizzati a riceverli e l’indisponibilità di dati personali relativi a n. 8 pazienti;

- alla luce delle norme sopra richiamate, il titolare, con riferimento alla citata “componente di integrazione del software Dedalus Dnlab, del fornitore Dedalus Italia S.p.A.” oggetto di malfunzionamento determinante l’insorgenza del bug in questione, come dichiarato dal titolare medesimo e dal responsabile del trattamento, anche in considerazione della interconnessa funzione di tale programma con il sistema di gestione dati dell’Ospedale (middleware Mirth), avrebbe dovuto prevedere l’attuazione di adeguate misure di sicurezza, nonché le relative verifiche periodiche delle stesse, come richiesto dall’art. 32 per. 1, lett. b) e d) del Regolamento per assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza degli stessi;

- il titolare del trattamento, quale soggetto sul quale ricadono le decisioni sulle finalità e sulle modalità del trattamento dei dati personali degli interessati, ha una “responsabilità generale” per qualsiasi trattamento di dati personali che abbia effettuato direttamente o che altri abbiano effettuato per suo conto: in particolare, il titolare è responsabile dell’attuazione delle misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento è effettuato in conformità al Regolamento (artt. 4, par. 1, punto 7, 5, par. 2, 24 e Cons. n. 74, in relazione al c.d. principio di “accountability”, del Regolamento; inoltre, cfr. “Guidelines 7/2020 on the concepts of controller and processor in the GDPR”, adottate dal Comitato europeo per la protezione dei dati il 7 luglio 2021, in particolare, par. 2.1.4, punto 41);

- inoltre, si considera che: l’evento occorso si è verificato tra il XX e il XX e, pertanto, in un arco temporale limitato; non sono stati presentati reclami o segnalazioni all’Autorità e, da quanto dichiarato dal titolare, non sono emerse “ulteriori conseguenze per gli interessati e i dati illegittimamente visionati non sono stati utilizzati per altri scopi o diffusi, né risultano esservi evidenze di ripercussioni consistenti in un danno fisico, materiale o immateriale agli interessati”; il titolare ha dichiarato di aver rilevato l’anomalia, circa 2 ore prima della segnalazione dell’interessato; rispetto alla vicenda non emerge alcun comportamento doloso; l’Autorità ha preso conoscenza dell’evento a seguito della notifica di violazione da parte dell’Ospedale pediatrico. Il titolare ha subìto un precedente procedimento da parte dell’Autorità, riguardante una violazione pertinente (cfr. provv. del 24 giugno 2021, n. 250, doc. web n. 9689566).

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Per tali ragioni, considerato che, come sopra evidenziato, il Regolamento prevede, in capo al titolare,  una “responsabilità generale” per qualsiasi trattamento di dati personali che abbia effettuato direttamente o che altri abbiano effettuato per suo conto (art. 4, par. 1, punto 7 del Regolamento, nonché art. 5, par. 2, art. 24 e Cons. n. 74 del Regolamento in relazione al c.d. principio di “accountability”), anche con riferimento alla predisposizione di misure tecniche e organizzative che soddisfino i requisiti del Regolamento sotto il profilo della sicurezza, risulta che il trattamento di dati personali in questione, da parte dell’Ospedale Pediatrico Bambino Gesù di Roma, è stato effettuato:

- in maniera non conforme al principio di “integrità e riservatezza” in violazione dell’art. 5, par. 1, lett. f), del Regolamento;

- omettendo di mettere in atto misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, in grado di garantire la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento, nonché una procedura per testare, verificare e valutare regolarmente l'efficacia di tali misure al fine di garantire la sicurezza del trattamento (art. 32, par. 1, lett. b) e d));

- effettuando una comunicazione di dati relativi alla salute di n. 6 pazienti a sei soggetti terzi non autorizzati a riceverli, in assenza di un idoneo presupposto giuridico e, quindi, in violazione dell’art. 9 del Regolamento.

In tale quadro, considerato che sono state adottate misure volte a superare la vulnerabilità sopra descritta e provveduto a chiedere ai destinatari dei referti, oggetto di violazione, la distruzione di tali referti, non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, par. 1, lett. f), 9 e 32 del Regolamento causata dalla condotta riconducibile al titolare del trattamento, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 4 e 5, del Regolamento.

Tenuto conto che la violazione delle norme sopra citate ha avuto luogo in conseguenza di un’unica condotta, trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave. Considerato che, nel caso di specie, la violazione più grave riguarda l’inosservanza dell’art. 9 del Regolamento, soggetta alla sanzione amministrativa prevista dall’83, par. 5, del Regolamento, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000 o, per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore.

Si consideri che il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i), e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento alla luce degli elementi previsti all’art. 83, par. 2, del Regolamento.

Alla luce di quanto sopra illustrato, valutando la gravità della violazione (art. 83, par. 2, lett. a), b), g)), si tiene conto in particolare, della categoria dei dati personali trattati (relativi alla salute), della durata della violazione (4 giorni), del numero degli interessati (n. 6 con riferimento alla comunicazione di dati e n. 8 con riferimento alla perdita di disponibilità di dati personali), dell’assenza di dolo, dell’assenza di rimostranze circa eventuali danni subiti dagli interessati; alla luce di ciò si ritiene che il livello di gravità della violazione commessa dall’Ospedale pediatrico sia medio (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023, punto 60).

Si considerano, altresì, ai sensi dell’art. 83, par. 2, del Regolamento, le seguenti circostanze aggravanti e attenuanti:

- l’Autorità ha preso conoscenza dell’evento a seguito della notifica di violazione da parte dell’Ospedale pediatrico (art. 83, par. 2, lett. h), del Regolamento);

- il titolare ha subito un precedente procedimento riguardante una violazione pertinente (cfr. provv. del 24 giugno 2021, n. 250, doc. web n. 9689566) (art. 83, par. 2, lett. e) del Regolamento);

- il titolare ha dichiarato di aver rilevato l’anomalia, circa 2 ore prima della segnalazione dell’interessato, richiedendo un supporto tecnico al Fornitore per effettuare un’analisi relativa al funzionamento inconsueto (art. 83, par. 2, lett. k) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a), del Regolamento, nella misura di euro 8.000,00 (ottomila) per la violazione degli artt. 5, par. 1, lett. f), 9 e 32 del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e dall’art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dall’Ospedale Pediatrico Bambino Gesù sito in Roma, Piazza Sant'Onofrio n. 4, 00165 - Codice Fiscale/P.IVA: 80403930581 per la violazione degli artt. 5, par. 1, lett. f), 9 e 32 del Regolamento nei termini di cui in motivazione.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i), e 83 del Regolamento, nonché dell’art. 166 del Codice, all’Ospedale Pediatrico Bambino Gesù, di pagare la somma di euro 8.000,00 (ottomila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

all’Ospedale pediatrico, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 8.000,00 (ottomila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 24 gennaio 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
9988652
Data
24/01/24

Argomenti

Sanità e ricerca scientifica Dati sanitari Pazienti Data breach

Tipologie

Ordinanza ingiunzione o revoca

Vedi anche (10)