Il Garante per la protezione dei dati personali ha aperto un’istruttoria nei confronti dell’Azienda sanitaria locale Roma 1 in relazione a una violazione della normativa in materia di protezione dei dati personali, derivante dalla diffusione di dati personali sul sito relativo web istituzionale. Nello specifico, come emerso dalla verifica preliminare effettuata dall’Autorità, sul sito istituzionale dell’ASL, nella sezione “Amministrazione trasparente”, nell’area “Accesso civico / Registro degli accessi”, era possibile accedere a una pagina web in cui erano presenti due file intitolati:
- «Registro degli accessi XX», contenente il «registro provvisorio richieste accesso agli atti» riferite a 1119 istanze, con specifica indicazione dei seguenti dati: numero di registro, data e numero di protocollo, oggetto, mittente, destinatario (url: https://…);
- «Registro degli accessi XX», contenente il «registro provvisorio richieste accesso agli atti» riferite a 218 istanze, con specifica indicazione dei seguenti dati: numero di registro, data e numero di protocollo, oggetto, mittente, destinatario (url: https://…).
I suddetti documenti contenevano, nel campo oggetto e mittente, dati e informazioni personali, con specifica indicazione del nominativo del soggetto interessato o del proprio rappresentate legale, oppure di entrambi.
In alcuni casi erano contenuti anche dati relativi alla salute dei soggetti interessati, considerando che la tipologia di atti richiesti alla ASL, nella maggior parte degli accessi, era inerente a documentazione sanitaria (fra cui cartelle cliniche, accertamenti di invalidità, test, relazioni tecniche ecc.).
Nel campo oggetto, inoltre, si potevano frequentemente rinvenire ulteriori dettagliate descrizioni di quanto richiesto, con chiare indicazioni sempre a dati sulla salute dei soggetti interessati.
Pubblicati dati dell’ASL di Napoli e dell’ULSS di Padova: difendiamo la Sanità dal rischio cyber
Indice degli argomenti
Il contesto normativo di riferimento
Ai sensi della disciplina in materia di protezione dei dati personali, «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)» e «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).
Il RGPD definisce inoltre i «dati relativi alla salute» come i «dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute» (art. 4, par. 1, n. 15; considerando n. 35).
In tale contesto, i soggetti pubblici, come l’ASL, possono in generale diffondere «dati personali» secondo quanto previsto dall’art. 2-ter, commi 1 e 3, del Codice, e – in ogni caso – nel rispetto del principio di «minimizzazione», in base al quale i dati personali devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. c, del RGPD).
I dati relativi alla salute, invece, rientrano nelle «categorie particolari di dati personali», per i quali è previsto un espresso divieto di diffusione, ossia la possibilità di darne «conoscenza […] a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione» (art. 2-septies, comma 8; art. 2-ter, comma 4, lett. b, del Codice; art. 9 del RGPD, parr. 1, 2 e 4). Il medesimo divieto è peraltro richiamato dalla disciplina statale in materia di trasparenza, nella parte in cui prevede che «Restano fermi i limiti […] alla diffusione dei dati idonei a rivelare lo stato di salute […]» (art. 7-bis, comma 6, d. lgs. n. 33/2013).
Con particolare riferimento alla fattispecie in esame, l’opportunità di istituire «presso ogni amministrazione un registro delle richieste di accesso presentate (per tutte le tipologie di accesso)» è indicata nelle Linee guida dell’ANAC in materia di accesso civico, adottate d’intesa con il Garante (par. 9, Determinazione n. 1309 del 28/12/2016 recante le «Linee guida recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico di cui all’art. 5 co. 2 del d.lgs. 33/2013», in G.U. n. 7 del 10/1/2017. Nelle medesime Linee guida è precisato che il registro contiene «l’elenco delle richieste con l’oggetto e la data e il relativo esito con la data della decisione» ed è pubblicato sul sito web «oscurando i dati personali eventualmente presenti».
Occorre, inoltre, tenere in considerazione che la stessa disciplina statale in materia di trasparenza prevede espressamente che «Le pubbliche amministrazioni possono disporre la pubblicazione nel proprio sito istituzionale di dati, informazioni e documenti che non hanno l’obbligo di pubblicare ai sensi del presente decreto o sulla base di specifica previsione di legge o regolamento, nel rispetto dei limiti indicati dall’articolo 5-bis, procedendo alla indicazione in forma anonima dei dati personali eventualmente presenti» (art. 7-bis, comma 2, del d. lgs. n. 33/2013).
ASL Roma 1, valutazioni del Garante privacy
Nell’ambito dell’istruttoria aperta al riguardo dall’Autorità, l’Azienda sanitaria locale Roma 1 ha confermato, nelle proprie memorie difensive, l’avvenuta diffusione online dei dati personali descritti, riconducendo la propria condotta a un mero errore materiale dovuto alla circostanza di avere caricato il file provvisorio degli accessi, piuttosto che quello definitivo epurato dei dati personali ivi contenuti.
L’ASL ha dichiarato di avere provveduto a rimediare alla situazione e di avere adottato diverse misure tecniche e organizzative (descritte nelle memorie difensive) per pubblicare correttamente i documenti online, evidenziando – in ogni caso – di non avere ricevuto alcuna segnalazione da parte dei soggetti interessati al riguardo.
Esito dell’istruttoria
In tale quadro, si rileva che il trattamento di dati personali effettuato dall’Azienda sanitaria locale Roma 1 non è conforme alla disciplina rilevante in materia di protezione dei dati personali, in quanto la diffusione dei dati personali contenuti nel «Registro degli accessi» pervenuti all’ASL, è avvenuta in violazione:
1) del divieto di diffusione dei dati sulla salute dei soggetti interessati, previsto dall’art. 2-septies, comma 8, del Codice (cfr. anche l’art. 9, parr. 1, 2 e 4, del RGPD);
2) del principio di «minimizzazione» dei dati, che non sono risultati «limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (ossia la trasparenza amministrativa), previsto dall’art. 5, par. 1, lett. c), del RGPD;
3) delle disposizioni contenute nell’art. 7-bis, comma 2, del d. lgs. n. 33/2013; dell’art. 2-ter, commi 1 e 3, del Codice; dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD; nonché delle indicazioni contenute nelle Linee guida dell’ANAC (det. n. 1309/2016) e nella Circolare del Ministro per la pubblica amministrazione n. 1/2019.
Le sanzioni
Al riguardo, l’art. 83, par. 3, del RGPD, prevede che «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave».
Nel caso di specie, l’ASL Roma 1 è soggetta all’applicazione di una sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del RGPD, nella misura di euro 46.000,00 (quarantaseimila) per la violazione degli artt. 5, par. 1, lett. c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b); 9, parr. 1, 2 e 4, del RGPD; nonché degli artt. 2-ter, commi 1 e 3; 2-septies, comma 8, del Codice.
In relazione alle specifiche circostanze del presente caso, relative alla diffusione di dati personali online in violazione del divieto di diffusione di dati sulla salute nonché in assenza di una idonea base normativa e in violazione del principio di minimizzazione dei dati, si ritiene altresì che debba essere applicata la sanzione accessoria della pubblicazione del presente provvedimento sul sito Internet del Garante, prevista dall’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019.
