Un altro data breach in ambito sanitario: l’invio di certificati di esenzione ai pazienti sbagliati costa 10.000 euro di sanzione amministrativa ad una ASL veneta.
Il Garante per la protezione dei dati personali, con il provvedimento 197 del 17 maggio 2023, ha ribadito che le aziende sanitarie devono adottare tutte le misure tecniche e organizzative necessarie per evitare che i dati dei pazienti siano comunicati per errore ad altri destinatari.
Indice degli argomenti
Cosa è successo
A seguito di reclami formulati da diversi assistiti e dalla successiva notifica di data breach, il Garante ha avviato un procedimento, nei confronti dell’Azienda ULSS 6 Euganea.
In particolare, gli interessati lamentavano di avere ricevuto una comunicazione a loro indirizzata, ma contenente un “certificato di esenzione dalla partecipazione alla spesa sanitaria per motivi di reddito rilasciato dalla Regione del Veneto – Azienda ULLS n. 6 Euganea in attuazione al d.m. 11/12/2009” ma relativa a una terza persona, di cui si riportavano dati personali quali nome, cognome, luogo e data di nascita, codice fiscale, codice di esenzione.
Questo data breach ha coinvolto ben 39.852 assistiti, minori di 6 anni e maggiori di 65, con reddito inferiore a 36.151,98 euro e non è stato comunicato direttamente agli interessati perché la violazione è stata ritenuta non suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
L’istruttoria e il provvedimento del Garante
Con l’avvio del procedimento, il Garante ha invitato l’azienda sanitaria a produrre degli scritti difensivi in quanto è stato ritenuto che la stessa Azienda, comunicando dati personali a terzi in assenza di un idoneo presupposto giuridico, aveva effettuato un trattamento di dati in violazione dei principi di esattezza e di integrità e riservatezza (art. 5 par. 1, lett. d) e f) del Regolamento), dei principi di base del trattamento di cui all’art. 6 e degli obblighi in materia di sicurezza di cui all’art. 32 del Regolamento.
Nelle sue memorie, l’azienda sanitaria ha ricostruito l’origine del data breach.
In particolare, l’invio ai cittadini del certificato di esenzione avveniva attraverso il servizio Postel che provvedeva al confezionamento della lettera accompagnatoria predisposta e dell’elenco dei nominativi degli interessati caricati sulla piattaforma.
Nel caso di specie è emerso un disallineamento tra i dati personali dell’anagrafica di destinazione e i dati personali relativi al certificato di esenzione.
Tale disallineamento (provocato da un malfunzionamento del software Microsoft Excel) ha poi causato il data breach.
L’Azienda, oltretutto, aveva previsto dei meccanismi di controllo sull’output delle elaborazioni prima di confermarne l’invio che prevedevano una verifica sulla piattaforma Postel dell’anteprima della lettera di trasmissione generata, che l’operatore ha espletato al fine di valutare eventuali possibili disallineamenti.
Tale verifica è stata effettuata senza che però emergesse l’errore quindi il problema oggetto del data breach, secondo l’asl, era imputabile ad un errore randomico non ricorsivo del programma Microsoft Excel.
Il livello del potenziale impatto per gli interessati, poi, è stato considerato “basso” perché i dati di un soggetto sono stati resi noti ad un unico soggetto diverso; gli interessati coinvolti, inoltre, appartengono tutti alla medesima fascia di assistiti aventi diritto all’esenzione fiscale.
Infine, la comunicazione inviata ad un unico soggetto diverso dal destinatario non contiene dati particolari né presenta riferimenti specifici e dettagliati relativi al reddito, indicando esclusivamente l’appartenenza alla macrocategoria di utenti rientranti nella fascia di esenzione 7R2, ossia minori di 6 anni, maggiori di 65 anni con reddito del nucleo familiare inferiore a 36.151,98 euro.
Preso atto di quanto dedotto dall’azienda sanitaria, il Garante ha rilevato che comunque il GDPR prevede che il trattamento dei dati personali è lecito solo se e nella misura in cui ricorre una delle condizioni previste dall’art. 6 e ove i dati personali siano trattati per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, a soggetti che intendono trattarli per altre finalità, la loro comunicazione è ammessa se prevista da una norma di legge o di regolamento o da atti amministrativi generali (art. 2-ter, commi 1 e 3 del Codice).
Il titolare del trattamento, inoltre, è tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di esattezza, secondo cui “devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono stati trattati” e quelli di integrità e riservatezza, secondo i quali i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (art. 5, par. 1, lett. f) del Regolamento).
E a proposito di sicurezza del trattamento dei dati. L’art. 32 del GDPR, stabilisce che “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento [devono mettere] in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio […]” (par. 1) tenendo conto, in particolare dei rischi rappresentati dalla distruzione, perdita, modifica, divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
Nel caso di specie tutti gli elementi raccolti nella fase istruttoria hanno portato l’autorità garante a rilevare l’illiceità del trattamento dei dati personali effettuato dall’Azienda ULSS 6 Euganea, per aver trattato dati personali in violazione dei principi di base del trattamento cui agli artt. 5 e 6 del Regolamento nonché degli obblighi in materia di sicurezza di cui all’art. 32 del Regolamento.
Il Garante, poi, considerato che l’Azienda ha inviato agli assistiti coinvolti il certificato di esenzione corretto a mezzo posta ordinaria, chiedendo di distruggere il precedente ricevuto, non ha ritenuto ricorressero i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.
Ha invece ritenuto di applicare una sanzione amministrativa pecuniaria determinata nell’ammontare di 10.000 euro, anche tenuto conto:
- dell’elevato grado di cooperazione dell’azienda durante la fase istruttoria e procedimentale;
- dell’assenza di precedenti violazioni;
- del numero comunque molto elevato di interessati coinvolti;
- del fatto che la violazione non è stata determinata da atteggiamenti dolosi e che la scelta di procedere con l’invio massivo al domicilio degli assistiti dei certificati di esenzione era stata assunta nel contesto emergenziale per evitare assembramenti presso gli sportelli dell’Azienda che ha pianificato, peraltro, ulteriori misure per ridurre al minimo eventuali futuri errori, in particolare mediante l’attivazione di un portale online attraverso cui sarà possibile scaricare direttamente i certificati d’esenzione in formato digitale.
Il precedente
Benché ultimo in ordine di tempo, questo non è l’unico data breach del genere che si ricordi.
L’autorità Garante ha sanzionato per 7.000 euro anche un’altra azienda socio sanitaria territoriale per aver consegnato un supporto digitale riferito a una prestazione medica a un soggetto diverso da quello legittimato a riceverlo.
In particolare, a una paziente è stata consegnata una busta correttamente intestata (come nel caso di apertura) ma con dentro il supporto digitale di un’altra prestazione, erogata a favore di un altro soggetto.
In questo caso la violazione è stata causata dall’errore di un operatore nella formazione della busta.
La paziente che ha ricevuto il supporto digitale, accortasi dello sbaglio, lo ha segnalato all’ASST che a sua volta ha notificato il data breach al Garante Privacy.
Il DPO ha fatto poi in modo di mettere a disposizione del legittimo interessato il referto erroneamente consegnato.
Rilevata l’illiceità del trattamento di dati personali effettuato dall’ASST, per aver comunicato informazioni personali, relative alla salute di un interessato, ad un soggetto terzo, è seguita la sanzione perché il titolare del trattamento è tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di integrità e riservatezza, secondo il quale i dati personali devono essere trattati in maniera da garantire un’adeguata sicurezza, compresa la protezione mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione, diffusione o da danni accidentali.
