È costata cara a un’azienda statunitense che commercializza in Italia prodotti per diabetici la disattenzione di un dipendente. Il Garante per la protezione dei dati personali ha infatti multato l’azienda in questione, titolare del trattamento, con una sanzione di 45.ooo euro per aver trasmesso mediante e-mail, a terzi non autorizzati, i dati sanitari di 2.000 pazienti affetti da diabete.
Il dipendente che si è macchiato del data breach era in smart working. La società, colpevole di aver trasmesso illecitamente, nel proprio sistema di monitoraggio del glucosio e mediante la posta elettronica, i dati sanitari dei 2.000 pazienti diabetici italiani, aveva comunque notificato tempestivamente il data breach al Garante per la protezione dei dati personali, ai sensi dell’articolo 33 del GDPR.
Cybersecurity, ecco le 10 regole d’oro per non farsi fregare dagli hacker
Indice degli argomenti
Dati sanitari violati, cos’è successo
Nel contesto di una campagna informativa indirizzata ad alcuni gruppi di clienti, un dipendente della società aveva erroneamente inserito gli indirizzi e-mail dei destinatari, affetti da patologia diabetica, nel campo “CC” (Carbon Copy o Copia conoscenza), invece che nel campo “BCC” (Blind Carbon Copy o Copia conoscenza nascosta).
A causa di tale negligenza, ciascun destinatario ha avuto la possibilità di prendere visione degli indirizzi di posta elettronica degli altri destinatari della e-mail istituzionale; più in dettaglio, conseguenza di siffatto comportamento che potrebbe apparire banale, terzi non autorizzati hanno potuto visualizzare indirizzi email di persone potenzialmente interessate a prodotti per il diabete, ovvero indirizzi email dei loro caretaker.
Perché l’e-mail è un dato personale
L’indirizzo e-mail, anche se non contiene riferimenti anagrafici diretti, può essere considerato dato personale
Gli indirizzi e-mail illegittimamente trattati erano, in alcuni casi, costituiti da una combinazione di nome e cognome che rende, in tal modo, possibile identificare il soggetto in questione. L’indirizzo e-mail, sebbene privo di riferimenti al nome per intero o comunque ad altri dati direttamente identificativi degli interessati, trattandosi appunto di informazione che indirettamente può ricondurre a una persona fisica, rientra, infatti, nella definizione di dato personale, secondo quanto stabilito dal Regolamento n. 679/2016 (sull’indirizzo e-mail come dato personale si vedano anche i Provv.ti del Garante del 25 giugno 2002, doc. web n. 29864 e del 24 giugno 2003, doc. web n. 1132562).
Inoltre, informazioni rientranti nella categoria particolare di dati personali di cui all’Art. 9 del GDPR erano state illecitamente comunicate a terzi non autorizzati, sebbene le e-mail in questione, nel loro contenuto, non avessero ad oggetto informazioni di dettaglio sulla salute degli interessati, posto che il contenuto della e-mail faceva inequivocabilmente riferimento alla presenza di una patologia diabetica e che gli indirizzi dei destinatari erano quelli che i pazienti avevano fornito proprio in relazione alla predetta patologia.
Per “dati relativi alla salute”, devono giustappunto intendersi “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, paragrafo 1, nn. 1 e 15 del Regolamento).
Invio e-mail a più mittenti: cosa dice il Garante privacy
Pertanto, l’invio di comunicazioni, attraverso un unico messaggio di posta elettronica rivolto a più destinatari, i cui indirizzi sono inseriti nel campo copia conoscenza (c.c.) e non in quella pure disponibile (b.c.c.) che consente facilmente di oscurare la visualizzazione ai destinatari degli altri indirizzi email, cui è ugualmente rivolto il messaggio, di fatto, senza giustificato motivo e in assenza di idoneo presupposto giuridico, ha comportato, nel caso di specie, una divulgazione vicendevole a più destinatari di comunicazioni riguardanti lo stato di salute degli altri pazienti, implicando un trattamento di dati sulla salute, in violazione degli artt. 5, par. 1 lett. a) e f) e 9 del Regolamento.
I dati personali devono essere infatti “trattati in modo lecito, corretto e trasparente” (principio di “liceità, correttezza e trasparenza”) e “in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (principio di “integrità e riservatezza”)” (art. 5, par. 1, lett. a) e f) del Regolamento). L’art. 5, par. 1, lett. f) del Regolamento introduce un principio da cui deriva l’obbligo di trattare i dati in modo da garantirne l’integrità e la riservatezza, la cui violazione è appunto sanzionabile ai sensi dell’art. 83, par. 5 del Regolamento.
Nel caso narrato, quindi, le misure tecniche ed organizzative, sebbene nel concreto implementate, non si sono dimostrate adeguate, in considerazione del fatto che la violazione si è perpetrata all’interno dell’organizzazione aziendale, essendo dovuta ad un errore umano di uno dei dipendenti della medesima azienda, senza contare che le norme in materia di protezione dei dati personali stabiliscono che le informazioni sullo stato di salute possono essere trasmesse unicamente all’interessato e possono essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso previa delega scritta di quest’ultimo (art. 9 Regolamento e art. 83 d.lgs. n. 196 del 30 giugno 2003 (Codice in materia di protezione dei dati personali – di seguito, il “Codice”), da leggere in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101).
L’Autorità, nella sua ingiunzione, fa menzione, a tal proposito, anche del provvedimento generale del 9 novembre 2005, doc. web n. 1191411, destinato alle strutture sanitarie che trattano dati personali di pazienti e alle misure da adottare per assicurare il rispetto della dignità di questi ultimi, ritenuto compatibile con il Regolamento n. 679/2016 e con le disposizioni del decreto n. 101/2018.
Diversi trattamenti, differenti consensi
Nel corso dell’istruttoria, sono inoltre emerse ulteriori inosservanze della disciplina in materia di protezione dei dati riferite all’utilizzo del sistema di monitoraggio del glucosio dell’azienda sottoposta ad indagine. In occasione del download dell’applicazione, gli utenti erano, infatti, chiamati ad accettare sia “i termini del contratto di licenza con l’utente finale” che l’informativa privacy e le condizioni di utilizzo dell’app, mediante un unico “clic” sul tasto “accetto”, autorizzando contestualmente la conservazione, la trasmissione e l’uso dei dati, comprese, senza limitazioni la conservazione nel Regno Unito, la trasmissione negli USA per finalità limitate (ad esempio, ingegneristiche e di assistenza clienti), secondo i termini dell’EULA e dell’informativa privacy.
Mancavano, pertanto, consensi diversi per diverse finalità di trattamento, in palese violazione del principio di specificità del consenso.
Come dev’essere l’informativa
Venivano, poi, violati anche i principi di correttezza e trasparenza, in quanto l’informativa resa risultava non conforme al quadro normativo vigente, poichè priva di alcuni degli elementi essenziali indicati dall’articolo 13 del GDPR.
Come del tutto assente, infine, era la designazione, da effettuarsi con mandato scritto, del rappresentante del titolare del trattamento nell’Unione Europea, quale interlocutore, in particolare delle autorità di controllo e degli interessati, per tutte le questioni riguardanti il trattamento dei dati personali, come invece espressamente viene richiesto dall’art. 27 del Regolamento n.679/2016, quando un titolare del trattamento, come era per l’azienda in questione, non è stabilito in uno degli Stati membri in cui si trovano gli interessati e i cui dati personali sono trattati nell’ambito dell’offerta di beni o servizi o il cui comportamento è monitorato.
Conclusione
Nonostante le violazioni, innanzi, evidenziate fossero palesemente gravi, il Garante, nel quantificare la sanzione, ha comunque tenuto conto dell’assenza di precedenti violazioni a carico dell’azienda e del fatto che la violazione fosse scaturita da un erroneo umano, seppure caratterizzato da colpa grave, ma che comunque non prevedeva nella condotta alcuna intenzionalità in capo al titolare del trattamento, dimostratosi peraltro collaborativo verso il Garante, avendo adottando, sin da subito, quanto necessario a correggere la situazione e scongiurare il ripetersi della condotta.
