I provvedimenti spiegati alle aziende
con guide, checklist, modelli; AI assisted
Osservatorio a cura del dott. V. Spataro 



   documento 2023-01-28 ·  NEW:   Appunta · Stampa · Cita: 'Doc 96246' · pdf

Ordinanza ingiunzione nei confronti di Casa di cura Fondazione Gaetano e Piera Borghi s.r.l. 2 dicembre 2021 [9734884]

abstract:



Documento annotato il 28.01.2023 Fonte: GPDP
Link: https://garanteprivacy.it/web/guest/home/docweb/-/




analisi:

L'analisi è riservata agli iscritti. Segui la newsletter dell'Osservatorio oppure il Podcast iscrizione gratuita 30 giorni




index:

Indice

  • Ordinanza ingiunzione nei confronti di C
  • IL GARANTE PER LA PROTEZIONE DEI DATI PE
  • PREMESSO
  • 1. La violazione dei dati personali.
  • 2. L’attività istruttoria.
  • 4. Conclusioni
  • 5. Adozione dell’ordinanza ingiunzione
  • TUTTO CIÒ PREMESSO IL GARANTE
  • ORDINA
  • INGIUNGE
  • DISPONE



testo:

E

estimated reading time: 28 min

[doc. web n. 9734884]

Ordinanza ingiunzione nei confronti di Casa di cura Fondazione Gaetano e Piera Borghi s.r.l. - 2 dicembre 2021

Registro dei provvedimenti
n. 422 del 2 dicembre 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al Trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al Trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. La violazione dei dati personali.

Con nota del XX la Casa di cura Fondazione Gaetano e Piera Borghi s.r.l. (di seguito “Casa di cura”) ha notificato al Garante, ai sensi dell’art. 33 del Regolamento, una Violazione dei dati personali in relazione a un attacco informatico riconducibile al gruppo hacker LulzSec_ITA, che ha comportato la pubblicazione, sul profilo Twitter del medesimo gruppo, di immagini radiologiche riconducibili alla Casa di cura, dichiarando di essere venuta a conoscenza del descritto episodio in data XX, a seguito di comunicazione da parte della polizia postale.

In particolare, la Casa di cura ha rappresentato che “un soggetto qualificatosi come hacker e denominato LulzSecITA, ha pubblicato sul proprio account di Twitter il seguente messaggio: «Tanti soldi spesi nella sanità, e poi nostri dati privati e sensibili, sono protetti da Password di default. Che schifo». Da controlli immediatamente richiesti al Responsabile del Trattamento dei dati — Amministratore di Sistema Società Med Store Saranno S.r.l., tale nominato con atto del XX (…), è emerso che dalla schermata che avrebbe dovuto consentire ai soli medici facenti capo alla Fondazione l'accesso da remoto ad esami diagnostici, misura questa introdotta in data XX nel quadro delle misura anti assembramento per fronteggiare il Covid, era possibile accedere ai dati mediante Password di default e non dedicate, in tal modo rendendo l'accesso ai dati non impossibile. In particolare, dai citati controlli sui file di log eseguiti dal citato responsabile, è emerso che sono state visionate dall’hacker un solo fotogramma di indagine radiologica di un interessato (l’indagine completa è composta da una pluralità di immagini) e la radiografia di altro interessato, senza poter vedere in entrambi i casi alcun referto, poiché non accessibile dal web. In ogni caso la pubblicazione su Twitter è avvenuta oscurando il cognome e ogni altro dato utile all’identificazione. Il citato Responsabile ha ammesso l’accaduto, assumendosi la responsabilità dello stesso e precisando di aver subito rimosso le cause. (…). Il legale della Fondazione provvederà alle necessarie iniziative nei confronti del Responsabile del trattamento”.
Nella citata notifica è stato altresì evidenziato che la violazione avrebbe coinvolto utenti della diagnostica di laboratorio e che la Casa di cura, al momento, non riteneva che sussistessero i presupposti per la comunicazione di cui all’art. 34 del Regolamento. Ha, infatti considerato le probabili conseguenze “nulle per gli interessati, in quanto l'accesso ha consentito di individuare solo nome e cognome, ma non altri dati tali da individuare il soggetto in modo univoco; nemmeno il nome della Fondazione Borghi è stato scoperto. In sostanza, il dato rivelato ha riguardato unicamente che un soggetto avente un certo nome e cognome ha svolto un esame di diagnostica in una struttura sanitaria, senza che sia possibile l’individuazione univoca né dell'uno né dell’altro”.

2. L’attività istruttoria.

A seguito della citata notifica, l’Ufficio ha chiesto alla Casa di cura di fornire alcuni elementi utili alla valutazione dei profili in materia di protezione dei Dati personali (nota del XX prot. n. XX).

La Casa di cura ha fornito riscontro, anche sulla base dei chiarimenti forniti dal Responsabile del trattamento, dichiarando che “questo gruppo [gli hacker, n.d.a.] è riuscito ad entrare nell'IP pubblico […] nello specifico non è stata usata per la configurazione la porta standard "80" ma la una porta NON STANDARD "88", solo arrivando a questo punto ha trovato l'accesso "admin" "admin" […] Il radiologo ha sempre usato questa Password per gli accessi”. Per quanto attiene, poi, alle misure adottate per porre rimedio alla Violazione dei dati personali e per attenuarne i possibili effetti negativi nei confronti degli interessati, la Casa di cura ha rappresentato che “il Responsabile del Trattamento conferma nelle sue comunicazioni di avere provveduto alla sostituzione delle Password di accesso immediatamente dopo aver ricevuto la segnalazione” e che “l’adozione del protocollo sicuro HTTPS è stata commissionata e sarà implementata nei tempi tecnici a ciò strettamente necessari” (v. nota del XX punti c), d) e h)).

In relazione a quanto comunicato dalla Casa di cura, l’Ufficio, con atto del XX prot. n. XX, ha avviato, ai sensi dell’art. 166, comma 5, del Codice, con riferimento alle specifiche situazioni di illiceità in esso richiamate, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2 del Regolamento, nei confronti della Casa di cura, invitandola a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, l. n. 689 del 24 novembre 1981).

In particolare l’Ufficio, nel predetto atto, ha preliminarmente rappresentato che:

- le informazioni oggetto della violazione costituiscono Dati personali relativi alla salute, che meritano una maggiore protezione dal momento che il contesto del loro Trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali (Cons. n. 51);

- la disciplina in materia di protezione dei Dati personali stabilisce che i medesimi dati devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)” (art. 5, par. 1, lett. f) del Regolamento);

- in materia di sicurezza dei dati personali, il Titolare del Trattamento e il Responsabile del Trattamento devono mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” (…). “Nel valutare l’adeguato livello di sicurezza si tiene conto in special modo dei rischi presentati dal Trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a Dati personali trasmessi, conservati o comunque trattati” (art. 32 del Regolamento);

- dall’esame della documentazione in atti, sono emersi alcuni profili di criticità relativi agli obblighi in materia di sicurezza del trattamento, con particolare riferimento all’utilizzo di protocolli di rete non sicuri e alla mancata definizione di Password policy;

• in relazione al primo profilo, al momento della violazione, l’installazione volta a  consentire al radiologo di visionare le immagini da refertare, effettuata da remoto il XX, consentiva l’accesso al software MED Dream -visualizzatore DICOM ideato per diagnosi, visualizzazione, Archiviazione e trasmissione di immagini medicali fruibile mediante browser web e una Password di accesso- su protocollo http (hypertext transfer protocol), un protocollo di rete che non garantisce l’integrità e la riservatezza dei dati scambiati tra il browser dell’utente e il server che ospita il servizio/sito web e non consente agli utenti di verificare l’autenticità del server a cui si collegano;

• quanto al secondo profilo, al momento della violazione, l’accesso al software MED Dream da parte del radiologo era effettuato con un’utenza di tipo amministrativo (admin) e Password non robusta (admin).

Nel predetto atto, era stato, quindi, evidenziato che il mancato utilizzo di strumenti di crittografia per la trasmissione dei dati e l’accesso al software MED Dream in assenza di controlli sulla qualità delle Password utilizzate-per utenze tecniche e per utenze in uso a soggetti autorizzati-, di misure per la modifica obbligatoria delle stesse al primo utilizzo o, comunque, periodicamente, nonché di meccanismi di blocco automatico delle utenze, non risultavano conformi alle disposizioni di cui all’art. 5, par. 1, lett. f) e all’art. 32 del Regolamento, tenuto conto della natura dei dati in questione (anche relativi alla salute) e degli elevati rischi derivanti dalla loro possibile acquisizione da parte di terzi.

Ciò premesso, sulla base degli elementi in atti, con la predetta nota del XX, l’Ufficio ha reputato che, al momento in cui si è verificata la violazione dei dati personali, la Casa di cura avesse effettuato un Trattamento in violazione degli obblighi in materia di sicurezza del Trattamento di cui all’art. 32 del Regolamento e dei principi di base di cui all’art 5 del medesimo Regolamento.

Con nota del XX, la Casa di cura ha fatto pervenire le proprie memorie difensive, corredate da specifica documentazione, nelle quali, in particolare, dopo aver descritto la vicenda in esame, è stato rappresentato che:

a) “l’elaborazione dell’immagine è stata fatta mediante il software MED Dream, ideato, fornito ed installato dalla Società Med Store Saronno S.r.l., nominata Responsabile del Trattamento con atto scritto del XX (…). Nella home page del citato Responsabile il software fornito è così decritto:

“medDream è un visualizzatore DICOM pensato per diagnosi, visualizzazione, Archiviazione e trasmissione di immagini medicali; medDream è stato progettato per un reale supporto al medico professionista nel quotidiano processo decisionale, collegando tutti i dati medici in una rete unica e veloce; medDream garantisce un modo rapido e affidabile per cercare, visualizzare e analizzare immagini mediche, segnali e file video su vari dispositivi: computer, smartphone, tablet e così via. Il Visualizzatore DICOM medDream è approvato dalla FDA per uso diagnostico, certificato CE come dispositivo medicale e può essere utilizzato a scopo di diagnosi primaria o anche di revisione. Il visualizzatore è stato pensato per la distribuzione veloce e senza necessità di installazione, bastano un browser web e una Password di accesso”;

b) “sono stati immediatamente richiesti i necessari controlli e verifiche al Responsabile del Trattamento dei dati, il cui legale rappresentante ha (..) risposto in data XX” dichiarando: di essere “molto dispiaciut(o) per l’accesso non Autorizzato da parte di hacker che hanno, non so come, identificato l’IP della tua struttura. L'installazione nel Tuo centro è stata effettuata da remoto il XX in piena emergenza COVID per consentire al radiologo di visionare le immagini DICOM da remoto. Negli accessi non autorizzati che abbiamo riscontrato sono state visualizzate alcune immagini poi twittate”; “non essendoci nel sistema dati sensibili rilevanti dei pazienti (medDream è solo un visualizzatore di immagini radiologiche), l’Hacker di turno ha perso subito l’interesse al nostro sistema rivolgendosi subito altrove”; “abbiamo analizzato i LOG da quando installato e in particolare del giorno 24 e 26 Maggio e non risultano accessi se non quelli dei radiologi autorizzati. Il giorno 25 alle ore 11.50 abbiamo registrato accessi molto veloci e non comuni a radiologi che normalmente refertano l’intero studio composto da centinaia di immagini. In questi brevi login sono state visualizzate le singole immagini (non tutto lo studio) dei pazienti indicati nel Twitter. Nel pomeriggio, come confermato anche dal radiologo, abbiamo sostituito tutte le Password e bloccato ogni possibilità di accesso”; “la tecnologia utilizzata in medDream NON consente il salvataggio dei dati in locale, al logout tutti i dati vengono cancellati”; “nel nostro visualizzatore medDream NON sono presenti altri dati sensibili oltre a Nome Cognome Sesso e data di nascita del paziente ma non visibili nel messaggio messo in rete”; “nelle nostre installazioni la procedura prevede, oltre alle Password di accesso personalizzate per ogni radiologo, la protezione in HTTPS (certificato SSL). Per fare ciò è necessario associare il Vostro indirizzo ip pubblico (…..) ad un dominio web e conseguentemente acquistare un certificato SSL per il dominio stesso. Una volta ottenuta la chiave privata ed il certificato siamo in grado di configurare il server web dove risiede l'applicativo MedDream, per rispondere al protocollo HTTPS”; “ora terminata l’emergenza, se siete in accordo con la nostra proposta, possiamo procedere con quanto indicato sopra”.

c) “Med Store ha pienamente riconosciuto le proprie responsabilità̀ nell’accaduto”, anche a seguito di richieste di chiarimenti relativamente alla procedura di attribuzione delle credenziali;

d) “il legale rappresentante della Med Store S.r.l. ha chiarito quanto segue in merito alla proceduta di attribuzione delle credenziali: «Questo gruppo [gli hacker, n.d.a.] è riuscito ad entrare nell’IP pubblico del Suo assistito, ha identificato con una precisa attività di hackeraggio, nello specifico non è stata usata per la configurazione la porta standard “80” ma la porta NON STANDARD “88”, solo arrivando a questo punto ha trovato l’accesso “admin” “admin”. Di sicuro una attività non eseguibile per normali utenti del web; (…) il software medDream visualizza le immagini, nessun referto, interpretazione o quant’altro di sensibile per il paziente. Il radiologo ha sempre usato questa Password per gli accessi»”;

e) “il Responsabile del Trattamento conferma (…) di avere provveduto alla sostituzione delle Password di accesso immediatamente dopo aver ricevuto la segnalazione”;

f) “sul punto dei profili di autorizzazione, il Responsabile del Trattamento ha così precisato: «La procedura prevede l’assegnazione al radiologo di una USER ID e PASSWORD. La USER ID viene associata al nome del radiologo mentre la Password (è) composta da caratteri maiuscoli e min uscoli e da almeno un numero. E’ inoltre disponibile l’accesso attraverso USERID e Password generate dal dominio del Vostro cliente in LDAP, utilizzando le policy di sicurezza del Vostro assistito»”;

g) “a seguito degli accadimenti, la Fondazione ha commissionato l’adozione del protocollo sicuro HTTPS, che sarà implementata contestualmente alle eventuali prescrizioni ulteriori che dovessero emergere all’esito del presente procedimento”;

h) con riferimento all’art. 83, par. 2, lett. a) del Regolamento “si ritiene che la violazione – ove ritenuta sussistente – è certamente di particolare tenuità. Emerge, infatti, anche dai file di log, che: a) è stato visionato dall’hacker un solo fotogramma di indagine radiologica di un interessato, mentre l’indagine completa – l’unica che consente una qualche valutazione a personale altamente qualificato - è composta da una pluralità di immagini; b) è stata visionata la radiografia di un solo altro interessato; c) in entrambi i casi nessuno ha potuto vedere alcun referto, poiché non accessibile dal web; d) pubblicazione su Twitter è avvenuta oscurando il cognome e ogni altro dato utile all’identificazione”;

i) con riferimento all’art. 83, par. 2, lett. b) del Regolamento “non vi possono essere dubbi sull’elemento soggettivo nel caso di specie: non vi è stata alcuna intenzione, né coscienza e volontà da parte della Fondazione in ordine agli accadimenti. Ove la violazione si ritenga avvenuta, essa assume i caratteri della colpa lieve. In particolare, ribadito che la Fondazione non ha fornito alcun contributo causale all’accaduto, essendo tale contributo riferibile esclusivamente ed integralmente al Responsabile del Trattamento, non vi è alcuna culpa in eligendo né culpa in vigilando”;

j) con riferimento all’art. 83, par. 2, lett. c) del Regolamento, “ammesso che gli interessati abbiano subito un danno, alla segnalazione è immediatamente seguita una reazione di totale messa in sicurezza della procedura di accesso”;

k) con riferimento all’art. 83, par. 2, lett. d) del Regolamento, “la Fondazione si è da tempo dotata di un modello organizzativo di gestione della privacy particolarmente avanzato e completo, curandone al tempo stesso il costante e tempestivo aggiornamento grazie anche al supporto ed all’attività del DPO. Le misure tecniche e organizzative poste in essere appaiono adeguate alla luce dello stato dell'arte, dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento”;

l) con riferimento all’art. 83, par. 2, lett. e) del Regolamento, “la Fondazione non ha commesso alcuna altra violazione, essendo il presente il primo procedimento sanzionatorio nel quale è coinvolta”;

m) con riferimento all’art. 83, par. 2, lett. f) del Regolamento, “la Fondazione ha immediatamente spedito al Garante la pertinente segnalazione ed ha tempestivamente riscontrato ogni richiesta pervenuta, fornendo tutti i chiarimenti e mettendo a diposizione dell’Autorità tutta la documentazione utile”;

n) con riferimento all’art. 83, par. 2, lett. g) del Regolamento, “si tratta di pochi singoli fotogrammi di diagnostica, assolutamente non eloquenti e non interpretabili in sé e per sé nemmeno da personale altamente qualificato, men che meno dal comune cittadino”;

o) con riferimento all’art. 83, par. 2, lett. k) del Regolamento, “nel caso di specie occorre mettere in rilievo l’assoluta eccezionalità̀, gravità e delicatezza del contesto in cui è maturata la decisione della Fondazione e le ragioni di tale decisione. Allo scopo di garantire la sicurezza dei lavoratori, dei pazienti e dei visitatori della Fondazione – che si ribadisce essere un luogo di ricovero e cura – è stata adottata la decisione di limitare gli accessi in struttura ai casi indifferibili e strettamente necessari. In tale contesto, si è reso necessario implementare un sistema di accesso da remoto alla diagnostica per immagini, in particolare allo scopo di consentire lo svolgimento di consulti medici e clinici tra l’equipe curante ed il professionista in grado di interpretare correttamente tali immagini. La Med Store quale Responsabile del Trattamento regolarmente nominato ha garantito che tale implementazione avrebbe assicurato la piena compliance al GDPR. Tutto ciò per fare fronte alla difficilissima situazione legata alla diffusione pandemica del virus COVID 19; si sottolinea che la Fondazione ha l’obbligo di fornire prestazioni curative ma al tempo steso ha l’obbligo altrettanto cogente di garantire la salute e la sicurezza in luogo di lavoro al proprio personale ed ai pazienti. Lo scopo perseguito con l’introduzione della refertazione in remoto, non era quindi legata a ragioni di lucro o di interesse, bensì risponde a precisi obblighi legati all’attività̀ istituzionale svolta dalla Fondazione ed alla tutela di un bene, quale quello della salute, di primario rilievo”.

La Casa di cura, chiedeva, pertanto, di accogliere la richiesta di Archiviazione o, in via subordinata, di concludere il procedimento con l’irrogazione di una sanzione di min ima entità̀.

3. Esito dell’attività istruttoria.

Preliminarmente, si osserva che il Titolare può affidare un Trattamento “a responsabili del Trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il Trattamento soddisfi i principi del Regolamento”, anche per la sicurezza del trattamento, tenuto conto degli specifici rischi derivanti dallo stesso (artt. 28, par. 1, 24 e 32 del Regolamento; cfr. anche Cons. n. 81). In questo caso “i trattamenti da parte di un Responsabile sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, che vincoli il Responsabile al Titolare e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di Dati personali e le categorie di interessati, gli obblighi e i diritti del titolare” (art. 28, par. 3 del Regolamento).

Nel corso dell’istruttoria è emerso che l’installazione che consentiva al medico radiologo di visionare le immagini da refertare, permetteva l’accesso al citato software MED Dream -visualizzatore DICOM pensato per diagnosi, visualizzazione, Archiviazione e trasmissione di immagini medicali fruibile mediante browser web e una Password di accesso- su protocollo http (hypertext transfer protocol), ossia un protocollo di rete che non garantisce l’integrità e la riservatezza dei dati scambiati tra il browser dell’utente e il server che ospita il servizio/sito web e non consente agli utenti di verificare l’autenticità del server a cui si collegano.

Al riguardo, tenuto conto della natura dei dati oggetto di accesso e degli elevati rischi derivanti dalla loro possibile acquisizione da parte di terzi, si ritiene che l’utilizzo del protocollo http per accedere al software MED Dream, nonché l’assegnazione di un’utenza di tipo amministrativo (admin) e Password non robusta (admin) al medico radiologo, non possano essere considerate misure idonee a garantire un adeguato livello di sicurezza (artt. 5, par. 1, lett. f), e 32, par. 1, lett. a) del Regolamento, che individua espressamente la cifratura come una delle possibili misure di sicurezza idonee a garantire un livello di sicurezza adeguato al rischio; v. anche Cons. n. 83 del Regolamento nella parte in cui prevede che “il Titolare del Trattamento […] dovrebbe valutare i rischi inerenti al Trattamento e attuare misure per limitare tali rischi, quali la cifratura”; art. 32, par. 1, lett. b) del Regolamento, che stabilisce che il Titolare e il Responsabile del Trattamento debbano mettere in atto misure per “assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento”).

Le argomentazioni difensive della Casa di cura, in relazione alla mancata adozione di misure per la cifratura nel trasporto dei dati e all’assenza di controlli sulla qualità delle Password utilizzate per utenze tecniche e per utenze in uso a soggetti autorizzati, di misure per la modifica obbligatorie delle stesse al primo utilizzo o, comunque, periodicamente, nonché di meccanismi di blocco automatico delle utenze (in caso di ripetuti tentativi di accesso non andati a buon fine), seppur tenute in debita considerazione ai fini del presente provvedimento, non sono però sufficienti a escludere completamente la responsabilità del Titolare del Trattamento con riguardo agli obblighi derivanti dalla disciplina in materia di protezione dei Dati personali (cfr. artt. 24 e 32 del Regolamento).

Sebbene, infatti, nel corso dell’istruttoria, la Casa di cura abbia rappresentato che la predetta installazione sia stata prevista soltanto per far fronte all’esigenza di consentire al personale medico, nell’ambito del contesto emergenziale della pandemia, di visualizzare le immagini radiologiche da refertare da remoto, al fine di evitare ogni possibile accesso alla struttura e di tutelare la salute dei medici e dei pazienti, si osserva che la configurazione per l’accesso al software MED Dream mediante protocollo HTTPS o, in ogni caso, l’adeguamento in tal senso, nel min or periodo possibile, nonché la creazione e l’assegnazione di utenze nominali ai soggetti autorizzati al Trattamento sono operazioni che avrebbero potuto essere effettuate da remoto, anche nel contesto emergenziale.

La circostanza che la società Med Store Saronno s.r.l., quale Responsabile del Trattamento, ha garantito che l’installazione del software MED Dream avrebbe consentito l’accesso da remoto alla diagnostica per immagini, assicurando “la piena compliance al GDPR”, non esonera da responsabilità la Casa di cura, che avrebbe dovuto svolgere attività di vigilanza, controllo o revisione in merito alla sicurezza dei dati trattati, per proprio conto, dalla Società Med Store Saronno s.r.l.

Ciò, in ragione del fatto che il Titolare è il soggetto sul quale ricadono le decisioni circa le finalità e le modalità del Trattamento dei Dati personali degli interessati e che ha una “responsabilità generale” sui trattamenti posti in essere (artt. 4, par. 1, punto 7, art. 5, par. 2 del Regolamento - c.d. principio di “accountability” e art. 24 del Regolamento); lo stesso è, infatti, tenuto a “mettere in atto misure adeguate ed efficaci [e…] dimostrare la conformità delle attività di Trattamento con il […] Regolamento, compresa l’efficacia delle misure” (Cons. n. 74), anche con riferimento alla predisposizione di misure tecniche e organizzative che soddisfino i requisiti del Regolamento sotto il profilo della sicurezza (artt. 24 e 32 del Regolamento). Tale obbligo, sussiste, altresì, quando talune operazioni di Trattamento siano poste in essere da un Responsabile per suo conto e quando utilizza prodotti o servizi realizzati da terzi (cfr. le recenti decisioni del Garante relative anche al ruolo e alle connesse responsabilità del Titolare e del Responsabile del trattamento: provv. 17 settembre 2020, nn. 160 e 161, doc. web nn. 9461168 e 9461321, provv. 11 febbraio 2021, n. 49, doc. web n. 9562852, nonché provv. 17 dicembre 2020, nn. 280, 281 e 282, doc. web nn. 9524175, 9525315 e 9525337; cfr. anche già provv. 7 marzo 2019, n. 81, doc. web n. 9121890).

4. Conclusioni

Dall’istruttoria effettuata, emerge che le misure tecniche e organizzative adottate dalla Casa di cura, per il tramite della Società Med Store Saronno s.r.l., per la gestione dell’accesso al citato software MED Dream, con particolare riferimento all’utilizzo del protocollo “http” e alle modalità di assegnazione delle Password utilizzate, non sono idonee a garantire un livello di sicurezza adeguato ai rischi dello specifico trattamento. Ciò ha contribuito, peraltro, a creare le premesse per il verificarsi della violazione dei dati personali, oggetto di notifica, con la conseguente illecita acquisizione di dati personali, anche relativi alla salute, degli interessati.

Per le ragioni sopra esposte, contrariamente a quanto sostenuto nelle memorie difensive, l’incidente di sicurezza verificatosi non può essere ritenuto imputabile soltanto alla Società Med Store Saronno s.r.l., ma anche alla Casa di cura, la quale, anch’essa, si è resa Responsabile della mancata adozione di misure tecniche e organizzative adeguate a garantire la riservatezza e l’integrità dei Dati personali trattati mediante il software MED Dream, in violazione degli artt. 5, par.1, lett. f) e 32 del Regolamento.

Pertanto, premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice (“Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”), all’esito dell’esame della documentazione acquisita nonché delle dichiarazioni rese all’Autorità nel corso del procedimento, e alla luce delle valutazioni sopra richiamate, gli elementi forniti dal Titolare del Trattamento nelle memorie difensive ˗ seppure meritevoli di considerazione e indicative della piena collaborazione del Titolare del Trattamento al fine di attenuare i rischi del Trattamento -  non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni si rileva l’illiceità del Trattamento di Dati personali effettuato dalla Casa di cura Fondazione Gaetano e Piera Borghi s.r.l. per aver effettuato un Trattamento di in violazione degli obblighi in materia di sicurezza del Trattamento di cui all’art. 32, par. 1, del Regolamento e dei principi di base di cui all’art 5, par. 1, lett. f) del medesimo Regolamento.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5 e 32 del Regolamento, determinata dal Trattamento di dati personali, oggetto del presente provvedimento, effettuato dalla Casa di cura, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, lett. a) e par. 4, lett. a) del Regolamento.

Si consideri che il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2, del Regolamento in relazione ai quali si osserva che:

dalle risultanze degli atti, l’episodio risulta essere stato isolato e determinato da un comportamento doloso da parte di un soggetto Terzo rilevato anche dalla polizia postale e la responsabilità di natura colposa della Casa di cura assume la forma della colpa lieve (art. 83, par. 2, lett. a) e b) del Regolamento);

la violazione ha riguardato dati sulla salute ma non ha interessato referti, in quanto si è trattato di un solo fotogramma di indagine radiologica di un interessato e di una radiografia relativa ad altro interessato; inoltre la pubblicazione su Twitter da parte degli hacker è avvenuta oscurando il cognome e ogni altro dato utile all’identificazione (art. 83, par. 2, lett. a) e g) del Regolamento);

la Casa di cura è intervenuta prontamente per attenuare gli effetti della violazione occorsa nonché per prevenire il ripetersi di eventi analoghi, accogliendo la proposta della Società Medstore Saronno s.r.l. di attivare la protezione in HTTPS (certificato SSL) (art. 83, par. 2, lett. c) del Regolamento);

l’Autorità ha preso conoscenza dell’evento a seguito della notifica di Violazione dei dati personali effettuata, senza ingiustificato ritardo, dallo stesso Titolare del trattamento, che si è dimostrato prontamente e estremamente collaborativo durante tutta la fase istruttoria e procedimentale (art. 83, par. 2, lett. f) e h) del Regolamento);

non sono pervenuti reclami o segnalazioni al Garante sull’accaduto, non risultano precedenti violazioni pertinenti commesse dal Titolare del Trattamento né sono stati precedentemente disposti provvedimenti di cui all’art. 58 del Regolamento (art. 83, par. 2, lett. i) del Regolamento);

la necessità di implementare un sistema di accesso da remoto alla diagnostica per immagini è nata nel contesto emergenziale da pandemia da Covid-19, al fine di consentire lo svolgimento di consulti medici e clinici tra l’equipe curante ed il professionista in grado di interpretare correttamente tali immagini, evitando l’accesso in sede (art. 83, par. 2, lett. k) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 4, lett. a) e par. 5, lett. a) del Regolamento, nella misura di euro 30.000,00 (trentamila) per la violazione degli artt. 5 e 32 del medesimo Regolamento quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata la violazione degli artt. 5 e 32 del Regolamento, dichiara l’illiceità del Trattamento di Dati personali effettuato dalla Casa di cura Fondazione Gaetano e Piera Borghi s.r.l. nei termini di cui in motivazione;

ORDINA

alla Casa di cura Fondazione Gaetano e Piera Borghi s.r.l., con sede legale in via Petrarca n. 33, 21020 Brebbia (Va), C.F./P.IVA 02779700125, in persona del legale rappresentante pro-tempore, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, di pagare la somma di euro 30.000,00 (trentamila) a titolo di sanzione amministrativa pecuniaria per la violazione di cui al presente provvedimento; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Casa di cura, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 30.000,00 (trentamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

- la pubblicazione del presente provvedimento sul sito web del Garante, ai sensi dell’art. 166, comma 7, del Codice;

- l’annotazione del presente provvedimento nel registro interno dell’Autorità - previsto dall’art. 57, par. 1, lett. u), del Regolamento, nonché dall’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante - relativo alle violazioni e alle misure adottate in conformità all'art. 58, par. 2, del Regolamento medesimo.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 2 dicembre 2021


IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei


Link: https://garanteprivacy.it/web/guest/home/docweb/-/

Testo del 2023-01-28 Fonte: GPDP




Commenta



i commenti sono anonimi e inviati via mail e cancellati dopo aver migliorato la voce alla quale si riferiscono: non sono archiviati; comunque non lasciare dati particolari. Si applica la privacy policy.







Nota: il dizionario è aggiornato frequentemente con correzioni e giurisprudenza