Sanzioni: il Garante interviene in due nuovi casi e inaugura l’attività ispettiva 2020

Recentemente sono giunti all’attenzione del Garante due casi di trattamento illecito dei dati relativi alla salute: in entrambi, la violazione è derivata dalla condotta negligente del personale in servizio presso gli Enti Titolari del trattamento e dalla mancata adozione di adeguate misure di sicurezza organizzative.

Analizziamone i dettagli.


Il caso del Comune

Il primo caso riguarda la sanzione irrogata al comune di Francavilla Fontana, a causa della pubblicazione di una determina dirigenziale per la liquidazione delle spese legali relative a un procedimento giudiziario in cui era stato parte il Comune, che riportava in chiaro i dati di una patologia riferita a un’istanza di riconoscimento dell’infermità per cause di servizio, presentata dal reclamante.

Dopo avere accertato la violazione della disciplina in materia di protezione dei dati personali e dunque l’indebita diffusione di informazioni relative alla salute del reclamante, il Garante ha rilevato un’ulteriore violazione,  in quanto la stessa Determina pubblicata sull’Albo pretorio riportava anche le coordinate di conto corrente bancario dell’avvocato al quale dovevano essere liquidate le spese del procedimento.

Poiché il trattamento in questione è stato effettuato in contrasto con i principi di corretto trattamento, tra cui, in particolare, il principio di minimizzazione dei dati, l’Autorità ha dichiarato l’illiceità della condotta del Comune, ordinando il pagamento di una sanzione amministrativa di 10.000 euro.

 

…e il caso della Provincia

Il secondo caso riguarda invece un’articolazione della Provincia di Trento, che in prossimità dell’avvio dell’anno scolastico, aveva inviato una e-mail (contemporaneamente e con gli indirizzi in chiaro) a sedici genitori di bambini non in regola con l’obbligo delle vaccinazioni.

La violazione era stata tempestivamente notificata al Garante dalla Provincia autonoma di Trento, come disposto dall’art. 33 del Regolamento in materia di data breach.

L’Ufficio del Garante alla luce di quanto accaduto e secondo quanto prescritto dal Regolamento, afferma che:

  • Le informazioni oggetto della predetta e-mail, sono qualificabili dati relativi alla salute di minori, poiché tra i soggetti non in regola potrebbero essere ricompresi minori rientranti nei casi di esonero, omissione o differimento connesse a situazioni di morbilità, pregresse o attuali – temporanee o permanenti (art. 4, par. 1, n.15 del Regolamento);
  • il trattamento di dati personali sulla salute, ai sensi dell’art. 9, par. 1, del Regolamento è in generale vietato, salvo che si verifichi uno dei casi previsti dal par. 2, dello stesso articolo e nel rispetto dei presupposti di cui all’art. 2-sexies del Codice in materia di protezione dei dati personali;
  • la disciplina in materia di protezione dei dati personali prevede che le informazioni sullo stato di salute siano trattate sulla base di un idoneo presupposto giuridico (art. 9 del Regolamento);
  • il Regolamento, stabilisce inoltre, che i dati personali, devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)” (art. 5, par. 1, lett. f) del Regolamento).
  • il titolare del trattamento è tenuto, in ogni caso, a rispettare i principi in materia di protezione dei dati, fra i quali quello di «liceità, correttezza e trasparenza» nonché di «minimizzazione», in base ai quali i dati personali devono essere «trattati in modo lecito, corretto e trasparente nei confronti dell’interessato» e devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. a) e c), del Regolamento);

Per un adeguato trattamento dei dati, sarebbe stato più corretto inviare l’e-mail a ciascun genitore in modo personalizzato, o utilizzando lo strumento della copia conoscenza nascosta (ccn), per rendere ogni indirizzo riservato.

Di conseguenza l’Autorità, oltre ad aver dichiarato illecito il trattamento, ha ammonito la Provincia a conformare l’invio di comunicazioni alle disposizioni e ai principi che tutelano i dati personali.

La tutela dei dati particolari

È opportuno ribadire che quando si trattano dati particolari è necessario adottare le cautele e misure di sicurezza adeguate ai procedimenti posti in essere (sfruttando le diverse metodologie a disposizione: oscuramento dei dati, anonimizzazione, ecc) per evitare di incorrere in gravi sanzioni.

Infatti, nonostante l’art. 9 par.1 del GDPR preveda il divieto generale di trattare dati particolari relativi alla salute della persona, sono previste comunque delle deroghe (ex art. 9.par 2) in tal senso qualora, ad esempio, l’interessato abbia espresso uno specifico consenso al trattamento (o in relazione a specifiche esigenze), quando necessario per assolvere gli obblighi in tema di diritto del lavoro e sicurezza sociale, sanità pubblica, o per motivi di interesse pubblico (…).

L’attività ispettiva del 2020

Non a caso l’attività ispettiva curata dall’Ufficio del Garante, anche per mezzo della Guardia di finanza, riferita al periodo gennaio-giugno 2020, prevede tra i vari ambiti di intervento – proprio per ricalcare la necessità di una maggiore tutela di questi dati –  accertamenti nell’ambito di:

  • trattamenti di dati personali effettuati da Enti pubblici relativamente alla c.d. medicina di iniziativa;
  • trattamenti di dati relativi alla salute effettuati da società multinazionali operanti nel settore farmaceutico e sanitario.

I controlli si concentreranno anche sull´adozione delle misure di sicurezza da parte di pubbliche amministrazioni e di imprese che trattano particolari categorie di dati personali, sul rispetto delle norme sulla informativa e il consenso, sui tempi di conservazione dei dati.

Ovviamente quelli sopra indicati sono solo due degli ambiti oggetto delle ispezioni, che interesseranno anche i trattamenti effettuati da intermediari per la fatturazione elettronica, i trattamenti effettuati da società rientranti nel settore “Food Delivery” e i trattamenti effettuati da società private in tema di banche reputazionali.

Ricordiamo infine che proprio la protezione dei dati e, nello specifico, il trattamento dei dati sanitari sarà una delle tematiche che affronteremo in occasione del Mastercourse ANORC, diretto dall’avv. Andrea Lisi.
La sessione primaverile si svolgerà a Roma a partire dal 1 aprile.