Con il termine “Data Breach” si indica una violazione di sicurezza dei dati personali che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati, compromettendone la riservatezza, l’integrità o la disponibilità, a danno del singolo soggetto interessato.
Lo scorso ottobre, a seguito delle segnalazioni ricevute, il Garante per la Protezione dei Dati Personali ha provveduto a sanzionare un policlinico romano per violazione del diritto di riservatezza di 74 pazienti rispetto agli esiti di altrettanti referti, messi a disposizione degli assistiti tramite pubblicazione su apposito portale online del nosocomio.
Difatti, 39 pazienti, i quali avevano ottenuto regolare accesso alla personale area riservata per la consultazione dei propri esiti, hanno avuto altresì accesso all’elenco alfabetico di 74 altri assistiti, e visualizzare i loro referti radiologici e l’elenco degli esami.
Preso atto del disservizio verificatosi (nonché, si evidenzia, della violazione posta in essere), la clinica romana ha comunque provveduto, in modo tempestivo, a sospendere la consultazione degli esiti e a correggere il problema riscontrato, segnalando l’incidente al fornitore del sistema informatico e, soprattutto, per quanto qui rileva, ad avvisare il Garante per la Protezione dei Dati Personali in conformità a quanto previsto dall’art. 33 del Regolamento UE 2016/679.
In forza di tale disposizione, infatti, il titolare del trattamento, sia esso un soggetto pubblico, un’impresa o un’associazione, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante per la protezione dei dati personali a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.
La comunicazione al Garante veniva accompagnata dalla spiegazione che l’evento era da imputarsi ad un errore umano nell’integrazione di due sistemi informatici e che, in ogni caso, il Policlinico aveva già provveduto ad informare pazienti interessati, così come specificato al par. 2 del sopracitato articolo.
Esaminata la vicenda, l’Autorità Garante per la Protezione de Dati Personali, valutata positivamente la condotta ampiamente collaborativa del nosocomio romano e l’assenza di reclami o richieste di risarcimento danni da parte dei pazienti coinvolti, ha provveduto ad applicare una sanzione amministrativa di € 20.000,00.
Nell’ambito delle attività di controllo avverso la violazione della privacy, si segnala la delibera collegiale dello scorso 1° ottobre del Garante per la Protezione dei Dati Personali con il quale è stato approvato il piano ispettivo per il secondo semestre 2020.
Si è previsto, infatti, che l’attività dell’Autorità, coadiuvata dal Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza, proseguirà quanto svolto già nel primo semestre, con attenzione specifica al fenomeno del “data breach” nel settore della fatturazione elettronica, dei software per la gestione del “whistleblowing” e del “food delivery”.
Il Garante, infatti, ha ritenuto opportuno continuare le attività di indagine in tali settori, anche sulla base delle risultanze ottenute nel periodo precedente, le quali hanno registrato un notevole incremento dalle sanzioni comminate: rispetto al primo semestre dello scorso anno, infatti, si è registrato un incremento del 481 % nella comminazione delle sanzioni (da € 1.223.000,00 del primo semestre 2019, si è passati a ben 7.108.000,00). Sono state effettuate, inoltre, iscrizioni a ruolo per un importo complessivo pari ad € 5.042.000,00 (+124%), a fronte dei € 2.248.000,00 euro del primo semestre 2019, che hanno riguardato trasgressori che non si sono avvalsi della facoltà di definizione agevolata prevista dal decreto legislativo n.101 del 2018.