g-docweb-display Portlet

Provvedimento su data breach - 1° ottobre 2020 [9469345]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

VEDI ANCHE Newsletter del 26 ottobre 2020

 

[doc. web n. 9469345]

Provvedimento su data breach - 1° ottobre 2020

Registro dei provvedimenti
n. 174 del 1° ottobre 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal vice segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore l’avv. Guido Scorza;

PREMESSO

1. La violazione dei dati personali.

L’Università Campus Bio-medico di Roma (di seguito Campus Bio-medico) ha notificato al Garante una violazione di dati personali ai sensi dell’art. 33 del Regolamento relativamente al “sistema attraverso cui viene fornito al pubblico il servizio di consultazione on line dei referti”, a seguito della quale alcuni utenti hanno potuto visualizzare “dati relativi alla salute, in particolare immagini radiologiche associate a dati identificativi e referti clinici” di 74 altri utenti (comunicazione del XX, prot. n. XX).

Secondo quanto notificato, “i dati personali oggetto della violazione sono stati visualizzati da un numero limitato di soggetti determinati (allo stato, non più di 39 utenti), e che tali soggetti, in quanto pazienti/utenti alla stregua degli interessati, si trovano, presumibilmente, nella medesima condizione di quest’ultimi e perciò – verosimilmente - senza alcun interesse ad utilizzare/divulgare tali informazioni, specie per fini malevoli”. Nella predetta comunicazione è stato inoltre specificato che “nel corso dell’integrazione tra il sistema Carestream (CSAP-MyVue) ed il portale per i pazienti “MyHospital”, a causa di un errore umano nella configurazione di tale integrazione alcuni utenti del suddetto portale (solo quelli che hanno avuto accesso mediante dispositivo mobile) hanno avuto la possibilità di visualizzare dati personali relativi ad altri utenti” e che, “dopo aver ricevuto la segnalazione dell'incidente, si è provveduto immediatamente all'interruzione del servizio di pubblicazione delle immagini e dei referti di radiologia online. Contestualmente si è fatta la segnalazione al fornitore del sistema (Carestream)” che ha “individuato le cause del problema e ha provveduto ad apportare i seguenti correttivi: Reset del parametro dell’integrazione, al fine di impedire ulteriori azioni; Verifiche effettuate sia in ambiente di test sia di produzione, che hanno confermato come non possano più verificarsi accessi non autorizzati ai dati degli utenti; La knowledge-base dell’integrazione è stata aggiornata e contiene la raccomandazione di utilizzare lo “User Token” per un flusso di lavoro maggiormente robusto”.

Con la successiva integrazione della predetta notificazione, il Campus Bio-medico ha rappresentato che “in tutti i 74 casi riscontrati non risulta essere stato effettuato alcun download dei dati” e che “molti degli accessi illeciti sono avvenuti in un arco temporale che va dal 2016 al 2018” (nota del XX).

Con nota del XX, il Campus Bio-medico ha inoltre rappresentato che “la sequenza che porta al problema era la seguente: l’utente faceva accesso al servizio My-Hospital, utilizzando un browser da smartphone, tramite username e password. Poi, inserendo il codice segreto faceva accesso alla sezione relativa allo scarico dei documenti dove poteva visualizzare l’elenco di eventuali referti prodotti negli ultimi 45 giorni. Nel caso il referto fosse legato ad immagini l’utente selezionava il pulsante “guarda immagini” e visualizzava correttamente le immagini relativamente all’episodio clinico selezionato. Qualora l’utente, giunto a questo punto, invece di uscire, avesse selezionato il pulsante “indietro”, avrebbe visto sul portale MyVue – come dovuto e atteso – il proprio nominativo dal quale sarebbe stato nuovamente possibile accedere alle proprie immagini. Tuttavia, se a questo punto l’utente avesse selezionato nuovamente il pulsante “indietro”, avrebbe visto sul portale MyVue l’elenco ordinato alfabeticamente di tutti gli utenti, dal quale avrebbe potuto selezionare un nominativo diverso dal suo e quindi visualizzarne l’elenco degli esami e le relative immagini, cosa che nel corso degli anni è avvenuta in 39 casi. Come detto in precedenza lo stesso iter fatto da browser desktop non evidenzia alcuna anomalia”.

Successivamente, con la comunicazione del XX il Campus Bio-medico ha poi precisato che 25 dei predetti accessi sono stati effettuati nel “periodo compreso tra il 25 maggio 2018 e il 4 agosto 2019”.

2. L’attività istruttoria.

L’Ufficio, con atto n. XX del XX, ha notificato al Campus Bio-medico, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, paragrafo 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

In particolare l’Ufficio, nel predetto atto, ha rappresentato che, seppure la condotta oggetto dell’istruttoria da parte dell’Ufficio è iniziata prima della data di piena applicazione del Regolamento, al fine della determinazione della norma applicabile sotto il profilo temporale deve essere richiamato il principio di legalità di cui all’art. 1, comma 2, della legge n. 689 del 24/11/1981 che prevede che «Le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in esse considerati». L’applicazione di tale principio determina la conseguenza di prendere in considerazione le disposizioni vigenti al momento della commessa violazione. Nel caso che ci occupa, tale momento - considerando la natura permanente della condotta contestata - deve essere individuato nel momento di cessazione della condotta illecita, che dagli atti dell’istruttoria risulta essersi protratta almeno fino 4/8/2019, ossia in epoca successiva al 25/5/2018, data in cui il Regolamento è divenuto pienamente applicabile.

Nel predetto atto, l’Ufficio ha rilevato che, sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, il Campus Bio-medico, consentendo l’accesso agli utenti dell’App mobile MyVue ai dati sulla salute (immagini radiologiche, dati anagrafici e referti) di 74 interessati, ha effettuato una comunicazione di categorie particolari di dati degli interessati a terzi in assenza di un idoneo presupposto giuridico e, quindi, in violazione dei principi di base del trattamento di cui agli artt. 5 e 9 del Regolamento. In particolare, è stato rappresentato che il predetto trattamento di dati personali è stato effettuato in maniera non conforme ai principi di “liceità, correttezza e trasparenza”, nonché di “integrità e riservatezza” del trattamento, in violazione dell’art. 5, par. 1, lett. a) e f) del Regolamento e in assenza di un idoneo presupposto normativo, in violazione degli artt. 75 del Codice e 9 del Regolamento.

Con nota del XX, il Campus Bio-medico ha fatto pervenire le proprie memorie difensive, in cui sono stati rappresentati elementi ulteriori ed in particolare che:

- “A causa della predetta violazione, alcuni utenti, durante un arco temporale che va dal 25 novembre 2016 all’agosto del 2019, hanno potuto visualizzare i dati relativi alla salute, specificamente le immagini radiologiche associate a dati identificativi e referti clinici, di altri 74 utenti”;

- “Riguardo al bug in oggetto, inoltre, è d’uopo sottolineare come questo sembrerebbe non corrispondere ad alcun pattern noto in letteratura come vulnerabile, quanto piuttosto ad un baco logico introdotto dal fornitore durante l’integrazione del proprio prodotto col sistema MyHospital”. “Fermo restando quanto detto, si consideri che se il fornitore avesse rispettato linee guida per lo sviluppo del software sicuro o avesse effettuato attività di VAPT su tali sistemi, questi, con ogni probabilità, avrebbe potuto impedire – nel primo caso - o, comunque, limitare nel tempo - nel secondo caso – la violazione dei dati”;

- “l’anomalia di funzionamento in oggetto si sia verificata unicamente nella versione mobile (e non in quella utilizzata su browser PC) dell’applicazione MyVue del fornitore già Carestream Health Italia S.r.l., e come non risultino coinvolti gli altri servizi esposti sul portale MyHospital”;

- “non appena venuto a conoscenza dell’evento, il Titolare abbia tempestivamente: (i) sospeso il servizio; (ii) segnalato l’evento al fornitore del sistema onde consentirgli di identificare il problema e porvi rimedio in maniera definitiva; (iii) messo efficacemente in atto tutte le adeguate misure tecniche ed organizzative volte a verificare se potesse ritenersi configurata una violazione dei dati personali; (iv) informato l’autorità di controllo”;

- “Come noto, le condotte censurate sono ricollegabili ad un evento generato da un errore umano di configurazione nell’integrazione tra il sistema Carestream (CSAP-MyVue) ed il portale per i pazienti “MyHospital”, in quanto l’operatore incaricato dal fornitore del servizio impostava – in via del tutto accidentale - il valore booleano “true” in luogo di “false”;

- “stando a quanto emerge dalle evidenze relative all’indagine sui logs di accesso effettuata dallo staff tecnico della società fornitrice che gestisce il servizio Carestream Health Italia S.r.l. (oggi Philips S.p.A. in seguito a cessione del ramo aziendale), dal predetto data breach derivava la perdita di riservatezza di una quantità piuttosto limitata di dati personali (n.125), per di più riferiti a soli 74 altri utenti (interessati) su un totale di 30.000 utenti che nel periodo di riferimento si avvalevano del servizio di refertazione on line in questione. A ciò si aggiunga che l’ambito di conoscenza di tali informazioni risultava circoscritto a soli 39 altri utenti (del servizio);

- “non risultano pervenute al Titolare reclami o richieste di risarcimento dei danni ricollegabili alle violazioni in questione, laddove si consideri che parte degli accessi sono risalenti nel tempo (ovverosia al 2016)”.

3. Esito dell’attività istruttoria.

Preso atto di quanto rappresentato dal Campus Bio-medico nella documentazione in atti e nelle memorie difensive, si osserva che:

1. il Regolamento, nello stabilire un generale divieto al trattamento delle categorie particolari di dati personali, prevede una deroga nel caso in cui il trattamento sia necessario per finalità di diagnosi, assistenza e terapia sanitaria (art. 9, par. 2, lett. h) e par. 3 del Regolamento) e sia effettuato sulla base del diritto dell’Unione o degli Stati membri (cfr. al riguardo art. 12, d.l. n. 179/2012, DPCM n. 178/2015). Il trattamento dei dati personali in esame può essere ricondotto alle fattispecie indicate nell’art. 9, par. 2, lett. h) del Regolamento;

2. l’errore informatico sopra descritto ha determinato, in un arco temporale che va dal 25 novembre 2016 all’agosto del 2019, la possibilità che gli utenti del servizio di consultazione online dei referti potessero visualizzare i dati relativi alla salute, specificamente le immagini radiologiche associate a dati identificativi e referti clinici, di altri 74 utenti e che risulta documentato in atti che i predetti dati sono stati visualizzati da 39 utenti.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni si rileva l’illiceità del trattamento di dati personali effettuato dall’Università Campus Bio-medico di Roma nei termini di cui in motivazione, per violazione degli artt. 5, par. 2, lett. a) e f), e 9 del Regolamento e dell’art. 75 del Codice.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che il Campus Bio-medico ha dichiarato che l’errore informatico che ha determinato, in un arco temporale che va dal 25 novembre 2016 all’agosto del 2019, la possibilità che gli utenti del servizio di consultazione online dei referti potessero visualizzare i dati relativi alla salute, specificamente le immagini radiologiche associate a dati identificativi e referti clinici, di altri 74 utenti, è stato corretto, non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, par. 2, lett. a) e f), e 9 del Regolamento e dell’art. 75 del Codice, causata dalla condotta posta in essere effettuato dall’Università Campus Bio-medico di Roma, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par.5, lett. a) del Regolamento.

Si consideri che il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 85, par. 2, del Regolamento in relazione ai quali si osserva che:

- l’Autorità ha preso conoscenza dell’evento a seguito della notifica di violazione dei dati personali effettuata dallo stesso titolare e non sono pervenuti reclami o segnalazioni al Garante sull’accaduto (art. 83, par. 2, lett. a) e h) del Regolamento);

- il trattamento dei dati effettuato dal Campus Bio-medico, attraverso il servizio di refertazione online, riguarda dati idonei a rilevare informazioni sulla salute di numerosi interessati. L’evento ha determinato l’accessibilità, da parte degli utenti dell’App mobile MyVue, ai dati sulla salute (immagini radiologiche, dati anagrafici e referti) di 74 interessati, in un arco temporale che va dal 25 novembre 2016 all’agosto del 2019 (art. 4, par. 1, n. 15 del Regolamento e art. 83, par. 2, lett. a) e g) del Regolamento);

- l’assenza di elementi di volontarietà da parte del Campus Bio-medico nella causazione dell’evento (art. 83, par. 2, lett. b) del Regolamento);

- l’immediata presa in carico della problematica a cui è seguita l’individuazione di soluzioni correttive e risolutive (art. 5, par. 2 e art. 83, par. 2, lett. c) e d) del Regolamento);

- il titolare ha fin da subito dimostrato un elevato grado di cooperazione (art. 83, par. 2, lett. c), d) e f) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, tenendo anche conto della fase di prima applicazione delle disposizioni sanzionatorie ai sensi dell’art. 22, comma 13, del d. lgs. 10/08/2018, n. 101, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 4, lett. a) e par. 5, lett. b) del Regolamento, nella misura di euro 20.000 (ventimila) per la violazione degli artt. 5, par. 1, lett. a) e f) e 9 del Regolamento e 75 del Codice quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della potenziale numerosità dei soggetti interessati e della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dall’Università Campus Bio-medico di Roma, per la violazione degli artt. 5, par. 2, lett. a) e f), e 9 del Regolamento e dell’art. 75 del Codice nei termini di cui in motivazione.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, all’Università Campus Bio-medico di Roma con sede legale in Roma, in via Álvaro del Portillo 200, P. Iva 04802051005 / C. F. 97087620585, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 20.000 (ventimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento, secondo le modalità indicate in allegato, entro 30 giorni dalla notifica in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

al predetto Campus Bio-medico di pagare la somma di euro 20.000 (ventimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981. Al riguardo, si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro 30 giorni dalla data della notifica del presente provvedimento, ai sensi dell’art. 166, comma 8, del Codice (cfr. anche art. 10, comma 3, del d. lgs n. 150 dell’1/9/2011);

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 1° ottobre 2020

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL VICE SEGRETARIO GENERALE
Filippi