g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Azienda sanitaria unica regionale Marche - 13 gennaio 2022 [9744496]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9744496]

Ordinanza ingiunzione nei confronti di Azienda sanitaria unica regionale Marche - 13 gennaio 2022

Registro dei provvedimenti
n. 9 del 13 gennaio 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il Cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il D.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. L’attività istruttoria

1.1. Notizia stampa

Una notizia stampa del 6 gennaio 2021, riportata ne “Il manifesto”, disponibile all’indirizzo: https://ilmanifesto.it/marche-il-buco-dello-screening-dati-accessibili-a-chiunque, ha dato evidenza di una vulnerabilità nel sistema di acquisizione e gestione dei dati dello screening del Covid-19, in relazione alla possibilità di accesso da parte di terzi ad alcuni dati personali (nome, cognome, numero di cellulare e, in un caso, l’esito del tampone effettuato nell’ambito di un programma di screening Covid-19) degli assisiti dell’Azienda sanitaria unica regionale Marche (di seguito “Azienda”). In particolare, attraverso l’utilizzo dell’App denominata “Smart4You”, era possibile leggere il Codice QR presente sul talloncino rilasciato a chiunque si era sottoposto allo screening per Covid-19, al fine di consultare il “proprio dossier medico con le cartelle cliniche, le varie prenotazioni ospedaliere effettuate e i relativi esiti”. Secondo quanto riportato nella citata notizia stampa, tale codice “non (era) elaborato in maniera casuale, ma segue un semplice criterio progressivo: a ogni numero corrisponde un utente e basta cambiare una cifra per accedere al profilo di qualcun altro”.

A seguito della predetta notizia stampa, l’Ufficio ha richiesto informazioni alla Regione Marche che aveva, al riguardo, dato notizia del predetto servizio in un comunicato stampa (https://www.regione.marche.it/In-Primo-Piano/ComunicatiStampa//id/29699/p/1/ OPERAZIONE-MARCHE-SICURE-DAL--AL--GENNAIO-SCREENING-PER-I-CITTADINI-DI-SAN-BENEDETTO-DEL-TRONTO) (cfr. nota dell’XX, prot. n. XX).

In risposta alla richiesta di informazioni dell’Ufficio, la Regione Marche, con nota del XX, ha dichiarato che “non sussiste in capo alla Giunta regionale né la titolarità del trattamento, né altra responsabilità in tema di protezione dei dati personali connessa alla vicenda segnalata” e ha inoltrato una relazione del Responsabile della protezione dei dati dell’Azienda, nella quale è stato rappresentato che quest’ultima l’XX aveva provveduto a effettuare la notifica di violazione all’Autorità, ai sensi dell’art. 33 del Regolamento e a presentare denuncia alla Polizia postale per l’eventualità che si fosse verificato un accesso abusivo al sistema informatico regionale.

1.2. Notifica di violazione

La citata notifica, effettuata in data XX, è stata, a seguito di ulteriori indagini e approfondimenti, successivamente integrata in data XX.

Nell’ambito delle citate notifiche, è stato dichiarato che ““nell’articolo sono confuse le attività di screening con le informazioni connesse al dossier sanitario elettronico in uso presso la Area Vasta 5 di ASUR Marche. Nella realtà nei database le istanze di screening e dossier sono del tutto separate, pur essendo entrambi raggiungibili dal sito web https://www.cureprimarie.it, accessibili secondo modalità del tutto differenti dal punto di vista autorizzativo e di autenticazione” (v. notifica del XX, sez. C punto 5, che rimanda ad allegato “Documentazione di integrazione data breach n. XX dell’XX”, par. “Sintesi per il valutatore”; in tal senso anche  la notifica del XX, sez. D punto 1).

Secondo quanto indicato nei predetti atti, la vulnerabilità - presente da metà dicembre al 6 gennaio 2021 - avrebbe riguardato la piattaforma gestione dello screening, (https://www.cureprimarie.it) limitatamente al servizio “Screening COVID-19 San Benedetto”, e la app “Smart4You“ connessa con il medesimo screening relativamente alla funzione di lettura rapida dell’esito del proprio tampone tramite QR‐code generato sequenzialmente che era stato consegnato ai soli partecipanti alle attività di screening Covid‐19 nelle fasi iniziali di accettazione e che associa direttamente partecipante‐esito tampone (v. nota del XX, sez. D punto 1).

Più in particolare, per quanto riguarda la app “Smart4You” l’Azienda ha precisato che: la medesima applicazione richiedeva una registrazione da parte dell’assistito mediante inserimento di un indirizzo e‐mail, un numero di telefonia mobile e il codice OTP, inviato al numero di cellulare indicato in fase di prenotazione iniziale; gli interessati coinvolti dalla vulnerabilità (codifica sequenziale per l’individuazione dell’esito del tampone) sono stati 35 (v. nota del XX, sez. C, punto 11 e allegato “Documentazione di integrazione data breach n. XX del XX”, par. “Sintesi per il valutatore”); la violazione è “limitata ai soli dati anagrafici e, ove presente, al numero di cellulare del soggetto. In nessun caso risultano accessi agli esiti del tampone, a meno di un singolo riconducibile al soggetto che ha effettuato la forzatura del sistema”; “un ex dipendente del fornitore dell’applicativo di Dossier Sanitario Elettronico (NBS Srl), installato presso l’Area Vasta n. 5 di ASUR Marche, ha effettuato 35 accessi non autorizzati” (v. nota del XX, sez. C, punto 11 e allegato “Documentazione di integrazione data breach n. XX del XX” par. “Sintesi per il valutatore”).

Con specifico riferimento al servizio “Screening COVID-19 San Benedetto” offerto  dalla piattaforma di gestione della campagna di screening (https://www.cureprimarie.it) l’Azienda ha dichiarato che la vulnerabilità (decodifica del codice fiscale) era presente nella prima versione del servizio di prenotazione del tampone, poiché “in un primo momento, i progettisti dell’applicazione avevano previsto una irrituale modalità di prenotazione che a seguito dell’inserimento del codice fiscale permetteva la decodifica automatica del corrispondente nominativo. Soltanto in un primissimo momento dello screening era mostrato anche l’eventuale numero di telefono cellulare ma soltanto se registrato in precedenza” e che sebbene “i rischi di decodificazione automatica della popolazione residente in provincia di Ascoli Piceno, in stile brutal force, sono evidenti…non si hanno evidenze rispetto a comportamenti anomali da parte degli utilizzatori” (v. allegato nota del XX “Documentazione di integrazione data breach n. XX del XX”, par. “Sintesi per il valutatore”).

L’Azienda ha, inoltre, precisato che “le vulnerabilità sarebbero risultate certamente evitabili in un momento di normale attività, secondo le procedure di validazione in essere. Sfortunatamente l’emergenza dovuta alla pandemia ha determinato una impellenza realizzativa inconciliabile con i tempi necessari ad una progettazione adeguata in termini di sicurezza” (v. allegato alla nota del XX “Documentazione di integrazione data breach n. XX del XX” par. “Sintesi per il valutatore”).

Le misure indicate dall’Azienda, volte a garantire la sicurezza del trattamento esistenti al momento della violazione dei dati personali oggetto di notifica,  sono: , , : :“protocollo https, log degli accessi e delle attività effettuate, monitoraggio dei sistemi, monitoraggio dei comportamenti degli utilizzatori, procedura di registrazione e autorizzazione tramite identificazione soggetti presso URP aziendale, ripristino credenziali soltanto tramite strumenti e dispositivi preregistrati, implementazione del Protocollo AAA, implementazione del paradigma del Separation of Duties (SoD) con gestione dei profili di autorizzazione, backup giornaliero dei dati e dei log, test di penetrazione effettuati con esito positivo (nessun elemento grave o medio)”, per la piattaforma www.cureprimarie.it, ”: “protocollo https, log degli accessi e delle attività effettuate, monitoraggio dei sistemi, utilizzo di QR‐code per la pseudonimizzazione degli esiti dei tamponi, registrazione tramite invio di SMS di parte del codice di attivazione, implementazione del Protocollo AAA”, per l’app “Smart4You (v. allegato alla nota del XX “Documentazione di integrazione data breach n. XX del XX”, par. 4).

Per quanto attiene alle misure adottate per porre rimedio alla violazione dei dati personali e per attenuarne i possibili effetti negativi nei confronti degli interessati, l’Azienda ha rappresentato che, a seguito dei fatti oggetto del presente provvedimento, il fornitore NSB ha modificato la generazione del QR-code con una codifica più complessa di tipo hash, composta da una prima parte del codice fiscale unita a una sequenza casuale, e ha provveduto a richiedere l’immediata implementazione delle seguenti misure di sicurezza: “eliminazione della funzionalità di decodifica del codice fiscale con il nominativo degli assistiti regionali, riduzione dei soggetti verificabili presso l’anagrafe regionale ai soli residenti nei territori sottoposti a screening, verifica della coerenza tra numero cellulare con app Smart4you e soggetto interrogato, includendo anche la possibilità di blocco o almeno di alert, eliminazione della funzionalità SMS con riportati il nominativo e gli esiti, banning degli indirizzi IP da cui provengano richieste reiterate, registrazioni multiple o richieste con codifiche o account errati” (v. allegato alla nota del XX “Documentazione di integrazione data breach n. XX del XX”, par. “Sintesi per il valutatore” e sez. F, punto 1).

Relativamente alle misure adottate per prevenire simili violazioni in futuro, l’Azienda ha dichiarato di aver provveduto a definire una procedura più rigorosa di acquisizione delle piattaforme aziendali web, degli applicativi software, nonché delle App mobili anche mediante una “sorta di qualificazione del prodotto/servizio a partire dai principi base del regolamento come integrità e riservatezza delle informazioni, oltre a privacy by default e by design, unito al security by design” che preveda una “valutazione della vulnerabilità (Vulnerability assessment), specifici penetration test in modo da evidenziare preliminarmente eventuali falle nel sistema, l’utilizzo di piattaforme qualificate AgID e sottoposte a penetration test di tipo OWASP” (v. allegato alla nota del XX “Documentazione di integrazione data breach n. XX del XX”, sez. F, punto 2).

L’Azienda ha, infine, dichiarato che la violazione è stata l’occasione per trarre “dall’evento una serie di elementi che saranno presi attivamente in considerazione nelle azioni e nei comportamenti futuri da terza parte” e che “molte delle vulnerabilità sono state riscontrate e risolte in autonomia prima della segnalazione della violazione da parte del giornalista. Altre vulnerabilità sono state risolte su sollecitazione del DPO” (v. allegato alla nota del XX “Documentazione di integrazione data breach n. XX del XX”, par. “Lesson learned”).

In relazione a quanto emerso dalla documentazione in atti e alla notifica di violazione, l’Ufficio, con nota del XX (prot. n. XX), ha notificato all’Azienda, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

In particolare, l’Ufficio, nel predetto atto, ha ravvisato gli estremi di una violazione dei principi di integrità e riservatezza, degli obblighi del titolare del trattamento in materia di sicurezza del trattamento e di valutazione d’impatto sulla protezione dei dati (artt. 5, par. 1, lett. f), 32 e 35 del Regolamento) nonché dell’art. 75 del Codice che fa salve le specifiche disposizioni di settore contenute nel d.P.C.M. 8 agosto 2013, in materia di refertazione online; ciò, in considerazione delle modalità di generazione dell’identificativo sequenziale dei tamponi effettuati dagli interessati e di decodifica del codice fiscale di un assistito nell’ambito del servizio "Screening COVID-19 San Benedetto", dell’utilizzo degli SMS per comunicare l’esito dei tamponi agli interessati, nonché dell’omessa valutazione di impatto sulla protezione dei dati.

Con nota del XX, l’Azienda ha fatto pervenire le proprie memorie difensive nelle quali, in particolare, dopo aver descritto l’organizzazione aziendale, ha evidenziato che:

- l’”attività di prenotazione, (…), in quel preciso momento storico doveva assolvere ad almeno due requisiti: gestire ordinatamente e in sicurezza l’afflusso delle persone in modo da non creare assembramenti, nonché garantire la corretta gestione di tutte le risorse, a partire dai sanitari fino alla consegna materiale dei test rapidi”;

- “il fatto che un soggetto, già fornitore di ASUR Marche per il Dossier sanitario, abbia proposto un full-service in grado di risolvere le problematiche sovraesposte, sia lato comune per le prenotazioni sia lato azienda sanitaria per la completa operatività sui tamponi, è apparsa al Direttore di Area Vasta 5 una soluzione dai costi contenuti ed immediata; da considerare, sempre e comunque, le previste tempistiche di attuazione dello screening particolarmente stringenti e, l’almeno apparente, rispetto degli obblighi e dei requisiti in considerazione dell’infrastruttura preesistente”;

- “le tempistiche a disposizione per lo sviluppo di qualsiasi integrazione con i sistemi nazionali risultavano incompatibili con una soluzione omologabile, poiché l’impellenza dell’immediata attivazione dello screening era mossa non da mere necessità statistiche, ma dalla reale necessità di individuazione dei soggetti contagiati, per quanto possibile anteriormente alle festività natalizie, momento di convivialità familiare ed extra familiare; quindi, periodo soggetto a maggior rischio di focolai”;

- “l’adozione di una piattaforma già attiva da tempo, composta da una parte web e da un componente mobile app, per la quale erano stati già effettuati non soltanto gli adempimenti legati alla disciplina sulla protezione dei dati personali, ma anche ripetuti test di penetrazione, poiché requisito in altre forniture, sono stati elementi che hanno certamente corroborato, in chiave positiva, le decisioni del Direttore di Area Vasta n. 5 in ordine al profilo della sicurezza garantita dal fornitore tanto da ritenere non necessaria la consultazione, anche informale, del DPO”;

- “trattandosi di attività di trattamento vissuta come semplice integrazione tra prenotazione e refertazione, peraltro preesistenti, e non come nuovo trattamento di dati sanitari, non è stato ritenuto necessario, al tempo, di procedere con gli adempimenti previsti all’art. 35 GDPR o, più direttamente, richiedere parere all’ufficio del DPO”;

- “in questo caso una serie di sfortunati eventi, in un contesto ansiogeno per la situazione sanitaria e per di più dalle tempistiche strettissime, ha comportato una sequela di scelte percepite comode e funzionali da parte degli stessi assistiti. Tuttavia, l’occasione è utile anche per evidenziare come l’ASUR Marche e il DPO, appena avuto conoscenza delle scelte fatte dal Direttore di Area Vasta n. 5 e, soprattutto, dal fornitore, si sono subito attivati fornendo prescrizioni e sottoponendo a specifico audit lo stesso”;

- “l’operazione di screening "Marche Sicure" per l’Area Vasta n. 5 nelle 6 giornate di attività (18/19/20/21/22 e 23 dicembre) ha ricevuto un'adesione da parte di 11.572 persone, con una percentuale sulla popolazione target del 24,6%, mentre a livello di numeri totali di test nella regione, come già indicato, al 31 dicembre 2020 risultavano svolti oltre 70.800 test. Questi numeri sono estremamente rilevanti al fine di inquadrare correttamente l’accaduto, considerando che la violazione oggetto del data breach, come già documentato dal fornitore, ha riguardato solo 2 soggetti, entrambi negativi al virus, che deliberatamente hanno “forzato” il sistema”;

- “l’informazione sulla negatività al tampone ha anch’essa un certo valore, poiché è innegabile che dal punto di vista del rischio percepito, avendo come riferimento la libertà e la dignità degli interessati, nonché la possibilità di eventuali discriminazioni, specie in un contesto emergenziale e di screening generale legato al momento storico, non sembra essere una informazione in grado di produrre danni evidenti”;

- “resta fermo che, anche se con significatività e quindi validità estremamente limitata (al massimo di 48 ore, ad esempio, per il Green Pass), l’esito di un tampone è da considerarsi a tutti gli effetti un referto, per cui correttamente l’Autorità cita il D.L 137/2020 per la corretta gestione del documento attraverso codifica tramite il cosiddetto NRFE. Purtroppo, nello specifico momento storico caratterizzato dall’imperversare della pandemia da COVID 19, i sistemi in uso non risultavano ancora compatibili con tali modalità. Per di più, il digital divide della gran parte della popolazione, anche di tipo target, non possiede ora e non possedeva al tempo né le credenziali SPID, né aveva idea di cosa fosse il FSE, né aveva contezza di altri sistemi di consultazione referti differenti rispetto a quanto già effettuato e conosciuto per altre prestazioni”;

- “la percezione di sicurezza, indotta, in generale, dall’uso degli strumenti di instant messaging è stata paradossalmente apprezzata da tutti coloro che hanno partecipato allo screening. Tranne quanto riportato nell’articolo del Manifesto, l’azienda sanitaria non ha ricevuto alcuna lamentela da parte degli assistiti per le modalità di comunicazione prescelte, nonostante tutti i conosciuti limiti dello strumento SMS”;

- “appare potenzialmente impattante, ma con risvolti di gravità inferiore, la possibilità di conoscere gli esiti di altri partecipanti allo screening attraverso il sequenziamento del QR-code. Questo perché avendo a disposizione un solo QR-code è difficile pensare, proprio in funzione dell’errore imperdonabile, ad una semplice sequenza facilmente decifrabile. Altra questione è la produzione, stampa, re-registrazione della app per arrivare alla lettura degli altri codici QR, dei soggetti presenti alle sessioni di screening; peraltro, l’operazione non è alla portata di tutti e richiede operativamente molto tempo. Al di là dei soggetti effettivamente consultati, con una probabilità dello 0,2% di trovare positivi al COVID-19, tale modalità, poi corretta, è apparsa l’ennesima leggerezza da parte del fornitore, che ha confidato nella difficoltà di decodifica di un codice complesso e di tipo visuale, come quello utilizzato. Anche in questo caso e preliminarmente in fase di coding, l’implementazione di una semplice funzione di hash avrebbe risolto la problematica senza particolari difficoltà”;

- “per quanto concerne invece una visione complessiva e di insieme del data breach è necessario fare riferimento alla funzione di probabilità del rischio, al fine di comprendere la reale portata degli eventi. A partire dalla definizione base del rischio, ovvero considerando il prodotto tra probabilità e impatto, è bene evidenziare una sostanziale differenza tra impatto effettivamente subito dai soggetti, rispetto al differente impatto potenziale considerati i possibili scenari valutabili su vari livelli di gravità. Infatti, la violazione effettiva evidenziata in fase di analisi post evento, non ha realmente impattato su un numero rilevante di soggetti (…) (2 su oltre 11 mila sull’Area Vasta, 2 su oltre 70 mila nella Regione). Totalmente differente è invece il punto di vista rispetto all’esposizione al rischio di esfiltrazione del dato sull’esito del tampone per la totalità dei partecipanti allo screening, ferma restando la durata di validità del tampone, che al tempo era da considerarsi come un esito valido solo per quel momento, non essendo attiva alcuna certificazione verde. Altro aspetto da considerare è che, al netto di un’azione dolosa di modifica del codice sequenziale, effettuata la violazione, si sarebbero potuti visualizzare numeri di telefono e i nominativi, a partire dal codice fiscale nel periodo di esposizione. Tuttavia, questa esposizione ha avuto una durata alquanto breve, di qualche giorno, corretta in autonomia dal fornitore stesso essendo l’ASUR intervenuta immediatamente, al momento della segnalazione”.

La medesima Azienda, in relazione agli elementi individuati dall’art. 83, par. 2, del Regolamento, ha dichiarato, tra l’altro, che “in merito alla gravità è da considerare che gli interessati di riferimento sono n. 2 su oltre 70 mila sottoposti a tampone in quel periodo. È doveroso far presente che entrambi gli interessati sono coloro che hanno volontariamente forzato il sistema accedendo ai reciproci dati. Non risultano altre violazioni nei confronti di altri interessati, specialmente di soggetti risultati positivi al covid”; “appena si ha avuto cognizione della vulnerabilità del sistema in uso, la Direzione si è subito attivata per sospenderlo, fornendo prescrizioni al fornitore e sottoponendo lo stesso a un audit specifico”.

2. Esito dell’attività istruttoria

Preso atto di quanto rappresentato dall’Azienda nella documentazione in atti e nelle memorie difensive, si osserva che:

- le informazioni oggetto della notifica costituiscono dati personali relativi alla salute, che meritano una maggiore protezione dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali (Cons. n. 51 del Regolamento);

- la disciplina in materia di protezione dei dati personali stabilisce che i medesimi dati devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)” (art. 5, par. 1, lett. f) del Regolamento);

- in materia di sicurezza del trattamento, l’art. 32 del Regolamento, stabilisce che “tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio […]” (par. 1) e che “nel valutare l’adeguato livello di sicurezza si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati” (par. 2). In ogni caso, il titolare del trattamento è tenuto ad adottare procedure “per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento” (art. 32, par. 1, lett. d));

- in relazione alla possibilità di consultare -con modalità telematiche- i referti, ivi compresi quelli relativi all’esito dei tamponi per il Covid-19, l’Autorità ha adottato, in materia, le “Linee guida in tema di referti on-line” (provv. del 19 novembre 2009, consultabile su www.gpdp.it doc. web n. 1679033, ritenuto compatibile con il suddetto Regolamento e con le disposizioni del d.lgs. n. 101/2018; cfr. art. 22, comma 4, del citato d.lgs. n. 101/2018), nelle quali, è previsto che “nel caso di utilizzazione del servizio di avviso tramite sms della disponibilità alla consultazione dei referti attraverso le modalità sopra descritte, nel messaggio inviato deve essere data solo notizia della disponibilità del referto e non anche del dettaglio della tipologia di accertamenti effettuati, del loro esito o delle credenziali di autenticazione assegnate all´interessato” (cfr. punto 2 del citato provv.). Successivamente è stato adottato il decreto del Presidente del Consiglio dei Ministri dell’8 agosto 2013 concernente le modalità di consegna, da parte delle aziende sanitarie, dei referti medici tramite web, posta elettronica certificata e altre modalità digitali, nonché di effettuazione del pagamento on-line delle prestazioni erogate, su cui il Garante ha espresso parere favorevole. In particolare, è stato previsto che “l'azienda sanitaria può rendere disponibile all'interessato ulteriori servizi aggiuntivi per favorire o facilitare l’utilizzo dei servizi di refertazione online, ovvero per migliorare, in generale, la qualità dei servizi offerti dalla medesima” tra i quali “Servizi di notifica” che “permettono all’interessato di richiedere di essere avvisato della messa a disposizione del referto digitale attraverso l’invio di uno short message service (sms) sul numero di telefono mobile ovvero attraverso l'invio di un messaggio alla casella di posta elettronica indicati all'atto di adesione ai servizi di refertazione online” (cfr. Alleg. A, punto 2.a) al citato decreto);

- il predetto decreto rientra nelle specifiche disposizioni di settore fatte salve dall’art. 75 del Codice, che riassume le condizioni del trattamento dei dati personali per finalità di tutela della salute in ambito sanitario;

- il decreto c.d. “Ristori”, al fine di implementare il sistema diagnostico dei casi di positività al virus SARS-CoV-2 attraverso l'esecuzione di tamponi, ha previsto un sistema di refertazione degli stessi che è stato definito con decreto del Ministero dell'economia e delle finanze, di concerto con il Ministero della salute, previo parere del Garante per la protezione dei dati personali (art. 19, d.l. n. 137/2020). Stante la richiamata disciplina di settore, anche tale decreto, sulla base delle osservazioni formulate dal Garante, ha previsto che possa essere comunicato via SMS solo il numero unico di referto elettronico (NRFE) del tampone e non anche il suo esito (cfr. decreto del Ministero dell’economia e delle finanze del 3.11.2020 e il parere reso -in pari data- dal Garante sul predetto schema di decreto, doc web n. 9563445). Analoghe previsioni sono state introdotte nell’ambito del servizio nazionale di risposta telefonica per la sorveglianza sanitaria (cfr. Parere sullo schema di ordinanza del Commissario straordinario per l'attuazione e il coordinamento delle misure occorrenti per il contenimento e il contrasto dell'emergenza epidemiologica COVID-19 del 17 dicembre 2020, doc web n. 9516719);- in relazione all’identificativo sequenziale dei tamponi effettuati dagli interessati e alla decodifica del codice fiscale di un assistito nell’ambito del servizio “Screening COVID-19 San Benedetto”, nel corso dell’istruttoria è stato constatato che:

• il QR-code consegnato ai partecipanti alle attività di screening Covid‐19 era generato tramite una codifica sequenziale, con una associazione diretta partecipante‐esito tampone. Pertanto, generando QR‐code in sequenza rispetto a un primo codice in possesso di un soggetto terzo era possibile visualizzare dati anagrafici e, ove presente, anche il numero di cellulare del soggetto coinvolto nello screening, nonché gli esiti del tampone (accertato solo da parte del soggetto che ha effettuato la forzatura del sistema);

• il servizio “Screening COVID-19 San Benedetto” offerto tramite la piattaforma di gestione dello screening (https://www.cureprimarie.it) consentiva la decodifica del codice fiscale: a seguito dell’immissione del codice fiscale di un assistito erano restituiti il suo nome e cognome e, in un primo momento, anche il numero di cellulare eventualmente presente all’interno della banca dati. Tale modalità di verifica dei dati inseriti dagli assistiti, prevista dal fornitore (responsabile del trattamento), è stata ritenuta eccedente e la Direzione Generale ha provveduto con nota prot. XX del XX a comunicare alla Direzione di Area Vasta n. 5, referente della fornitura e delle attività di screening per la provincia di Ascoli Piceno, la necessità di eliminazione delle funzionalità eccedenti e all’implementazione di adeguate misure tecniche;

• la mancata adozione di una codifica più complessa, quale a esempio quella adottata dopo il XX, nonché la possibilità di decodifica del codice fiscale da parte di terzi anche tramite metodi automatici (es. Bot), si pongono in contrasto con le disposizioni di cui all’art. 5, par. 1, lett. f), e all’art. 32 del Regolamento;

- con riferimento all’Utilizzo degli SMS per comunicare l’esito dei tamponi, è stato constatato che la comunicazione dell’esito dei tamponi, sia negativi che positivi, era effettuata per mezzo di short message service (sms). Tale scelta -successivamente modificata, in modo da utilizzare il servizio di comunicazione tramite SMS solo per segnalare la disponibilità di un esito/referto (piattaforma o app) o per la gestione delle prenotazioni escludendo le informazioni legate a ciascuna prestazione sanitaria- è stata motivata dalla semplicità e immediatezza della soluzione tecnologica e anche dalla situazione emergenziale, al fine di evitare assembramenti in quanto i soggetti sottoposti a screening erano invitati a rimanere nelle loro autovetture fino all’arrivo del messaggio sul telefono e nel caso di positività al tampone, il soggetto era sottoposto ad ulteriori accertamenti; pertanto, alla luce del quadro normativo sopra descritto, al momento della notifica, l’invio di dati relativi alla salute a mezzo di SMS non è risultato conforme alle Linee guida in tema di referti on-line del 19 novembre 2009 (G.U. n. 288 dell’11 dicembre 2009), alle disposizioni del citato d.P.C.M. dell’8 agosto 2013 e alle disposizioni sopra richiamate;

- il trattamento in esame rientra tra quelle per le quali il titolare è tenuto ad effettuare, “prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali” (art. 35 del Regolamento). Ciò, in quanto, per il trattamento in esame, ricorrono certamente due dei criteri indicati dal Comitato Europeo per la protezione dei dati per individuare i casi in cui un trattamento debba formare oggetto di una valutazione di impatto. In particolare, si fa riferimento ai seguenti criteri: “dati sensibili o aventi carattere altamente personale”, “dati relativi ad interessati vulnerabili” tra i quali si annoverano i pazienti (cfr. Linee guida in materia di valutazione d'impatto sulla protezione dei dati e determinazione della possibilità che il trattamento "possa presentare un rischio elevato" ai fini del regolamento (UE) 2016/679 adottate il 4 aprile 2017, come modificate e adottate da ultimo il 4 ottobre 2017 -WP 248 rev.01, III, lett. B, punti 4 e 7). Con riferimento al caso di specie, possono essere, inoltre, potenzialmente soddisfatti anche i seguenti criteri: “trattamento di dati su larga scala” e “uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative” (cfr. richiamate Linee guida, III, lett. B, punti 5 e 8);

- i medesimi trattamenti di dati sono stati effettuati nell’ambito delle azioni promosse per il contrasto dell’epidemia da Covid -19. Al riguardo, si rappresenta che, sin dalla dichiarazione dello stato di emergenza deliberato dal Consiglio dei Ministri in data 31 gennaio 2020, sono stati adottati molti atti normativi d’urgenza, che contengono disposizioni anche relative al trattamento dei dati personali effettuato nell’ambito degli interventi relativi alla predetta emergenza sanitaria. Ciò premesso, si evidenzia che le disposizioni d’urgenza adottate nel corso degli ultimi mesi prevedono degli interventi emergenziali che implicano il trattamento dei dati e che sono frutto di un delicato bilanciamento tra le esigenze di sanità pubblica e quelle relative alla protezione dei dati personali, in conformità a quanto dettato dal Regolamento europeo per il perseguimento di motivi di interesse pubblico nei settori della sanità pubblica (cfr. art. 9, par. 1, lett. i)). Resta ovviamente fermo che il trattamento dei dati personali connesso alla gestione della predetta emergenza sanitaria deve svolgersi nel rispetto della disciplina vigente in materia di protezione dei dati personali e, in particolare, dei principi applicabili al trattamento, di cui agli artt. 5 e 25, par. 2, del Regolamento, in parte sopra richiamati. Si rappresenta inoltre che la predetta normativa di urgenza non ha derogato le disposizioni in materia di protezione dei dati personali relative alla sicurezza del trattamento (art. 32 del Regolamento) e alla valutazione di impatto sulla protezione dei dati (artt. 35 e ss. del Regolamento); al riguardo, si rileva che non è stata effettuata la valutazione di impatto in contrasto con quanto disposto dal citato art. 35 del Regolamento.

3. Conclusioni

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”, gli elementi forniti dal titolare del trattamento nelle memorie difensive sopra richiamate, che riconoscono quanto contestato nell’atto di avvio del procedimento di cui all’art. 166, comma 5, del Codice, non sono idonee ad accogliere le richieste di archiviazione formulate nelle memorie difensive, seppure meritevoli di considerazione, e non consentono di superare, integralmente, i rilievi notificati dall’Ufficio con il citato atto di avvio del procedimento.

Per tali ragioni si rileva l’illiceità dei trattamenti di dati personali effettuati dall’Azienda, in violazione dei principi di integrità e riservatezza e degli obblighi del titolare del trattamento in materia di sicurezza del trattamento e di valutazione d’impatto sulla protezione dei dati (artt. 5, par. 1, lett. f), 32 e 35 del Regolamento) nonché dell’art. 75 del Codice, che fa salve le specifiche disposizioni di settore contenute nel d.P.C.M. 8 agosto 2013 e nelle normative emergenziali sopra richiamate, nei termini di cui in motivazione.

In tale quadro, considerato, in ogni caso, che la condotta ha esaurito i suoi effetti e che sono state adottate misure per porre rimedio alla violazione dei dati personali notificata all’Autorità e per prevenire simili violazioni in futuro, non ricorrono allo stato i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

4. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i) e 83 del Regolamento; art. 166, comma 7, del Codice). 

La violazione degli artt. 5, par. 1, lett. f), 32 e 35 del Regolamento, nonché dell’art. 75 del Codice, causata dalla condotta posta in essere dall’Azienda è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 4, lett. a) e par. 5, lett. a) del Regolamento (cfr. art. 166, comma 2, del Codice).

Si consideri che il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2, del Regolamento in relazione ai quali si osserva che:

- i trattamenti effettuati dall’Azienda oggetto del presente provvedimento riguardano dati sulla salute di numerosi interessati sebbene la violazione abbia riguardato solo due interessati (art. 83, par. 2, lett. a) e g) del Regolamento);

- l’Azienda ha tempestivamente preso in carico la problematica emersa nella violazione di dati personali, a cui è seguita l’individuazione di specifiche misure (art. 83, par. 2, lett. c) e d) del Regolamento);

- il titolare ha dimostrato un elevato grado di cooperazione (art. 83, par. 2, lett. f) del Regolamento);

- non sono pervenuti reclami o segnalazioni al Garante sull’accaduto e non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento, né sono stati precedentemente disposti provvedimenti di cui all’art. 58 del Regolamento (art. 83, par. 2, lett. i) del Regolamento);

- i fatti oggetto della violazione sono avvenuti nell’ambito delle attività di sanità pubblica poste in essere dall’Azienda in un momento particolarmente critico dell’attuale contesto emergenziale nel quale era maturata l’esigenza di attivare con urgenza l’attività di screening, garantendo, al contempo, una gestione ordinata e sicura dell’afflusso delle persone (art. 83, par. 2, lett. k) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, nella misura di 14.000,00 (quattordicimila) per la violazione degli artt. 5, par. 1, lett. f), 32 e 35 del Regolamento, nonché dell’art. 75 del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dall’Azienda sanitaria unica regionale Marche, per la violazione degli artt.5, par. 1, lett. f), 32 e 35 del Regolamento, nonché dell’art. 75 del Codice.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, all’Azienda sanitaria unica regionale Marche, con sede legale in Ancona, via Oberdan 2 – 60122,  P.IVA: 02175860424, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 14.000,00 (quattordicimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

alla predetta Azienda sanitaria unica regionale Marche, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 14.000,00 (quattordicimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 13 gennaio 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei