g-docweb-display Portlet

Provvedimento del 23 marzo 2023 [9883731]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9883731]

Provvedimento del 23 marzo 2023

Registro dei provvedimenti
n. 86 del 23 marzo 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del Garante n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. L’attività istruttoria.

Il 21 aprile 2021 l’Azienda Sanitaria della Provincia Autonoma di Bolzano (di seguito “Azienda sanitaria”) ha trasmesso all’Autorità, ai sensi dell’art. 33 del Regolamento, una notifica di violazione dei dati personali riguardante l’accesso non autorizzato ai documenti sanitari di alcuni assistiti determinato dalla vulnerabilità del servizio relativo al Fascicolo sanitario elettronico (FSE) raggiungibile tramite l’URL https://fsse.civis.bz.it/fse.

L’Azienda sanitaria ha indicato, tra i soggetti coinvolti nel trattamento dei dati personali in questione, la società Informatica Alto Adige Spa (di seguito “SIAG”) -designata quale responsabile del trattamento nel 2010- e la società Dedalus Italia S.p.a. (di seguito “Dedalus”) -designata anch’essa responsabile del trattamento nel 2018- quest’ultima “nell’ambito del contratto stipulato [… con] Informatica Alto Adige S.p.A. (per conto dell’Azienda Sanitaria della Provincia Autonoma di Bolzano) per la fornitura delle componenti software di Xvalue in aggiornamento tecnologico, in manutenzione evolutiva dell’attuale piattaforma X1.V1, per la realizzazione del Fascicolo Sanitario e Sociosanitario Elettronico della Provincia Autonoma di Bolzano)” (v. notifica del 21 aprile 2021  e nota del 14 maggio 2021).

A seguito della richiesta di informazioni dell’Ufficio del 4 maggio 2021 (prot. n. 24801), l’Azienda sanitaria ha rappresentato che “non gestisce direttamente alcun aspetto della piattaforma FSE, che è in carico a SIAG/Dedalus; non gestisce il modulo di Identity Management, che è integrato alla rete civica MyCivis; non possiede visibilità diretta sullo status dei consensi degli interessati, in quanto il modulo di registrazione e gestione è in capo a SIAG; tutti i controlli di autorizzazione sull’accesso sono demandati sul lato piattaforma di SIAG, così come anche la visione completa degli accessi effettuati (log degli accessi).” (v. nota del 14 maggio 2021).

In risposta alla suddetta richiesta di informazioni, la Provincia autonoma di Bolzano (di seguito “Provincia”) ha dichiarato che “la violazione è avvenuta all’interno di una funzione dell’applicativo su cui è attivo il FSE, a causa di vulnerabilità applicativa del software fornito da Dedalus Italia Spa” rilevando che “MyCivis funge da portale ufficiale della Pubblica Amministrazione dell’Alto Adige per facilitare l’accesso dei cittadini e delle imprese alle informazioni e ai servizi delle diverse istituzioni pubbliche presenti sul territorio. In quanto tale, il Titolare del trattamento risulta essere l’Amministrazione Provinciale. MyCivis, con riferimento al Fascicolo Sanitario Elettronico, funge da “identity and access management” per autenticare il cittadino al servizio. Informatica Alto Adige Spa si occupa dello sviluppo e aggiornamento di tale portale in qualità di Responsabile del trattamento per conto dell’Amministrazione Provinciale. Come da nota del 08.04.2021, la vulnerabilità sfruttata risultava essere a livello applicativo, ovvero, successivamente al servizio di autenticazione fornito da MyCivis” e che “Informatica Alto Adige Spa opera per conto dell’Amministrazione Provinciale in qualità di responsabile del trattamento secondo quanto stabilito e regolato nell’Accordo Quadro di data 10.07.2018, approvato con Delibera della Giunta provinciale n. 675, per le attività previste all’articolo 4, comma 1 della legge provinciale n. 33/1982. Con riguardo al FSE, Informatica Alto Adige Spa svolge trattamenti per conto dell’Amministrazione provinciale” (v. nota del 14 maggio 2021).

Sulla base di quanto rappresentato dalla predetta Provincia e dalla citata Azienda sanitaria, l’Ufficio ha richiesto informazioni a SIAG (nota del 4 giugno 2021), la quale, con riguardo alla violazione dei dati personali, ha dichiarato che:

“Informatica Alto Adige Spa, ricevuta comunicazione della violazione ha provveduto a comunicare all’Azienda Sanitaria, in qualità di Titolare del trattamento, l’avvenuta violazione. Una volta comunicata tale violazione è stato fatto un confronto tra i codici fiscali ed i relativi accessi effettuati (analisi dei “log”) all’interno del FSE nel periodo che va dal 01.01.2021 al 08.04.2021. L’arco di tempo all’interno del quale è stato effettuato il controllo degli accessi è stato così definito prendendo in considerazione la data in cui è stata inserita la vulnerabilità all’interno dell’applicativo sfruttata per la violazione, in seguito ad un aggiornamento da parte di Dedalus Italia Spa concordato con il committente, e l’avvenuta violazione. Come da nota dell’08.04.2021 non si evidenziano violazioni sui dati personali conseguenza della succitata vulnerabilità, fatta eccezione per gli eventi relativi alla comunicazione della violazione avvenuta il 06.04.2021. Circa i codici fiscali di cui al punto 1 della nota dell’08.04.2021 in seguito ad approfondimenti per verificare se siano stati oggetto di violazioni, siamo a comunicare la conferma dell’avvenuta violazione. Il totale dei codici fiscali oggetto di violazione è dunque pari a cinque”;

“come da nota dell’08.04.2021 la vulnerabilità è stata risolta la sera stessa dell’avvenuta comunicazione da parte del segnalante. Si rappresenta altresì che in data 08.04.2021 il Direttore generale di Informatica Alto Adige Spa ha presentato denuncia presso la Polizia Postale di Bolzano per i fatti oggetto della presente comunicazione. Informatica Alto Adige Spa, in qualità di Responsabile del trattamento, ha inoltre provveduto ad informare gli interessati dell’avvenuta violazione dei dati personali ivi compresi gli interessati a cui facevano riferimento i due codici fiscali ancora oggetto di valutazione.”;

“il portale di MyCivis offre, tra le varie funzionalità, anche quella di “deleghe”. Tale funzione permette tramite le opportune procedure, di poter operare per conto di un’altra persona giuridica o fisica differente da quella che ha effettuato login. Nel caso specifico della violazione tale procedura non è stata oggetto di violazione. La violazione, come descritto precedentemente, è stata causata a livello di service provider (applicazione FSE);

“Informatica Alto Adige Spa risulta essere nominata Responsabile del trattamento da parte dell’Azienda Sanitaria, quale Titolare del trattamento. Informatica Alto Adige Spa in qualità di Responsabile del trattamento ha provveduto a nominare Dedalus Italia Spa quale ulteriore Responsabile del trattamento come da allegato per il trattamento riguardante il Fascicolo Sanitario Elettronico.” (v. nota dell’11 giugno 2021).

L’Azienda sanitaria, al momento della notifica, ha dichiarato che la violazione ha coinvolto 3 interessati e, successivamente, ha precisato che gli interessati coinvolti, anche sulla base delle dichiarazioni di SIAG, sono stati 5 (v. notifica del 21 aprile 2021, integrazione del 19 ottobre 2021 e nota della SIAG del 11 giugno 2021).

Con riferimento alle misure adottate per porre rimedio alla violazione dei dati personali e a quelle adottate per attenuare i possibili effetti negativi della stessa nei confronti degli interessati, l’Azienda sanitaria ha rappresentato che:

a) “la SIAG ha avviato un indagine con il fornitore dell'infrastruttura del Fascicolo Sanitario onde andare a rimuovere la vulnerabilità informatica”;

b) “alla luce della comunicazione di SIAG […] la vulnerabilità segnalata è stata già risolta intorno alle ore 19,15 del 6 aprile scorso.” (v. notifica del 21 aprile 2021 e nota del 14 maggio 2021).
Per quanto attiene alle misure adottate per prevenire simili violazioni in futuro, l’Azienda sanitaria ha dichiarato che “il fornitore ha segnalato che la vulnerabilità è stata risolta entro le 24 ore dalla prima segnalazione (06 aprile 2021 intorno alle 19.15)” e, successivamente, che “la SIAG ha dichiarato di aver adottato le misure necessarie per evitare il ripetersi di episodi analoghi” (v. notifica del 21 aprile 2021 e integrazione del 19 ottobre 2021).

Sulla base di quanto sopra rappresentato, con nota del 28 febbraio 2022 (prot. 13077), questo Ufficio ha effettuato una notifica di violazione di cui all’art. 166, comma 5, del Codice a SIAG, la quale ha successivamente inviato le proprie memorie difensive, nell’ambito delle quali è stato rappresentato che:

“l’allocazione esclusiva della responsabilità del bug che ci occupa non grava su SIAG, bensì sulla società Dedalus Italia s.p.a. (di seguito “DEDALUS”), che tale responsabilità ha ampiamente ammesso e documentato”;

“va evidenziato, e costituisce un punto dirimente, che l’imputazione del bug a DEDALUS risulta pacifica, non è mai stata oggetto di contestazione ed è stata fin da subito riconosciuta dalla società in questione”;

“in particolare, in data 7 aprile 2021 il fornitore (.…) confermava di essere stato immediatamente allertato da SIAG il “6 aprile [2021] alle ore 10:00”, ossia all’indomani della segnalazione del bug (…), e dichiarava di avere “identificato il problema in due servizi esposti dal backend del portale””;

“in definitiva, tutto si è prodotto nel perimetro affidato a DEDALUS e contrattualizzato con tale società, come da evidenze documentali”;

“quali fossero i test di sicurezza incombenti sul fornitore e per quali ragioni tali test, pur regolarmente svolti, non abbiano permesso a DEDALUS di intercettare il bug, lo chiarisce ancora una volta detta società”. “DEDALUS cioè dà conto di avere realizzato i vulnerability assessment, ma che ciò non è bastato a evitare la presenza di un bug, con questo ulteriormente confermando che l’intera vicenda portata all’attenzione di codesta Autorità si è prodotta nel perimetro operativo, di verifica (vulnerability assessment) e in ultima analisi di responsabilità (“non ha triggerato l’avvio di un Penetration Test, che avrebbe potuto identificarlo”) di tale società, non in quello di SIAG”;

con riferimento ai ruoli del trattamento, “la filiera per la precisione è la seguente: ASDAA (ossia l’Azienda Sanitaria dell’Alto Adige) – SIAG – DEDALUS. SIAG è responsabile di trattamento rispetto ad ASDAA, DEDALUS lo è rispetto a SIAG”. “A sua volta DEDALUS si colloca rispetto a SIAG nel ruolo di responsabile del trattamento, è cioè responsabile del responsabile, come da contratto ex art. 28 GDPR”. “SIAG è responsabile del trattamento per ASDAA (agisce infatti “per conto dell’Azienda Sanitaria…”); in tale ruolo, SIAG ha concluso un contratto con DEDALUS; tale contratto determina il trattamento di dati personali; pertanto ASDAA designa DEDALUS quale responsabile del trattamento”;

“è comprovato e documentato che il bug si sia manifestato non presso SIAG, ma presso DEDALUS, ossia presso l’ultimo anello della filiera, e che in particolare esso sia sfuggito ai vulnerability test che DEDALUS aveva il preciso obbligo giuridico di svolgere e che dichiara in effetti di avere regolarmente svolto”;

“dato oggettivo è che il bug è esclusivamente e interamente imputabile a errore di DEDALUS, che operava nella detta qualità di responsabile del trattamento rispetto alle procedure informatiche in cui il trattamento elettronico svolto dal detto fornitore necessariamente si sostanzia”.

Sulla base degli elementi istruttori in atti, l’Ufficio ha notificato alla società Dedalus, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitando la società a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981) (nota del 20 settembre 2022, prot. n. 49824).

In tale atto, l’Ufficio, ha rappresentato di aver constatato che il FSE della Provincia Autonoma di Bolzano consentiva a un soggetto autenticato al portale MyCivis di consultare talune informazioni personali di un qualsiasi assistito della Provincia modificando il parametro patient_id -contenente il codice fiscale- presente nell’URL utilizzato per mostrare l’elenco dei documenti disponibili all’interno del FSE (https://fsse.civis.bz.it/fse/webapi/xds/getuserdocuments?patient_id = XXXXXXXXXXXXX & date_from = YYYYYYYYYY &date_to=YYYYYYY&language=it&_=1617638439347).

In particolare, dal gennaio al 6 aprile 2021, chiunque, dopo aver superato le procedure di autenticazione informatica presenti nell’ambito del portale MyCivis, poteva visualizzare, selezionare e aprire uno o più documenti presenti nel FSE di un altro specifico assistito, anche in assenza di delega, semplicemente inserendo nel predetto parametro patient_id il codice fiscale di tale assistito.

Nel predetto atto di contestazione, l’Ufficio ha pertanto rilevato che le modalità di accesso ai documenti contenuti nel FSE degli assistiti della Provincia non risultavano conformi alle disposizioni di cui agli artt. 5, par. 1, lett. f), e 32 del Regolamento che stabilisce che il titolare e il responsabile del trattamento debbano mettere in atto misure per “assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento” (par. 1, lett. b)) e che nel “valutare l’adeguato livello di sicurezza si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati” (par. 2).

Con nota del 18 ottobre 2022, la società Dedalus ha fatto pervenire le proprie memorie difensive, in cui ha rappresentato in particolare che:

“il Trattamento è stato effettuato da Dedalus nell’esecuzione del Contratto, il cui capitolato tecnico (…) prevedeva una distribuzione di compiti e responsabilità tra SIAG e Dedalus, anche per quanto attiene agli aspetti di sicurezza” e in particolare, secondo il predetto Capitolato, SIAG aveva “l’onere di svolgere vulnerability assesment e/o penetration test”;

“Dedalus aveva a suo tempo implementato delle misure di sicurezza tecniche e organizzative inerenti al Trattamento a norma dell’art. 32 del Regolamento”, quali “a titolo esemplificativo e non esaustivo - la progettazione di un corretto processo per l’autenticazione degli utenti e la relativa segregazione dei ruoli, la criptazione dei canali di comunicazione, le misure per il controllo e la gestione degli accessi e il tracciamento degli eventi, misura quest’ultima che ha tra l’altro permesso di condurre l’analisi ex post delle dinamiche e conseguenze del Data Breach”;

“l’asserita violazione ha avuto durata limitata, essendo stata risolta in poche ore dalla relativa scoperta”, adottando “tutte le misure volte ad attenuarne gli effetti per gli interessati”;

la violazione deriva “da un’azione intenzionale e malevola esterna la quale ha sfruttato una vulnerabilità tecnica del sistema informatico generata involontariamente” e ha coinvolto dati sulla salute di “poche unità” e quindi con un’incidenza “estremamente limitat(a)(o) rispetto al numero di FSE gestiti per conto della Provincia”.

2. Esito dell’attività istruttoria.

Preso atto di quanto rappresentato dalla società Dedalus nella documentazione in atti e nelle memorie difensive, si osserva che:

ai sensi del Regolamento si considerano “dati relativi alla salute” i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute (art. 4, par. 1, n. 15, del Regolamento). Il considerando n. 35 del Regolamento precisa poi che i dati relativi alla salute “comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria”; “un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari”;

il Regolamento prevede che i dati personali siano essere “trattati in maniera da garantire un’adeguata sicurezza (…) compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)” (art. 5, par. 1, lett. f) del Regolamento). Il Regolamento prevede inoltre che il titolare del trattamento, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, debba mettere in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio (art. 32 del Regolamento);

le modalità di accesso ai documenti contenuti nel FSE degli assistiti della Provincia Autonoma di Bolzano non risultavano pertanto conformi alle disposizioni di cui ai richiamati artt. 5, par. 1, lett. f), e 32 del Regolamento che stabilisce che il titolare e il responsabile del trattamento debbano mettere in atto misure per “assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento” (par. 1, lett. b)) e che nel “valutare l’adeguato livello di sicurezza si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati” (par. 2);

i trattamenti effettuati nel contesto in esame richiedono l’adozione dei più elevati standard di sicurezza al fine di non compromettere la riservatezza, l’integrità e la disponibilità dei dati personali di centinaia di migliaia di interessati. Ciò, tenendo altresì conto delle finalità dei trattamenti e della natura dei dati personali trattati, appartenenti a categorie particolari. Su tale base, gli obblighi di sicurezza imposti dal Regolamento richiedono l’adozione di rigorose misure tecniche e organizzative, includendo, oltre a quelle espressamente individuate dall’art. 32, par. 1, lett. da a) a d), tutte quelle necessarie ad attenuare i rischi che i trattamenti presentano;

come emerso nel corso dell’istruttoria, il trattamento dei dati in esame è svolto dalla società in qualità di responsabile del trattamento. Ai sensi dell’art. 28 del Regolamento, infatti, il titolare può affidare un trattamento anche a terzi soggetti che presentino garanzie sufficienti sulla messa in atto di misure tecniche e organizzative idonee a garantire che il trattamento sia conforme alla disciplina in materia di protezione dei dati personali (“responsabili del trattamento”);

il Regolamento pone, quindi, taluni obblighi direttamente a carico dello stesso responsabile il quale, in base anche alle competenze tecniche specifiche, deve collaborare, anche manifestando un’autonomia propositiva, nell’adozione di misure adeguate ad “assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento” (art. 32, par. 1, lett. b), del Regolamento) e che nel “valutare l’adeguato livello di sicurezza si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati” (art. 32, par. 2 del Regolamento).
Nel caso in esame, la società Dedalus, in ragione della sua esperienza nel settore, era tenuta a garantire l’accesso ai documenti presenti nel FSE solo ai soggetti autorizzati, mediante l’adozione di rigorose misure di controllo accessi.

3. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dalla società Dedalus nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ gli elementi forniti nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni, si rileva l’illiceità del trattamento di dati personali effettuato dalla società Dedalus, nei termini di cui in motivazione, in violazione degli artt. 5, par.1, lett. f), e 32 del Regolamento.

In tale quadro, considerato che sono state adottate misure volte a superare le vulnerabilità sopra descritte non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

4. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, par.1, lett. f), e 32 del Regolamento, causata dalla condotta posta in essere dalla società Dedalus Italia S.p.a., è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 4 e 5, del Regolamento.

Si consideri che il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i), e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 85, par. 2, del Regolamento in relazione ai quali si osserva che:

l’Autorità ha preso conoscenza dell’evento a seguito della notifica di violazione da parte dell’Azienda Sanitaria della Provincia Autonoma di Bolzano (art. 83, par. 2, lett. h), del Regolamento);

il trattamento in esame riguarda dati idonei a rilevare informazioni sulla salute di 5 soggetti che sono stati esposti a possibili accessi illeciti per circa tre mesi (da gennaio al 6 aprile 2021) (art. 83, par. 2, lett. a) e g), del Regolamento);

la società Dedalus Italia ha dimostrato un elevato grado di cooperazione adoperandosi al fine di introdurre, anche nella concomitanza del contesto emergenziale- misure idonee a superare le vulnerabilità sopra evidenziate (art. 83, par. 2, lett. c), d) e f), del Regolamento);

gli interessati coinvolti sono stati edotti della violazione occorsa da parte di SIAG (a mezzo e-mail in data 14.05.2021) (art. 83, par. 2, lett. c), del Regolamento);

sulla base di quanto dichiarato dalla Provincia, non si sono registrate ulteriori conseguenze per gli interessati e i dati illegittimamente visionati non sono stati utilizzati per altri scopi o diffusi, né risultano esservi evidenze di ripercussioni consistenti in un danno fisico, materiale o immateriale agli interessati (art. 83, par. 2, lett. a), del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a), del Regolamento, nella misura di euro 15.000 (quindicimila) per la violazione degli artt. 5, par.1, lett. f) e 32 del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e dall’art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dalla società Dedalus Italia S.p.a. per la violazione degli artt. 5, par.1, lett. f) e 32 del Regolamento nei termini di cui in motivazione.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i), e 83 del Regolamento, nonché dell’art. 166 del Codice, alla Dedalus Italia S.p.a., codice fiscale 05994810488, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 15.000 (quindicimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

alla predetta società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 15.000 (quindicimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 23 marzo 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei