Le recenti sanzioni applicate dalla CNIL in Francia a due medici evidenziano aspetti che potrebbero riguardare il settore sanitario italiano.
I provvedimenti sanzionatori sono, infatti, interessanti per due motivi principali:
– le gravi non conformità al GDPR rilevate;
– il metodo di rilevamento applicato, che sottolinea un particolare attività ispettiva e di cui occorre tenere conto nella predisposizione di servizi sanitari online (ma non solo).
IL CASO: ai due medici è stato addebitato di non aver protetto sufficientemente i dati personali dei loro pazienti in quanto migliaia di immagini mediche, con l’indicazione dei dati personali dei pazienti, ospitate su server appartenenti a due medici, erano liberamente accessibili su Internet. I medici non avevano adottato idonee misure di sicurezza. Allo stesso modo, non avevano crittografato i dati contenuti nei laptop e nei PC a disposizione.
LA DECISIONE DELL’AUTORITÀ: per tale motivo l’autorità di controllo francese ha pubblicizzato le violazioni anche al fine di allertare gli operatori sanitari sugli obblighi in materia di tutela dei dati personali e sulla necessità di rafforzare la vigilanza sulle misure di sicurezza applicate ai dati trattati. La CNIL ha, inoltre, puntualizzato che questa vigilanza dovrebbe indurre i medici a scegliere soluzioni applicative che presentino le massime garanzie in termini di sicurezza informatica e protezione dei dati personali, circondandosi, se necessario, di fornitori di servizi competenti.
METODOLOGIA ISPETTIVA UTILIZZATA: l’altro aspetto di grande interesse è rappresentato dall’utilizzazione di attività ispettive online. In sostanza, a seguito di specifiche segnalazioni, la CNIL ha realizzato un preliminare intervento ricognitivo sulla rete per verificare i contenuti di una segnalazione e identificare i titolari del trattamento autori della violazione.
Questa attività informativa on line può essere svolta anche dagli organi di controllo italiani. Per ulteriori dettagli verificare il paragrafo dedicato più sotto nell’articolo.
LE IMPLICAZIONI PER LE STRUTTURE SANITARIE: offrire servizi di prenotazione online propedeutici all’erogazione di prestazioni sanitarie o servizi di refertazione online è diventato sempre più importante, soprattutto in questo ultimo anno a causa della pandemia da Covid-19: tali strumenti hanno garantito concreti vantaggi sia per l’operatività delle strutture sanitarie sia per i pazienti. Non tutte le strutture però offrono servizi in linea con le disposizioni del GDPR. Ciò pone le strutture sanitarie (laboratori di analisi, centri diagnostici polispecialistici, cliniche, farmacie) di fronte a rischi di sanzioni rilevanti.
In rete possono osservarsi diverse tipologie di violazioni: si va, ad esempio, dall’utilizzo di informative privacy standardizzate, all’utilizzo di informative in lingua non italiana, alla preselezione di modalità di contatto come ad esempio e-mail o cellulare, alla preselezione del consenso per il servizio di informazione sugli appuntamenti tramite notifiche push, per arrivare in alcuni casi all’assenza della privacy policy generale e della cookie policy.
ATTIVITÀ ISPETTIVA ONLINE – RIFERIMENTI NORMATIVI: l’attività informativa on line può essere svolta anche dagli organi di controllo italiani, infatti:
- ai sensi degli art. 57, 58 del GDPR e 154 (1 comma) del Codice Privacy, il Garante sorveglia la puntuale applicazione del GDPR svolgendo indagini e controlli per verificare che i trattamenti siano effettuati nel rispetto delle disposizioni vigenti;
- il Codice Privacy all’art. 153, 3 comma prevede altresì che “…per quanto non previsto dal Regolamento e dal presente codice, il Garante disciplina con proprio Regolamento… le modalità specifiche dei procedimenti relativi all’esercizio dei compiti e dei poteri ad esso attribuiti dal Regolamento e dal presente codice.”.
- al riguardo il Regolamento interno del Garante n.1/2019, all’art. 21 evidenzia che “..nell’esercizio dei compiti di controllo o comunque esercitabili dal Garante, valutati gli elementi in suo possesso e anche in assenza di reclamo, segnalazione o notificazione di violazione dei dati personali, l’Autorità può avviare d’ufficio un’istruttoria preliminare per verificare la sussistenza di idonei elementi in ordine a possibili violazioni della disciplina rilevante in materia di protezione dei dati personali..”;
- sulla base dell’art. 158, 3 comma, del codice privacy il Garante, potendo avvalersi anche della collaborazione di altri organi dello Stato, ha stipulato con la Guardia di Finanza un apposito protocollo di intesa, ove all’art. 1, 2 comma, lett. b), viene evidenziato che il Corpo collabora, altresì, “..nell’esecuzione, a richiesta del Garante, di verifiche on-line, codificate sulla base di uno o più provvedimenti del Garante, volte a rilevare, dall’esame dei siti web e degli altri strumenti telematici utilizzati, il rispetto della disciplina di protezione dei dati personali da parte dei titolari, pubblici e privati, che effettuano trattamenti di dati personali per mezzo di reti telematiche..”.
ANALISI DI UN CASO PRATICO: nell’occasione utilizzeremo il medesimo approccio operativo che potrebbe utilizzare l’Autorità di controllo italiana per dimostrare quanto sia facile individuare soggetti che siano fuori conformità. Proviamo ad utilizzare la menzionata metodologia in un caso reale realizzando una prenotazione presso una struttura sanitaria.
Attraverso una breve e semplice ricerca su Internet individuiamo il sito della struttura e andiamo nell’area denominata “Prenota on-line”. Attraverso tale link accediamo ad una pagina, gestita dal fornitore dell’applicazione, sulla quale sono inserite le opzioni per prenotare o disdire appuntamenti per visite specialistiche o accertamenti specialistici (anche tamponi rapidi) da parte di soggetti registrati (preventivamente o al momento della registrazione).
Il form di registrazione contiene un riquadro “Privacy” nel quale sono presenti box da selezionare per dare atto di aver preso visione dell’informativa e per acconsentire all’invio di messaggi informativi e promozionali. Riscontriamo subito che cliccando sul termine informativa veniamo indirizzati ad un’informativa standardizzata, probabilmente predisposta dal fornitore del servizio di prenotazione. Riusciamo a ricollegare la finalità dell’acquisizione dei dati per lo specifico servizio nell’ambito di una delle finalità indicate, anche se l’operazione richiede qualche sforzo interpretativo.
Proseguiamo nella registrazione ma, quando viene richiesta la modalità di contatto prescelta, ci accorgiamo che è già preselezionata (via telefono, via e-mail o altre modalità).
Ci accingiamo a completare il nostro profilo ma anche qui rileviamo che è già preselezionata e non può essere modificata l’opzione di invio di messaggi sugli appuntamenti. Ma il consenso non deve essere libero ed inequivocabile?
Decidiamo quindi di proseguire ma, ahimè, ci accorgiamo che è già preselezionata anche l’opzione di autorizzazione all’invio di questionari per il rilevamento della soddisfazione. Cerchiamo di comprendere la finalità di tale questionario senza, purtroppo, venirne a capo. Della specifica informativa non vi è traccia. Ma il consenso non deve essere anche informato?
E ci chiediamo, inoltre, se il titolare è a conoscenza che il Garante per la protezione dei dati personali con provvedimento n. 182 del 5 maggio 2011 (doc. web n. 1812910) ha fissato le regole cui si devono attenere gli organismi sanitari che intendono svolgere indagini sulla qualità dei servizi sanitari offerti ai cittadini.
COSA FARE: in questo quadro, allorché si utilizzano, soprattutto in ambito sanitario, applicazioni software che gestiscono dati di utenti è necessario innanzitutto affidarsi a fornitori competenti anche sotto il profilo del rispetto della normativa in materia di protezione dei dati personali, soprattutto quando le soluzioni software prevedono l’accesso a sistemi gestiti in cloud direttamente dal fornitore del servizio. Occorre poi:
- verificare che tali strumenti siano stati realizzati conformemente ai principi di privacy by design e by default per evitare di raccogliere dati personali in violazione ai principi di correttezza e trasparenza, necessità, proporzionalità, non eccedenza;
- fornire istruzioni precise e documentate ai gestori delle applicazioni – responsabili del trattamento ed eseguire adeguati controlli.
Poiché tali valutazioni richiedono una competenza particolare è fortemente suggerito di farsi supportare da professionisti esperti (il DPO, ove previsto, oppure il proprio consulente privacy) per garantire che le scelte si siano orientate verso applicazioni che rispettano le norme in materia di protezione di dati personali.
Soltanto in tal modo il titolare del trattamento (la struttura sanitaria) potrà dimostrare di aver:
- concretamente adottato iniziative per assicurare il rispetto degli obblighi previsti dal GDPR;
- consapevolezza dei rischi reputazionali connessi alla possibilità di essere destinatari di gravi sanzioni da parte dell’autorità di controllo che potrebbe facilmente individuare le situazioni irregolari direttamente sulla rete in seguito ad attività d’iniziativa ovvero a seguito di segnalazioni o reclami dei diretti interessati
Dott. Alfredo Sanfelice – Consulente Privacy e Antiriciclaggio – DPO – Referente Assodata Roma
Dott. Gaetano Mastropierro – Consulente Privacy e Antiriciclaggio – DPO – Referente Assodata Roma