Garante Privacy – nuova sanzione ad una casa di cura e ad un suo Responsabile del trattamento

L’operato dei fornitori responsabili del trattamento dati, la valutazione preventiva degli stessi, la gestione formale dei contratti di affidamento, le corrette istruzioni, la concreta valutazione delle misure di sicurezza adeguate al rischio attuate ed il controllo in itinere, continuano ad essere temi troppo spesso sottovalutati.

Con due provvedimenti di dicembre 2021 e resi pubblici agni inizi del 2022 (doc. web n. 9734884 e doc. web n. 9734934), il Garante per la Protezione dei Dati Personali ha sanzionato una Casa di Cura, con sede nella provincia di Varese, ed un suo responsabile del trattamento, che ricopriva anche la funzione di amministratore di sistema, per avere effettuato un trattamento di dati in violazione degli obblighi in materia di sicurezza.

Cosa è accaduto

In sintesi, la casa di cura aveva notificato al Garante per la protezione dei dati personali una violazione di dati sanitari in quanto un gruppo di hacker, dopo aver effettuato un attacco informatico, aveva pubblicato immagini radiografiche riconducibili alla struttura.

Dall’istruttoria effettuata era emerso che la casa di cura aveva in uso un software fornito dal responsabile del trattamento sanzionato, tramite il quale i medici accedevano da remoto ai documenti diagnostici degli ospiti.

Tale sistema permetteva l’accesso al … software … pensato per diagnosi, visualizzazione, archiviazione e trasmissione di immagini medicali fruibile mediante browser web e una password di accesso – su protocollo http (hypertext transfer protocollo), ossia un protocollo di rete che non garantisce l’integrità e la riservatezza dei dati scambiati tra il browser dell’utente e il server che ospita il servizio/sito web e non consente agli utenti di verificare l’autenticità del server a cui si collegano.

A conclusione degli accertamenti il Garante privacy ha comminato una sanzione di:

• 30.000 euro alla casa di cura perché  le misure tecniche e organizzative adottate, per il tramite del Responsabile del trattamento, per la gestione dell’accesso al citato software con particolare riferimento all’utilizzo del protocollo “http” e alle modalità di assegnazione delle password utilizzate (mancata definizione di password policy), non erano idonee a garantire un livello di sicurezza adeguato ai rischi dello specifico trattamento, creando e le premesse per il verificarsi della violazione dei dati personali;
• 7.000 euro al responsabile del trattamento perché l’art. 32 del GDPR stabilisce che, non solo il titolare, ma anche lo stesso responsabile, nell’ambito delle proprie competenze e dei compiti delegati dal titolare, deve mettere in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio.

Conseguenti riflessioni

È interessante notare che nella circostanza il titolare aveva nominato il responsabile del trattamento ai sensi dell’art. 28 GDPR specifico atto. Questo elemento evidenzia come sia importante non solo definire in maniera formale il rapporto fra titolare e responsabile del trattamento, ma anche applicare concretamente le disposizioni previste dall’art. 28, paragrafo 3 in tema di obblighi del responsabile individuato.

In particolare, per quanto è possibile desumere dai due provvedimenti, è quindi necessario da una parte che il titolare individui solo responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate, dall’altra che il responsabile non solo adotti le misure tecniche ma assista il titolare nell’applicazione delle misure di sicurezza che a lui competono.

Non si tratta, pertanto, soltanto di adempimenti formali e ciò è stato rimarcato più volte in provvedimenti sanzionatori dell’Autorità Garante. Il titolare è il soggetto sul quale ricadono le decisioni circa le finalità e le modalità del trattamento dei dati personali degli interessati nonché una “responsabilità generale” sui trattamenti posti in essere (v. art. 5, par. 2 c.d. “accountability” e 24 del Regolamento), anche quando questi siano effettuati da altri soggetti “per suo conto”.  Spetta in primo luogo proprio al titolare del trattamento mettere in atto misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento. Il responsabile che non adotta misure di sicurezza adeguate o non assiste il titolare nell’adozione di misure adeguate, oltre a violare i precetti dell’art. 28 del GDPR, può contribuire a creare le premesse per il verificarsi di una violazione dei dati personali.

Peraltro, l’importanza di questo tema è stata ribadito dal Garante privacy nel piano ispettivo per il primo semestre del 2022, dove è stato specificato che l’attività di controllo sarà indirizzata anche alla verifica della corretta individuazione dei titolari e dei responsabili del trattamento da parte di soggetti pubblici e privati.

Quali azioni sono opportune per imprese ed organizzazioni di ogni settore e dimensione in relazione a questo complesso rapporto?

• Verificare se i processi di trattamento che si effettuano sono adeguatamente mappati;
• Verificare se si è in grado di definire a quali fornitori sono demandate specifiche attività di trattamento;
• Definire correttamente il ruolo ricoperto nei processi di trattamento dati (titolare-responsabile-contitolare);
• Eseguire una valutazione preventiva, dei fornitori e dei servizi/prodotti che forniscono/erogano;
• Definire in modo preciso, i rapporti contrattuali sia in relazione ad aspetti civilistici che in relazione ai trattamenti di dati personali utilizzando le clausole contrattuali standard promosse dalla commissione europea;
• Individuare le misure di sicurezza adeguate che devono essere adottate ed aggiornare gli allegati previsti dalle clausole contrattuale standard;
• controllare costantemente l’effettiva implementazione delle stesse in modo concreto e comprovabile.

Credi sia complesso adottare processi adeguati?

Vuoi un supporto per gestire queste attività?

MTS Consulenze realizza specifici corsi di formazione dedicati a questi temi.

Uno dei percorsi riguarda la gestione del rapporto tra titolari e responsabili ed è strutturato per essere ricco di confronti, esempi pratici e spunti operativi. Il corso è, pertanto, ideale fornire la giusta conoscenza e competenza teorica e pratica alle figure che sono impegnate con ruolo apicale o di supporto e sorveglianza in tutte quelle attività che comportano un trattamento dati, ad esempio:

• titolari, figure apicali, personale tecnico e con funzione di gestione dei clienti di attività che offrono servizi in qualità di responsabili del trattamento dati: web master, agenzie di vendita, professionisti legati al tema cookies e profilazioni on-line, fornitori di servizi mailing, istituti di vigilanza, fornitori di servizi IT;
• titolati, figure apicali, referenti privacy di tutte le realtà di ogni dimensione e tipologia che trattano dati personali in qualità di titolari del trattamento;
• avvocati, commercialisti, consulenti privacy, privacy specialist, privacy manager e DPO, consulenti aziendali le cui attività interessano anche la gestione della filiera dei fornitori

Perché partecipare?

Perché ci confronteremo su aspetti sia teorici che pratici ed operativi afforntando molti temi utili:

• Richiamo ai principi generali del GDPR;
• Titolare del trattamento – Responsabile del trattamento – individuazione dei ruoli tra GDPR e linee guida EDPB;
• Recenti sanzioni dell’Autorità Garante che hanno interessato il rapporto titolare-responsabile;
• Richiamo al concetto di valutazione del rischio e misure di sicurezza adeguate (organizzative, fisiche e tecniche o logiche) e rapporto con i fornitori di servizi e di tecnologia;
• Accountability: Privacy by design e Privacy by default nel rapporto con i soggetti terzi;
• La gestione del rapporto contrattuale ed operativo tra Titolare e responsabile;
• Analisi e applicazione concreta delle clausole contrattuali standard del 04/06/2021;
• Valutazione preventiva del Responsabile e controlli in itinere: importanza ed alcuni spunti pratici;
• Fase precontrattuale: cosa deve richiedere il Titolare del trattamento cosa deve fornire il responsabile?

Per maggiori informazioni sui corsi in calendario e per iscrizioni clicca QUI