In data 24 marzo 2022, l’Autorità Garante per la protezione dei dati personali (“Garante” o “Autorità”) ha emesso il provvedimento n. 100, con cui ha ammonito un istituto di ricerca facente parte del sistema sanitario nazionale (l’“Istituto”) per aver violato le disposizioni di cui agli artt. 5, comma 1, lettere a) e f), 9 e 32 del Regolamento (UE) 2016/679 ("GDPR"), a seguito di una violazione dei dati personali dallo stesso subìta e prontamente notificata al Garante. Descrizione del fatto Nell’aprile del 2021, l’Istituto aveva notificato al Garante, ai sensi dell’art. 33 del GDPR, un data breach causato da un’azione accidentale interna e consistito nell’invio, tramite posta, di un plico contenente un referto radiologico e un CD al destinatario sbagliato Tale violazione aveva dunque comportato la perdita di confidenzialità dei dati anagrafici e dei dati relativi alla salute di un paziente (i.e. referto e CD relativi alla risonanza magnetica). Tuttavia, i rischi per le libertà e i diritti degli interessati connessi a suddetta violazione venivano stimati dall’Istituto come “bassi” in quanto: Nonostante quanto sopra, l’Istituto, in ottemperanza di quanto disposto dall’art. 34 del GDPR, aveva notificato prontamente la violazione all’interessata i cui dati personali erano stati erroneamente comunicati a un terzo soggetto non autorizzato a riceverli e, contestualmente, al fine di prevenire simili violazioni future, aveva organizzato un “re-training” sulle le misure di sicurezza per tutto il personale amministrativo della radiologia. Conclusioni del Garante All’esito dell’attività istruttoria svolta dall’Autorità, quest’ultima aveva riscontrato un trattamento illecito di dati personali dovuto alla violazione, da parte dell’Istituto, dei seguenti principi: Sul punto, infatti, il Garante ha precisato che in base al richiamato principio, i dati di categoria particolare di cui all’art. 9 del GDPR possono essere trattati solo in presenza di una delle specifiche ipotesi di esenzione dal divieto di trattamento di tali dati, individuate al comma 2 del medesimo articolo (quali, a titolo esemplificativo e non esaustivo, il consenso dell’interessato, l’esistenza di specifici obblighi in materia di diritto del lavoro e della sicurezza sociale e della protezione sociale, la necessità di tutelare un interesse vitale dell’interessato, etc.). Inoltre, l’Autorità ha specificato che, in ambito sanitario, la disciplina applicabile in materia di protezione dei dati personali prevede che le informazioni sullo stato di salute possano essere comunicate: A tal riguardo, l’Autorità ha chiarito che, al fine di garantire la sicurezza del trattamento, il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, che comprendono (inter alia) la capacità di assicurare su base permanente la riservatezza dei dati e una procedura per testare, verificare e valutare regolarmente l'efficacia di tali misure. In considerazione di quanto sopra esposto, il Garante ha qualificato la violazione in questione come “violazione minore” ai sensi del considerando 148 del GDPR[2], posto che: Per tali ragioni, il Garante ha ritenuto sufficiente ammonire l’Istituto, richiedendo allo stesso di provvedere a rispettare le previsioni del GDPR e non anche sanzionare l’Istituto stesso, non ritenendo sussistenti i presupposti per l'adozione di ulteriori provvedimenti correttivi, atteso che erano state disposte misure organizzative volte ad evitare il ripetersi di episodi come quello segnalato. [1] Cfr. Art. 9 del GDPR e Art. 83 del Codice Privacy (i.e. D.lgs. 196/2003) in combinato disposto con l’art. 22, comma 11, D.Lgs. 10 agosto 2018, n. 101; cfr. anche provv. generale del 9 novembre 2005 - doc. web n. 1191411, ritenuto compatibile con il GDPR e con le disposizioni del decreto n. 101/2018; cfr. art. 22, comma 4, del citato D.Lgs. n. 101/2018. [2] Considerando 148 del GDPR: “Per rafforzare il rispetto delle norme del presente regolamento, dovrebbero essere imposte sanzioni, comprese sanzioni amministrative pecuniarie per violazione del regolamento, in aggiunta o in sostituzione di misure appropriate imposte dall’autorità di controllo ai sensi del presente regolamento. In caso di violazione minore o se la sanzione pecuniaria che dovrebbe essere imposta costituisse un onere sproporzionato per una persona fisica, potrebbe essere rivolto un ammonimento anziché imposta una sanzione pecuniaria. Si dovrebbe prestare tuttavia debita attenzione alla natura, alla gravità e alla durata della violazione, al carattere doloso della violazione e alle misure adottate per attenuare il danno subito, al grado di responsabilità o eventuali precedenti violazioni pertinenti, alla maniera in cui l’autorità di controllo ha preso conoscenza della violazione, al rispetto dei provvedimenti disposti nei confronti del titolare del trattamento o del responsabile del trattamento, all’adesione a un codice di condotta e eventuali altri fattori aggravanti o attenuanti. L’imposizione di sanzioni, comprese sanzioni amministrative pecuniarie dovrebbe essere soggetta a garanzie procedurali appropriate in conformità dei principi generali del diritto dell’Unione e della Carta, inclusi l’effettiva tutela giurisdizionale e il giusto processo”.
