g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Centro di Medicina preventiva s.r.l. - 16 dicembre 2021 [9739609]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9739609]

Ordinanza ingiunzione nei confronti di Centro di Medicina preventiva s.r.l. - 16 dicembre 2021

Registro dei provvedimenti
n. 435 del 16 dicembre 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. La violazione dei dati personali.

Con nota del XX il Centro di medicina preventiva s.r.l. (di seguito “Centro”) ha notificato al Garante, ai sensi dell’art. 33 del Regolamento, una violazione dei dati personali in relazione a un attacco informatico riconducibile al gruppo hacker “LulzSecita”, che ha comportato la pubblicazione, sul profilo Twitter del medesimo gruppo, di “un’immagine parzialmente oscurata nei dati sensibili (nome paziente e ID paziente) di un elenco di nominativi ed esami radio-diagnostici effettuati nella data del XX”.

In particolare, il Centro ha rappresentato che:

- “è stato eseguito un Q/R (Query & Retrieve) sull’IP pubblico della struttura e nonostante le misure di sicurezza esistenti alla data del fatto, il gruppo di hacker è riuscito ad ottenere un quantitativo limitato di metadati DICOM riferibile ad un elenco di 5 nominativi di pazienti che avevano eseguito presso la struttura esami radio-diagnostici nella medesima giornata”;

- “i dati scaricati dal server sono metadati DICOM che contengono nome, cognome, data di nascita e esame radiodiagnostico eseguito. Non sono state scaricate immagini, né notizie cliniche o anamnestiche. L'immagine condivisa dagli hacker è oscurata nei dati sensibili ed è altamente improbabile associare quella foto ai dati coinvolti; (..) l’identità dei pazienti non è stata resa pubblica. E’ stata sporta però regolare denuncia per carabinieri”;

- “il server "PACS" è un PC WINDOWS 10 regolarmente aggiornato e protetto da firewall e si trova all'interno della struttura” e il “software che gestisce il PACS è XX di XX”;

- in relazione alle misure tecniche adottate a seguito della violazione, “abbiamo verificato la natura dell’attacco e verificato quali e quanti dati fossero stati scaricati dal server. I dati erano metadati Dicom provenienti dal Pacs XX. Abbiamo provveduto immediatamente a cambiare le porte di accesso al Pacs, tutte le password e inasprito le regole del firewall. Stiamo valutando di inserire nella rete un firewall hardware”.

2. L’attività istruttoria.

A seguito della notifica di violazione effettuata dal Centro, ai sensi dell’art. 33 del Regolamento, l’Ufficio ha chiesto di fornire alcuni elementi utili alla valutazione dei profili in materia di protezione dei dati personali (nota del XX, prot. n. XX).

Il Centro ha fornito riscontro con nota del XX, dichiarando che:

- “dato il numero esiguo dei soggetti coinvolti dalla violazione dei dati, l’azienda, attraverso il responsabile dei dati, nei giorni successivi alla comunicazione al Garante, ha preferito contattare telefonicamente i soggetti spiegando la natura della violazione, fornendo informazioni riguardanti le misure intraprese per evitare ulteriori violazioni, ma soprattutto raccomandando massima attenzione nel caso questi fossero contattati da terzi”;

- “il giorno XX alle XX è stata effettuata una richiesta C-FIND proveniente da IP esterno alla struttura (XX) al database del software XX. Un’ulteriore richiesta è stata effettuata alle 21:30:32 da un altro IP (XX), sempre esterno alla struttura. In risposta a queste due richieste, XX ha inviato messaggi C-FIND-RSP contenenti le informazioni richieste”;

- “vista la natura dei due indirizzi IP (esterni alla rete della struttura) la nostra analisi ci porta ad affermare che la porta di ascolto del software per la ricezione dei dati DICOM, nonostante al momento della scoperta dell’accaduto non fosse raggiungibile dall’esterno, in quel momento lo fosse. Il suddetto router/modem Netgear D6400 era aggiornato e protetto da password (alfanumerica con caratteri speciali), ma abbiamo però constatato che aveva delle vulnerabilità, patchate dalla casa madre solamente il XX, che probabilmente hanno permesso di prendere il controllo del port fowarding”;

- “i log non hanno evidenziato accessi indesiderati avvenuti tramite l’interfaccia web di XX. (….), a seguito della richiesta C-FIND-RQ1, non sono avvenute altre richieste di tipo C-MOVE-RQ, indicando, quindi, che le immagini non sono state recuperate dagli hacker”;

- “gli hacker alla luce di tutto ciò sono riusciti a recuperare dal database dal software, i metadati di 5 studi contenenti altrettanti nominativi con relative date di nascita e il tipo di esame radio-diagnostico eseguito nella giornata del XX. Nell’immagine pubblicata dagli hacker questi dati sono stati oscurati e difficilmente riconducibili ai soggetti coinvolti; inoltre la maggior parte dei dati di quell’elenco non appartengono alla struttura”.

Per quanto attiene alle misure adottate per porre rimedio alla violazione dei dati personali e per attenuarne i possibili effetti negativi nei confronti degli interessati, il Centro ha rappresentato che “alla scoperta del data breach abbiamo immediatamente verificato la natura della violazione e preso misure immediate per evitare ulteriori accessi non autorizzati. Abbiamo verificato se sul router ci fossero regole che permettessero l’accesso a determinate porte dall’esterno, se il firmware fosse aggiornato e cambiato password di accesso. Abbiamo cambiato la porta di ascolto del software XX, verificato che i parametri di sicurezza fossero attivi e modificato tutte le password di accesso sia del server che del software, con obbligo per queste ultime di modifica al primo accesso. Abbiamo inoltre attivato un’opzione nel software che permette di accettare richieste solamente da dispositivi DICOM conosciuti; un’opzione equiparabile a un filtro MAC Address di un router. Nei giorni successivi abbiamo sostituito il router/modem con un altro modello più performante, sicuro e attualmente senza vulnerabilità conosciute”.

Alla luce delle dichiarazioni fornite, si è reso necessario chiedere ulteriori elementi al Centro e alla società XX, concernenti l’eventuale designazione di quest’ultima a responsabile del trattamento, ai sensi dell’art. 28 del Regolamento, e le misure tecniche e organizzative adeguate messe in atto per garantire un livello di sicurezza adeguato al rischio (nota del XX, prot. n. XX).

Con nota del XX, il Centro ha dichiarato che “la società XX non svolge alcun ruolo per quanto riguarda il trattamento e/o la conservazione dei dati presso la nostra struttura. XX è la software house che ha creato il software XX, il sistema PACS che viene utilizzato per conservare e visualizzare le immagini radiologiche dalla nostra struttura. L’hardware su cui è installato e i dispositivi storage dove vengono conservati i dati e le copie di backup sono stati acquistati direttamente dalla nostra struttura e non hanno in alcun modo a che fare con XX. Fatto salvo quanto previsto dalla garanzia sul software, non esiste alcun contratto tra XX e Centro di Medicina Preventiva Srl. Il software non è stato ceduto direttamente da XX alla nostra struttura, ma dal nostro fornitore di apparecchiatura radiologiche. XX è stata coinvolta nella questione solamente per analizzare i Log e fornire l’analisi della violazione e verificare la portata del data breach”.

Con nota del XX, la società XX ha confermato le dichiarazioni del Centro, in ordine al rapporto con quest’ultimo, precisando, altresì, che:

- “nel caso di specie il software XX risulta installato su hardware messo a disposizione dal centro diagnostico, fisicamente collocato all’interno del centro diagnostico e sotto il controllo del solo centro diagnostico. Ciò vale anche per i dispositivi di storage utilizzati dal software XX per memorizzare ed archiviare le immagini medicali digitali in formato DICOM, nonché per gli apparati di rete utilizzati per le comunicazioni interne e per il collegamento ad Internet”;

- “non effettuiamo a nessun titolo trattamenti per conto del Titolare del trattamento, e, in casi come quello trattato, la responsabilità del raccordo del nostro programma con il complessivo sistema informatico dell’utente finale, anche ai fini delle questioni riguardanti i trasferimenti di dati e quindi le tematiche di protezione della Privacy, riguardano l’installatore e il responsabile IT del Titolare del trattamento”;

- “al verificarsi dell’evento la nostra Società (è) stata contattata al fine di contribuire all’analisi dell’accaduto. In sintesi è emerso che il vulnus era da collegarsi ad una particolare configurazione del router/firewall in uso presso il centro diagnostico per il collegamento ad Internet (router/firewall che risulta sotto il controllo esclusivo del centro diagnostico titolare del trattamento), che ha consentito il collegamento al server DICOM di XX da parte di indirizzi IP esterni al centro diagnostico stesso. Ciò ha consentito di interrogare l’archivio di XX tramite una richiesta di query DICOM, e di recuperare una serie di metadati relativi agli esami ed ai pazienti memorizzati nell’archivio stesso. L’analisi ha altresì rivelato che non è stata recuperata alcuna immagine diagnostica da parte degli hacker”;

- “durante tale analisi (…), NON è stato necessario trattare o nemmeno vedere dati di terzi contenuti nel supporto informatico, essendoci limitati ad esaminare porzioni di files di log che contengono informazioni sulle connessioni TCP/IP e sulle interrogazioni effettuate da nodi DICOM remoti, ma nessun dato personale”.

Dall’“Analisi tecnica dettagliata dell’attacco hacker”, effettuata dalla Società XX e trasmessa dalla stessa in allegato al riscontro alla richiesta di informazioni dell’Autorità, emerge che non è stato possibile “stabilire se quella configurazione del router fosse stata fatta esplicitamente da un amministratore per errore oppure se gli hackers hanno sfruttato una vulnerabilità del router per entrare nella configurazione dello stesso e configurare all’istante un port forwarding che consentisse loro l’accesso al server DICOM di XX, porta TCP 104; quest’ultima ipotesi appare comunque plausibile ed è in effetti una tecnica piuttosto usuale in questo tipo di attacchi hacker”(…); se il router/firewall in uso presso il centro diagnostico non avesse abilitato il port forwarding sulla porta TCP 104, non sarebbe stato possibile connettersi al server DICOM di XX dall’esterno del centro diagnostico stesso. Sottolineiamo che questo port forwarding non è assolutamente necessario né richiesto nemmeno per l’eventuale utilizzo da remoto del server XX, ad esempio per scopi di telerefertazione. L’analisi dei files di log di XX, che erano attivi al momento dell’attacco hacker, ha però altresì confermato che a seguito dell’interrogazione dei metadati relativi agli esami dei pazienti, non è seguito un recupero delle immagini diagnostiche vere e proprie”.

In relazione a quanto emerso nell’ambito dell’istruttoria, l’Ufficio, con atto del XX, prot. n. XX, ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2 del Regolamento, nei confronti del Centro, invitandolo a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, l. n. 689 del 24 novembre 1981).

In particolare l’Ufficio, nel predetto atto, ha preliminarmente rappresentato che:

- la disciplina in materia di protezione dei dati personali stabilisce che i medesimi dati devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)” (art. 5, par. 1, lett. f) del Regolamento);

- in materia di sicurezza dei dati personali, il titolare del trattamento e il responsabile del trattamento devono mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” (…). “Nel valutare l’adeguato livello di sicurezza si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati” (art. 32 del Regolamento). La medesima disposizione, al par. 1, lett. b), individua “la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento” come una delle possibili misure idonee a garantire un livello di sicurezza adeguato al rischio (sul punto, cfr. anche il Considerando n. 83 del Regolamento nella parte in cui prevede che “il titolare del trattamento […] dovrebbe valutare i rischi inerenti al trattamento e attuare misure” che “dovrebbero assicurare un adeguato livello di sicurezza, inclusa la riservatezza, tenuto conto dello stato dell'arte e dei costi di attuazione rispetto ai rischi che presentano i trattamenti e alla natura dei dati personali da proteggere. Nella valutazione del rischio per la sicurezza dei dati è opportuno tenere in considerazione i rischi presentati dal trattamento dei dati personali, come la distruzione accidentale o illegale, la perdita, la modifica, la rivelazione o l'accesso non autorizzati a dati personali trasmessi, conservati o comunque elaborati, che potrebbero cagionare in particolare un danno fisico, materiale o immateriale”);

- il titolare del trattamento è tenuto a mettere in atto misure tecniche e organizzative adeguate che garantiscano, “per impostazione predefinita, che non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l‘intervento della persona fisica” (art. 25, par. 2, del Regolamento; sul punto cfr. anche il Considerando n. 78 del Regolamento nella parte in cui prevede che “in fase di sviluppo, progettazione, selezione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento di dati personali o che trattano dati personali per svolgere le loro funzioni, i produttori dei prodotti, dei servizi e delle applicazioni dovrebbero essere incoraggiati a tenere conto del diritto alla protezione dei dati allorché sviluppano e progettano tali prodotti, servizi e applicazioni e, tenuto debito conto dello stato dell'arte, a far sì che i titolari del trattamento e i responsabili del trattamento possano adempiere ai loro obblighi di protezione dei dati”);

- il titolare del trattamento, infine, nei casi in cui è tenuto a designare il responsabile della protezione dei dati, è tenuto a pubblicare i dati di contatto dello stesso e a comunicarli all’Autorità di controllo (art. 37, par. 1 e 7, del Regolamento).

Nel medesimo atto, è stato, altresì, rappresentato che, dall’esame della documentazione in atti, erano emersi alcuni profili di criticità relativi agli obblighi in materia di sicurezza del trattamento, con particolare riferimento alla mancata adozione di procedure di autenticazione. Infatti, al momento in cui si era verificata la violazione dei dati personali, è risultato che il server consentisse connessioni non autenticate e che lo stesso fosse raggiungibile dall’esterno. Il server, infatti, se opportunamente interrogato, restituiva i metadati richiesti (nominativo, data di nascita e tipo di esame eseguito) senza verificare l’identità e autenticare il soggetto (uomo o macchina) che effettuava la richiesta.

Nel predetto atto era stato, quindi, evidenziato che la soluzione adottata dal Centro non poteva essere considerata una misura tecnica idonea a garantire un livello di sicurezza adeguato ai rischi presentati dal trattamento, considerato che la raggiungibilità del server, da rete internet, senza autenticazione, aveva reso possibile l’accesso a dati, anche riguardanti la salute, da parte di soggetti non autorizzati.

Inoltre, da una verifica effettuata dall’Ufficio, era risultato che il Centro non avesse pubblicato i dati di contatto del responsabile della protezione dei dati, da designare ai sensi dell’art 37, par. 1, lett. c) del Regolamento, e non li avesse comunicati, al momento della verifica, al Garante, utilizzando la prevista procedura dallo stesso indicata (cfr. “Comunicazione dei dati del RPD - Istruzioni e facsimile”, in www.gpdp.it, doc. web n. 9102796 e “FAQ relative alla procedura telematica per la comunicazione dei dati del RPD”); ciò in violazione dell’art. 37 del Regolamento.

Pertanto, l’Ufficio aveva reputato che, a causa della mancata adozione di una procedura di autenticazione, unitamente al fatto che il server fosse raggiungibile da rete internet, al momento in cui si era verificata la violazione dei dati personali, il Centro avesse effettuato un trattamento in violazione degli obblighi di cui agli artt. 5, par. 1, lett. f), 25, 32, nonché in relazioni agli obblighi concernenti il responsabile della protezione dei dati, di cui all’art. 37 del Regolamento.

Con nota del XX, il Centro ha fatto pervenire le proprie memorie difensive, corredate da specifica documentazione, nelle quali, in particolare, oltre a quanto già rappresentato, è stato comunicato che:

a) “quanto all’asserita mancata adozione di una procedura di autenticazione”, secondo la relazione di Strategic Risk Consulting S.r.l. in data XX, “incaricata dal deducente di concludere a breve le attività di remediation pianificate”, risulta che “per quanto concerne (..) la vulnerabilità del XX non sono state identificate vulnerabilità se non quelle esistenti anche internamente per l’assenza del certificato SSL. Il server che ospita l’applicativo non è raggiungibile da internet su altre porte per interrogare servizi se non quello http. Questo comporta che al momento delle attività non è possibile estrapolare le informazioni con la metodologia indicata tramite query alla porta 104/tcp e dall’analisi dei log disponibili oggi non è possibile confermare che l’estrapolazione sia avvenuta effettivamente sul server del Centro. Inoltre, vista la mole di record pubblicati sulla pagina Twitter LulzSec Italia, oggi non più visibile, ci risulta improbabile immaginare che i dati siano stati estratti da diverse cliniche per poi essere unificati in un unico database. D’altronde avendo verificato che solo cinque nominativi sul totale di 116172 sono effettivamente pazienti del Centro, sarebbe anche possibile che quei dati siano stati portati o condivisi con altri laboratori effettivamente colpiti dalla LulzSec. Quanto alla mancata adozione di procedure di autenticazione, si osserva che la stessa procedura era già configurata correttamente all’interno dell’applicativo XX e che le interrogazioni che parrebbero essere state fatte tramite la porta 104/tc sono strettamente funzionali della tecnologia stessa così come concepita e posta in essere in sede di installazione; detta porta risulta chiusa alla rete Internet e non valicabile, ma in ogni caso non rilascia informazioni se non di carattere generico e solo attraverso una forzatura telematica operata da esperti pirati informatici capaci di violare sistemi di protezione efficaci e di provata assoluta inviolabilità, non è possibile confermare che l’estrapolazione sia avvenuta effettivamente dal server del Centro”;

b) “in ordine alla contestata mancata pubblicazione dei dati di contatto del responsabile della protezione dei dati, da designare ai sensi dell’art. 37, par. 1, lett. c) del Regolamento e alla mancata comunicazione a codesta Autorità, si evidenzia che l’obiezione è stata ovviata in data XX ed è da valutarsi tenuto conto del fatto che la deducente aveva delegato ogni incombenza, compresa quella in contestazione, al proprio consulente, “In Regola S.r.l.”, occorrente in Milano (…), che ha attivato le procedure e definito le regole organizzative e tecniche di gestione dei salvataggi dei dati aziendali e del ripristino degli stessi, nel rispetto delle norme del Regolamento (UE)2016/679 (…); (…) la scrivente Centro di Medicina Preventiva S.r.l. aveva fatto affidamento che detta incombenza fosse stata adempiuta dal proprio consulente e del tutto ignaro del mancato adempimento vi ha provveduto senza indugio appena ne è venuto a conoscenza”;

c) “all’asserita violazione non appare riconducibile alcun contenuto doloso o di carattere colposo, né di imputabilità al deducente Centro di Medicina preventiva S.r.l. ovvero al responsabile del trattamento”; “la stessa è riferita soltanto a n. 5 nominativi di pazienti, non ha procurato effetti avversi sugli individui, dal momento che non sono state scaricate immagini, né notizie cliniche o anamnestiche dei pazienti e l’immagine condivisa dagli hackers è oscurata nei dati sensibili e non è possibile associare quella foto ai dati coinvolti. Dunque l’identità dei pazienti non è stata resa pubblica”.

Il Centro chiedeva, pertanto, di accogliere la richiesta di archiviazione del procedimento. Tale richiesta è stata, altresì, ribadita con nota del XX, con la quale il Centro ha dichiarato che la Società Strategic Risk Consulting S.r.l., “ha concluso in data XX le attività di test presso il deducente e da remoto presso il proprio laboratorio tecnologico iniziate in data XX”. A tal fine ha trasmesso copia della relazione della citata Società, nella quale si attesta che “le attività di Remediation pianificate - tenuto conto delle esperienze e competenze da ultimo maturate a seguito di data breach che hanno interessato, come è fatto notorio, enti pubblici (Regione Lazio e altri Comuni italiani), nonché autorità internazionali, con livelli di protezione altissimi e non aggredibili – rispetto al livello di sicurezza adeguato esistente al momento del conferimento dell’incarico (XX), sono state portate a termine”, con la precisazione che “il sistema analizzato presenta dunque oggi un livello di sicurezza ottimale, atto a garantire la tutela dei dati personali da tentativi di accesso non autorizzato o esfiltrazione, tenuto conto dello stato delle minacce note ad oggi”.

3. Esito dell’attività istruttoria.

Preliminarmente, si osserva che per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)”; per “dati relativi alla salute” “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, nn. 1 e 15 del Regolamento).

Ciò premesso, richiamate le disposizioni relative agli obblighi del titolare del trattamento in materia di sicurezza e di designazione del Responsabile della protezione dei dati nonché il principio di integrità e riservatezza del trattamento (artt. 25, par. 2, 32, 37, e 5, par. 1, lett. f) del Regolamento), si evidenzia che nel corso dell’istruttoria è emerso che, al momento della violazione, il server, se opportunamente interrogato, restituiva i metadati richiesti (nominativo, data di nascita e tipo di esame eseguito) senza verificare l’identità e autenticare il soggetto che effettuava la richiesta, consentendo connessioni non autenticate e di essere raggiungibile dall’esterno.

Pertanto, tenuto conto della natura dei dati oggetto di accesso, dell’oggetto e della finalità del trattamento, nonché degli elevati rischi derivanti dalla loro possibile acquisizione da parte di terzi, si ritiene che la soluzione adottata dal Centro non può essere considerata una misura idonea a garantire un adeguato livello di sicurezza (artt. 5, par. 1, lett. f), e 32, par. 1, lett. a) del Regolamento, che individua espressamente la cifratura come una delle possibili misure di sicurezza idonee a garantire un livello di sicurezza adeguato al rischio; v. anche Cons. n. 83 del Regolamento nella parte in cui prevede che “il titolare del trattamento […] dovrebbe valutare i rischi inerenti al trattamento e attuare misure per limitare tali rischi, quali la cifratura”; art. 32, par. 1, lett. b) del Regolamento, che stabilisce che il titolare e il responsabile del trattamento debbano mettere in atto misure per “assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento”).

Sul punto, le argomentazioni difensive del Centro non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019. Ciò, in quanto le informazioni rese accessibili (nome, cognome, data di nascita e tipo di esame radiodiagnostico eseguito) costituiscono dati personali sulla salute che meritano specifica protezione considerato che, per loro natura, sono particolarmente sensibili, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali (Cons. n. 51). Pertanto, i medesimi dati sono sottoposti ad una tutela particolare dal Regolamento e la circostanza che, al momento della pubblicazione sul profilo Twitter del gruppo hacker, i dati identificativi siano stati oscurati, non rileva ai fini del superamento del rilevo relativo all’accessibilità dei predetti dati.

Inoltre, in relazione alla asserita impossibilità di confermare che l’estrapolazione sia avvenuta effettivamente dal server del Centro, si osserva che tale dichiarazione non è stata dimostrata e, risulta, invece, confutata da quanto, sul punto, rappresentato dal medesimo Centro. Infatti, nella nota di riscontro alla richiesta di informazioni formulata dal Garante, sono stati trasmessi i file di log del server DICOM di XX, che evidenziano due richieste da parte di indirizzi IP esterni a quelli del centro diagnostico, in risposta ai quali XX ha inviato messaggi C-FIND-RSP contenenti “le informazioni richieste” (“i metadati di 5 studi contenenti altrettanti nominativi con relative date di nascita e il tipo di esame radio-diagnostico”) memorizzate nel proprio archivio (cfr. nota del XX).

Con riferimento, poi, agli obblighi relativi alla designazione del responsabile della protezione dei dati, si evidenzia che il titolare del trattamento, nei casi in cui è tenuto a designare il responsabile della protezione dei dati, deve pubblicare i dati di contatto dello stesso e deve altresì comunicarli all’Autorità di controllo (art. 37, par. 1 e 7 del Regolamento). Tale obbligo, nel caso di specie, interessa il Centro, tenuto conto che l’attività principale dello stesso consiste nel trattamento di categorie particolari di dati personali di cui all’art. 9 del Regolamento, che, in considerazione della molteplicità delle prestazioni offerte dal medesimo Centro, deve ritenersi avvenire su larga scala (cfr. art. 37, par. 1, lett. c) e punto 3 del provv. n. 55 del 7 marzo 2019, doc. web n. 9091942, relativo ai chiarimenti forniti dal Garante sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario). Pertanto, in relazione alla mancata comunicazione all’Autorità e pubblicazione dei dati di contatto del responsabile della protezione dei dati, la circostanza che il Centro avesse affidato a un soggetto terzo l’onere di porre in essere il predetto adempimento, non lo esonera da responsabilità, in quanto lo stesso avrebbe dovuto svolgere attività di vigilanza e verificare l’assolvimento di tale obbligo,  in ragione del fatto che il titolare ha una “responsabilità generale” sui trattamenti posti in essere (cfr. art. 4, par. 1, punto 7; Cons. n. 74; art. 5, par. 2 del Regolamento - c.d. principio di “accountability” e art. 24 del Regolamento); lo stesso è, infatti, tenuto a “mettere in atto misure adeguate ed efficaci [e…] dimostrare la conformità delle attività di trattamento con il […] Regolamento, compresa l’efficacia delle misure” (Cons. n. 74),

4. Conclusioni

Dall’istruttoria effettuata, emerge che le misure tecniche e organizzative adottate dal Centro non sono idonee a garantire un livello di sicurezza adeguato ai rischi dello specifico trattamento. Ciò ha contribuito, peraltro, a creare le premesse per il verificarsi della violazione dei dati personali, oggetto di notifica, con la conseguente illecita acquisizione di dati personali, anche relativi alla salute, degli interessati.

Pertanto, premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice (“Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”), all’esito dell’esame della documentazione acquisita nonché delle dichiarazioni rese all’Autorità nel corso del procedimento, si confermano le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Centro, in violazione degli artt. 5, 25, 32 e 37 del Regolamento, nei termini di cui in motivazione.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, 25, 32 e 37 del Regolamento, determinata dal trattamento di dati personali, oggetto del presente provvedimento, effettuato dal Centro, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 4, lett. a) e par. 5, lett. a) del Regolamento.

Si consideri che il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2, del Regolamento in relazione ai quali si osserva che:

l’episodio risulta essere stato isolato e determinato da un comportamento doloso da parte di un soggetto terzo, denunciato alla Stazione di Binasco della Legione Carabinieri Lombardia e la responsabilità di natura colposa del Centro assume la forma della colpa lieve, sebbene abbia riguardato un numero comunque non esiguo di interessati (art. 83, par. 2, lett. a) e b) del Regolamento);

la violazione ha riguardato dati sulla salute ma non ha interessato referti; inoltre la pubblicazione su Twitter da parte degli hacker è avvenuta oscurando il cognome e ogni altro dato utile all’identificazione degli interessati (art. 83, par. 2, lett. a) e g) del Regolamento);

la mancata adozione di misure di sicurezza idonee a contrastare eventuali accessi illeciti a server (art. 83, par. 2, lett. d), del Regolamento);

il Centro è intervenuto prontamente per attenuare gli effetti della violazione occorsa nonché per prevenire il ripetersi di eventi analoghi, anche richiedendo una specifica attività di vulnerability assessment e di remediation ad una società specializzata (art. 83, par. 2, lett. c) del Regolamento);

l’Autorità ha preso conoscenza dell’evento a seguito della notifica di violazione dei dati personali effettuata, senza ingiustificato ritardo, dallo stesso titolare del trattamento, che si è dimostrato prontamente collaborativo durante tutta la fase istruttoria e procedimentale (art. 83, par. 2, lett. f) e h) del Regolamento);

non sono pervenuti reclami o segnalazioni al Garante sull’accaduto, non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento né sono stati precedentemente disposti provvedimenti di cui all’art. 58 del Regolamento (art. 83, par. 2, lett. i) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 4, lett. a) e par. 5, lett. a) del Regolamento, nella misura di euro 10.000,00 (diecimila) per la violazione degli artt. 5, 25, 32 e 37 del medesimo Regolamento quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019, in ragione della categoria particolare dei dati, il cui trattamento è oggetto del presente provvedimento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata la violazione degli artt. 5, 25, 32 e 37 del Regolamento, dichiara l’illiceità del trattamento di dati personali effettuato dal Centro di Medicina preventiva s.r.l. nei termini di cui in motivazione; 

ORDINA

Al Centro di Medicina preventiva s.r.l., con sede legale in via Amendola 1, 20089, Rozzano (MI), P.IVA. 06273780152, in persona del legale rappresentante pro-tempore, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, di pagare la somma di euro 10.000,00 (diecimila) a titolo di sanzione amministrativa pecuniaria per la violazione di cui al presente provvedimento; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al predetto Centro, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 10.000,00 (diecimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

- la pubblicazione del presente provvedimento sul sito web del Garante, ai sensi dell’art. 166, comma 7, del Codice;

- l’annotazione del presente provvedimento nel registro interno dell’Autorità - previsto dall’art. 57, par. 1, lett. u), del Regolamento, nonché dall’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante - relativo alle violazioni e alle misure adottate in conformità all'art. 58, par. 2, del Regolamento medesimo.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 16 dicembre 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL VICE SEGRETARIO GENERALE
Filippi