Provvedimento del 17 maggio 2023 [9899929]

Ascolta

Stampa Stampa

Trasforma contenuto in PDF

VEDI ANCHE Newsletter del 22 giugno 2023

[doc. web n. 9899929]

Provvedimento del 17 maggio 2023

Registro dei provvedimenti
n. 197 del 17 maggio 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE” (di seguito “Codice”);

VISTO il d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal vice segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. I reclami e la notifica di data breach

Con note pervenute nel XX alcuni assistiti hanno formulato un reclamo nei confronti dell’Azienda ULSS 6 Euganea (di seguito “Azienda”), lamentando di aver ricevuto una comunicazione a loro indirizzata, ma contenente documentazione recante “Certificato di esenzione dalla partecipazione alla spesa sanitaria per motivi di reddito rilasciato dalla Regione del Veneto – Azienda ULLS n. 6 Euganea in attuazione al d.m. 11/12/2009” concernente una terza persona.

Con nota del XX, successivamente integrata in data XX, l’Azienda ha notificato all’Autorità una violazione dei dati personali, ai sensi dell’art. 33 del Regolamento, nella quale ha dichiarato che:

- “il Ministero dell’Economia e Finanze (MEF) comunica alla Regione del Veneto (RV) gli elenchi di soggetti aventi diritto. Regione del Veneto produce i relativi certificati di esenzione e, per il tramite di Azienda Zero (ente di governance regionale) rende disponibili i documenti alle Aziende ULSS del Veneto che provvedono alla distribuzione agli interessati”;

- “AULSS 6 Euganea è quindi destinatario strumentale del metadato (dati correlati all’assistito relativi alla sua esenzione) e titolare del trattamento dei dati anagrafici e di contatto degli assistiti per la distribuzione del certificato di esenzione secondo le seguenti logiche di prossimità: - messa a disposizione di un servizio a sportello presso il Distretto Sanitario dell’AULSS; - consegna a domicilio del certificato mediante servizio di posta ordinaria. In ragione di contenimento della curva dei contagi da COVID-19, preso atto delle istruzioni ricevute da Azienda Zero il XX e tenuto conto della fascia di età dei soggetti interessati (minori di 6 anni e ultra65enni, quest’ultimi in particolare meno abili nella gestione di un certificato con modalità digitale) AULSS 6 conferma anche per il XX l’invio massivo dei certificati alla residenza degli interessati. L’invio a domicilio di questo numero importante di certificati agli interessati è pertanto un atto che l’Azienda ritiene necessario sia per tutelare l’interesse di prossimità dei propri assistiti, sia per limitare le occasioni di assembramento nelle strutture sanitarie (sportelli del distretto) e contenere la curva dei contagi da Covid-19. Il processo di trattamento è inserito nel Registro dei trattamenti del Titolare alla voce “Distribuzione di certificati di esenzione per condizione economica” che indica un rischio residuo “medio” in ragione del numero di interessati potenzialmente coinvolti e delle attività di elaborazione dal formato CSV fornito da Azienda Zero al formato CSV di Postel che tuttavia prevede tassativamente una impostazione diversa da quella fornita da Azienda Zero”;

- “la procedura di inoltro dei certificati di esenzione prevede che venga effettuato un controllo di conformità sull’output delle elaborazioni prima di confermarne l’invio, come indicato nella relazione tecnica prodotta dall’UOSD Sistemi Informativi dell’AULSS 6 Euganea. Il Sistema informativo aziendale è preservato ad oggi con una serie di misure di sicurezza che provvedono a proteggere il perimetro aziendale con strumenti aggiornati ed idonei di ultima generazione”;

- gli interessati sono 39852;

- i dati coinvolti dalla violazione sono “Dati anagrafici (nome, cognome, comune e data di nascita, codice fiscale); codice esenzione per motivi di reddito (7R2)”;

- “il livello del potenziale impatto è stato valutato tenendo conto che: - si tratta di dati relativi ad un solo interessato resi noti solamente ad un altro soggetto; - si tratta di soggetti tutti rientranti tra gli aventi diritto della medesima esenzione; - la comunicazione inviata ad un unico soggetto diverso dal destinatario non contiene dati particolari e non indica in modo dettagliato il reddito, ma solo l’appartenenza alla macro-categoria di utenti rientranti alla fascia di esenzione 7R2 (minori di 6 anni, maggiori di 65 anni con reddito inferiore a 36.151,98 Euro)”;

- “a seguito di una rivalutazione del caso, con la collaborazione dei XX che hanno contribuito all’analisi del processo, sempre utilizzando le raccomandazioni Enisa del dicembre 2013, ma rivalutando i moltiplicatori utilizzati, si riporta il calcolo per la valutazione di gravità (SE= DPCXE1+CB: (DPC=1, EI=0,5 CB=0,25) pertanto SE= (1X0,5) +0,25= 0,75”;

- quali misure tecniche e organizzative adottate a seguito della violazione: “Blocco temporaneo per la revisione di tutti i processi aziendali che comportano l’invio massivo di comunicazioni agli interessati in modo da identificarne possibili modalità alternative di invio e la contestuale revisione delle modalità di controllo”; “Sospensione di tale procedura per invio massimo dei certificati agli interessati ove persistessero anche per il prossimo anno le restrizioni covid e i rischi connessi all’aumento della curva dei contagi sarà rivisto completamente il processo assieme ad Azienda Zero, a Regione del Veneto e Postel con riguardo ai format CSV forniti, utilizzati e da consegnare”;

- la violazione non è stata comunicata direttamente agli interessati perché è stata ritenuta “non (…) suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche”.

E’ stata, altresì, allegata una relazione tecnica volta ad “illustrare le modalità di elaborazione e di invio delle comunicazioni agli assistiti della certificazione di esenzione per condizione economica prevista dalla normativa in vigore”. Dal predetto documento risulta che il processo di elaborazione dei dati per l’invio dei certificati di esenzione “si inserisce in un processo di trattamento più ampio (…) che prevede la generazione delle liste di soggetti aventi diritto all’esonero da parte di MEF (…). Le liste vengono inviate alla Regione del Veneto che elabora i certificati di esenzione e li rende disponibili su portale regionale (Portale Sanità Regione del Veneto) e per il tramite di Azienda Zero alle Aziende Sanitarie per la distribuzione agli assistiti. L’attività di cui al processo sopraindicato è affidata ad un autorizzato del trattamento, operatore dell’UOSD Sistemi Informativi, con molti anni di esperienza nel trattamento di banche dati corpose (come Anagrafe Sanitaria Regionale). L’attività in questione consiste nel confezionare una comunicazione agli assistiti dell’AUSLL n. 6 “Euganea” per dare loro evidenza della certificazione di esenzione per condizione economica prevista dalla normativa in vigore: 1) età e reddito: cod. 7R2 (…); 2) età e assegno sociale: cod. 7R4 (…); 3) età, pensione al minimo e reddito: cod. 7R5. La comunicazione è composta da una lettera di trasmissione indirizzata all’assistito e dal relativo certificato nominale di esenzione. La comunicazione viene effettuata attraverso il servizio Postel allegando il testo della lettera come template e l’elenco dei nominativi. Il servizio Postel provvede a confezionare le lettere cartacee. I file necessari per l’elaborazione dei dati delle tre esenzioni sono tutti di tipo CSV (con separatore puntoevirgola) e sono predisposti da Azienda Zero e acquisiti dall’operatore dell’AUSSL n. 6 attraverso il portale regionale denominato “Portale flussi”. Per ciascuna esenzione, l’operatore ha compiuto le seguenti operazioni come da prassi svolta da anni: 1) scaricato il file CSV dal portale regionale denominato “Portale flussi” sulla postazione dell’operatore; 2) aperto il file CSV utilizzando l’applicativo MS Excel; 3) eliminato dal dataset in MS Excel le colonne non previste dal format Postel; 4) sostituito la descrizione del campo “Distretto appartenenza assistito” con una diversa denominazione in modo da dare evidenza dell’indirizzo del distretto mittente, utilizzando con la funzione di MS Excel “Sostituisci” 5 volte, una per ciascuno dei 5 distretti aziendali (…); 5) salvato quanto elaborato precedentemente nel medesimo file formato CSV; 6) caricato il file risultante assieme al template nella piattaforma Postel; 7) la piattaforma Postel propone all’operatore l’anteprima della comunicazione relativa alla prima riga del dataset, non si osservano anomalie nel layout; 8) confermato l’invio sulla piattaforma Postel”.

Nel medesimo documento è stato, altresì, precisato che “la scelta dell’utilizzo di Ms Excel è stata valutata in quanto l’unico strumento che consente una minore rielaborazione manuale della banca dati dallo scarico CSV con portale regionale e conversione in diverso formato di CSV di Postel. Per tale ragione quest’Azienda non ha optato per un software diverso che avrebbe potuto implicare maggiori operazioni manuali aumentando esponenzialmente il rischio di errori. Le medesime operazioni sono state fatte per i dataset relativi ai codici di esenzione 7R2, 7R4 e 7R5. L’operatore ha infine inviato copia dei dataset e delle anteprime di ciascuna prima riga di ogni dataset ai referenti aziendali interessati dell’invio. Per il dataset relativo all’esenzione di tipo 7R2, l’esito dell’elaborazione che ha generato il file per Postel ha prodotto un disallineamento tra i dati personali dell’anagrafica di destinazione e i dati personali relativi al certificato di esenzione per tutte le righe del dataset ad eccezione delle prime due. Per i dataset relativi all’esenzione di tipo 7R4 e 7R5 i dati personali dell’anagrafica di destinazione e i dati personali relativi a tali certificati di esenzione dell’assistito sono corrette per tutte le righe”.

2. Valutazioni del Dipartimento sul trattamento effettuato e notifica della violazione di cui all’art. 166, comma 5 del Codice

In relazione ai fatti descritti nei reclami e nella notifica di violazione, l’Ufficio, con nota del XX (prot. n. XX), ha notificato all’Azienda, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitandola a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981). Ciò, in quanto è stato ritenuto che la stessa Azienda, comunicando dati personali a terzi in assenza di un idoneo presupposto giuridico, aveva effettuato un trattamento di dati sulla salute in violazione dei principi di esattezza e di integrità e riservatezza (art. 5 par. 1, lett. d) e f) del Regolamento), dei principi di base del trattamento di cui all’art. 6 Regolamento e degli obblighi in materia di sicurezza di cui all’art. 32 del Regolamento.

Con nota del XX, l’Azienda ha fatto pervenire le proprie memorie difensive, nelle quali, in particolare, ha evidenziato che:

- “con comunicazione del XX, Azienda Zero segnalava all’ Azienda che “al fine di evitare eccessiva affluenza agli sportelli è IMPORTANTE che le Aziende ULSS, informino il prima possibile, nelle modalità che ritengono più opportune, gli utenti con certificato in scadenza” di una serie di modalità organizzative necessarie ad ottenere il certificato di esenzione. A tal fine, Azienda Zero precisava che “i certificati saranno resi disponibili alle Aziende ULSS che ne faranno richiesta nell’Anagrafe Sanitaria Unica Regionale nel formato .pdf o al fine di rendere la distribuzione più funzionale ed efficace anche in altri formati richiesti. La distribuzione è a carico dell’Azienda ULSS che utilizzerà le modalità che riterrà più opportune”;

- “a seguito della ricezione della sopracitata comunicazione da parte di Azienda Zero e tenuto conto delle criticità connesse all’incremento della curva dei contagi da Covid-19 per la cittadinanza di competenza dell’Azienda, (…), anche per l’anno 2022 l’Azienda confermava l’ulteriore modalità di messa a disposizione del certificato di esenzione all’assistito mediante invio dello stesso a mezzo posta ordinaria. Tale modalità di spedizione veniva adottata al fine di scongiurare ed evitare possibili assembramenti presso gli sportelli sanitari del distretto dell’Azienda, contribuendo così a contenere la curva dei contagi da Covid-19”;

- “con riferimento ai certificati oggetto di data breach “7R2”, si evidenzia che gli stessi sono riferibili ad interessati di età inferiore ai 6 anni o maggiore di 65 anni, ovvero le categorie più esposte e minacciate, per diverse ragioni, dall’infezione da virus Covid-19”;

- “tali categorie di interessati, in particolare quella di età maggiore di 65 anni, sono (..) potenzialmente meno abili nell’interazione con il portale regionale e, nonostante le comunicazioni informative sul punto, percepiscono la sanità quale materia riconducile all’Azienda piuttosto che alla Regione. Ragion per cui, la possibile affluenza presso gli sportelli dei distretti sanitari allarmava l'Azienda relativamente all’incremento dei possibili contagi da Covid-19 (…), anche in considerazione del contingentamento degli orari di apertura degli sportelli”;

- “l’utilizzo del portale regionale presuppone, oltre all’interazione con la piattaforma, anche la possibilità per il cittadino di stampare il certificato. La stampa del certificato necessita, come noto, della disponibilità di una stampante, eventualità che risulta poco diffusa in soggetti ultrasessantacinquenni e nei nuclei familiari più giovani o comunque di recente giunti nel territorio italiano, trattandosi di un bene strumentale non ritenuto di prima necessità”;

- “l’invio ai cittadini del certificato di esenzione, ad ogni modo, constava di una comunicazione comprensiva di una lettera di trasmissione indirizzata all’assistito e del certificato nominale di esenzione. Tale comunicazione agli assistiti veniva effettuata attraverso il servizio Postel, allegando il testo della lettera predisposta come template e l’elenco dei nominativi”;

- “in particolare, per l’invio della comunicazione in oggetto: l’Azienda si avvaleva dell’esperienza e competenza di un’autorizzata al trattamento, operatore dell’UOSD Sistemi Informativi, esperta di processazione di corpose banche dati, la quale per ciascuna esenzione compiva le operazioni analiticamente indicate nei documenti prodotti (…), come da dichiarazione della stessa che si produce unitamente al Suo Cv ed alla lista dei corsi di aggiornamento professionale (…)”;

- “il servizio Postel provvedeva al confezionamento della comunicazione cartacea sulla scorta della lettera predisposta come template e dell’elenco dei nominativi degli interessati caricati sulla piattaforma”;

- “il processo trattamentale per l’invio massivo dei certificati agli assistiti implicava, come da documentazione prodotta sub docc. 1, 2 e 5, l’utilizzo del software Microsoft Excel. In particolare, a seguito dello scaricamento dal portale regionale denominato “Portale flussi”, il file in formato CSV veniva aperto dall’autorizzato tramite l’applicativo Microsoft Excel, al fine di adeguarlo al formato CSV fornito da Postel. Terminato l’adeguamento, il documento elaborato veniva caricato nella piattaforma Postel”;

- “nel caso di specie, l’esito dell’elaborazione che ha generato il file per Postel ha prodotto un disallineamento tra i dati personali dell’anagrafica di destinazione e i dati personali relativi al certificato di esenzione per tutte le righe del dataset ad eccezione delle prime due. Tale disallineamento, causa del data breach, stante quanto dichiarato dall’operatrice sub doc. 5, non pare determinato da un errore operativo della stessa, ma sembra imputabile ad un malfunzionamento randomico ed imprevedibile del software”;

- “la procedura relativa all’invio massivo delle comunicazioni in oggetto e la connessa valutazione del rischio sono (…) conformi al principio di accountability e, più in generale, ai principi che governano la materia della protezione dei dati personali. Come già precisato in sede di notifica del data breach, la valutazione del rischio residuo (medio) di tale processo trattamentale risulta essere connessa al numero degli interessati potenzialmente coinvolti nel trattamento ed all’attività di elaborazione dal formato CSV fornito da Azienda Zero al formato CSV di Postel, che prevede tassativamente una impostazione diversa (a livello di layout del file) da quella fornita da Azienda Zero”;

- “proprio al fine del contenimento del predetto rischio si è scelto di utilizzare Microsoft Excel per le ragioni di maggiori garanzie che questo software presenta rispetto ad altri programmi che consentono l’elaborazione di file di formato CSV, che, si ricorda, è l’estensione del documento scaricato dal portale regionale, gestito da Azienda Zero, e del documento richiesto dal fornitore Postel per l’invio dei certificati”;

- “Microsoft Excel, infatti è l’unico strumento che consente una rielaborazione manuale minima della banca dati dal formato CSV fornito da Azienda Zero al formato CSV di Postel. Un software diverso avrebbe implicato maggiori operazioni manuali aumentando esponenzialmente il rischio di data breach. Ma vi è di più. L’utilizzo di altri software anche della medesima suite di Microsoft come, ad esempio, Access era stato scartato in quanto, a differenza di Microsoft Excel, erano state riscontrate dalla stessa Microsoft specifiche criticità proprio in fase di importazione di file di formato CSV (…)”;

- “di contro, valga rilevare come l’elaborazione effettuata dall’Azienda non superi i corretti parametri di gestione forniti per Excel dal produttore della applicazione; sono infatti indicati da Microsoft i limiti oltre i quali si presentano rischi e problematiche note e come tali prevedibili in una analisi risk based (…). Tali parametri di elaborazione, si ribadisce, erano stati correttamente rispettati dall’ Azienda. L'Azienda aveva altresì previsto dei meccanismi di controllo sull’output delle elaborazioni prima di confermarne l’invio. Questi ultimi prevedevano una verifica in piattaforma Postel dell’anteprima della lettera di trasmissione generata, che l’operatore ha espletato al fine di valutare eventuali possibili disallineamenti. Da tale verifica non si evinceva alcun riscontro di anomalie nei dati”;

- “ne discende che stanti le dichiarazioni i) della autorizzata al trattamento di aver eseguito regolarmente le attività trattamentali e ii) di Microsoft che non palesa possibili problematiche ai livelli di elaborazione posti in essere dalla Azienda, il problema oggetto del data breach in esame resta imputabile ad un errore randomico non ricorsivo del programma Microsoft Excel che pertanto esclude gli estremi della colpevolezza dolosa e colposa (anche nella forma più lieve ed eventuale) in capo alla Azienda”;

- “dalle dichiarazioni rese e dalla documentazione prodotta, l'Azienda, ai sensi dell’art. 5 par. 2 e del Considerando 74 del Regolamento, ha dato chiara evidenza di aver ponderato e adottato misure adeguate ed efficaci, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità di trattamento nonché del rischio per i diritti e le libertà per le persone fisiche interessate”;

- “le modalità operative attuate dall’autorizzata (…), unitamente alla scelta di Microsoft Excel quale software che implica il minor numero di trattamenti da parte dell’operatore coinvolto, con conseguente esclusione di altri software, ed utilizzo dello stesso entro i corretti parametri di gestione dichiarati da Microsoft nonché dei controlli posti in essere sulle anteprime dei documenti su piattaforma Postel, devono considerarsi procedure in grado di garantire l’esattezza, l’aggiornamento, la riservatezza e l’integrità del dato trattato. Ne discende che neppure il conseguente trattamento in violazione della base giuridica dell’art. 6 del Regolamento possa essere imputato all’ Azienda”;

- “l’analisi del processo, volta ad identificare e adottare le adeguate misure tecniche organizzative finalizzate ad assicurare la tutela dei diritti e libertà degli interessati, deve avvenire secondo logiche di accountability e sulla base delle conoscenze e risorse del Titolare del Trattamento. In tale contesto rilevano peraltro sia il tipo di attività e professionalità dallo stesso svolte (attività sanitarie), sia le scelte tecnologiche ed organizzative a cui l’Azienda è soggetta, in ragione della determinazione da parte della Regione del Veneto di attribuire le competenze informatiche e strutturali per tutte le amministrazioni territoriali ad Azienda Zero, che in questo caso mette a disposizione i dati e le tecnologie per l’elaborazione e la distribuzione degli stessi. Non sfuggirà come tale scelta se, da un lato, implica l’efficientamento dell’azione amministrativa, dall’altro, essendo attuata al fine di razionalizzare e contenere i costi amministrativi, riduce le risorse economiche da dedicare a queste ulteriori attività”;

- “il livello del potenziale impatto per gli interessati deve considerarsi “basso”, alla luce dei seguenti fattori:

i) i dati di un soggetto sono stati resi noti ad un solo unico soggetto diverso;

ii) gli interessati coinvolti appartengono alla medesima fascia di assistiti aventi diritto all’esenzione fiscale;

iii) la comunicazione inviata ad un unico soggetto diverso dal destinatario non contiene dati particolari né presenta riferimenti specifici e dettagliati relativi al reddito, indicando esclusivamente l’appartenenza alla macro-categoria di utenti rientranti nella fascia di esenzione 7R2, ossia minori di 6 anni, maggiori di 65 anni con reddito del nucleo familiare inferiore a 36.151,98 Euro. Valga rilevare che dalle statistiche pubbliche rese disponibili nel sito del Ministero dell’Economia e delle Finanze emerge che, nell’anno 2021, 187% dei contribuenti italiani dichiarava un reddito complessivo fino a 35.000 euro (…) e che il reddito netto medio per nucleo familiare nel nord-est del Paese ammontava per il 2021 a 36.418 euro (fonte: https://www.istat.it/it/files//2022/10/Condizioni-di-vita-e-redditodelle-famiglie-2020-2021.pdf.). Tale fascia di reddito non è indice di soglia di povertà, ma costituisce il reddito medio della maggioranza della popolazione residente nel nord-est”;

- “pur essendo il numero di interessati coinvolti nel data breach pari a 39.852, tuttavia questo numero deve essere rapportato al numero complessivo di cittadini di competenza dell’Azienda, pari alla popolazione di ben 101 comuni della provincia di Padova, ossia circa 936.000 abitanti. Ne discende pertanto che il data breach ha riguardato solo una minima percentuale degli assistiti”;

- “l’Azienda in data XX provvedeva ad inviare agli assistiti coinvolti nel data breach il certificato di esenzione corretto a mezzo posta ordinaria, chiedendo di distruggere il precedente ricevuto”;

- “l’Azienda effettuava un’attenta ponderazione rispetto all’individuazione e attuazione di una soluzione alternativa a quella precedentemente attuata e oggetto del data breach, tenuto conto altresì di una più contenuta situazione dei contagi da Covid-19. Tali valutazioni hanno comportato la scelta di non procedere per il 2023 con l’invio massivo dei certificati di esenzione alla popolazione. In particolare, al fine di superare le problematiche di interazione da parte dei cittadini con il portale regionale, sfruttando il processo di educazione digitale in corso, l’Azienda ha deciso di predisporre una nuova piattaforma ad essa riconducibile (…). All’interno della piattaforma, potrà essere richiesto, tra i vari documenti, il certificato di esenzione 7R2, che verrà autonomamente scaricato dagli interessati, senza la necessità di elaborazioni manuali da parte dell’Azienda e utilizzo di applicazioni per la elaborazione dei dati da parte degli operatori. Tramite il nuovo portale, l’assistito potrà ricevere in formato digitale il certificato di esenzione al fine di esibire lo stesso a quei soggetti che avranno la necessità di verificare la sussistenza del diritto all’esenzione”;

- “per condurre i cittadini per tempo ad una maggiore consapevolezza digitale e verificare l’utilizzo della piattaforma medesima da parte degli stessi, tale procedura è stata già resa operativa all’inizio del mese di XX (con 5 mesi di anticipo rispetto alla necessità dei cittadini di ottenere il certificato di esenzione). Tale piattaforma è stata peraltro oggetto di premio da parte del Lean Healthcare (…)”;

- “l’Azienda ha inoltre: i) proseguito l’importante ristrutturazione dei ruoli soggettivi coinvolti nei processi trattamentali interni; ii) provveduto a fornire una formazione interna altamente specialistica in materia di trattamento dei dati personali, organizzata dall’ XX e con un corpo docenti d’eccellenza; ii) portato avanti le attività di revisione ed implementazione delle misure tecniche e organizzative in materia di trattamento dei dati personali e di sicurezza informatica. Ha, dunque, posto al centro di importanti manovre ed investimenti le attività di trattamento dei dati, dando così comprova dell’elevato grado di cooperazione con l'Autorità Garante al fine di tutelare gli interessati”.

In data 12 dicembre si è svolta l’audizione richiesta dall’Azienda, nella quale è stato sostanzialmente ribadito quanto già argomentato nelle memorie difensive, con le seguenti dichiarazioni:

- “le modalità di spedizione mediante invio al domicilio degli assistiti venivano adottate al fine di scongiurare ed evitare specifici assembramenti presso gli sportelli dell’Azienda, al fine di contenere la curva dei contagi da Covid-19 già alta in quel periodo. Tale decisione veniva presa tenuto conto della comunicazione di Azienda Zero nella quale si invitavano le Aziende ad evitare eccessiva affluenza agli sportelli, lasciando la distribuzione a carico dell’Azienda ULSS che avrebbe potuto individuare le modalità più opportune; ciò, tenuto conto della tipologia degli utenti, categorie più esposte e minacciate dal virus (soggetti di età inferiore a 6 anni e superiore ai 65 anni), peraltro meno abili nell’interazione con il portale regionale, in quanto, nonostante le comunicazioni informative ricevute sul punto, percepiscono la sanità come materia riconducibile all’Azienda piuttosto che alla Regione”;

- “a conferma di quanto sopra, infatti, successivamente al data breach e in particolare, in data 22 aprile, l’Azienda procedeva tramite comunicato stampa pubblicato nel sito internet (…) a ricordare che i certificati di esenzione sono scaricabili direttamente dall’utente collegandosi al portale sicuro regionale (https://salute.regione.veneto.it/web/guest/servizi/esenzioni) e sempre al fine di evitare gli assembramenti presso gli sportelli, in data XX, procedeva al rinvio del certificato chiedendo l’eliminazione di quello erroneamente inviato in precedenza”;

- “una volta individuato Postel quale soggetto per la distribuzione in quanto leader nel settore dell’invio massivo di comunicazioni, il quale prevedeva quale format di acquisizione dei dati il formato CSV, le scelte relative al software da utilizzare erano limitate; cionondimeno nella logica di accountability e privacy by design, veniva chiesto ad Azienda Zero la versione file CSV (preimpostata da Azienda Zero) che avrebbe richiesto un minore intervento di rielaborazione e nessuna trasformazione, esigenza soddisfatta nel migliore dei modi possibili da Microsoft Excel, effettuando una valutazione risk based come descritta in memoria difensiva; nessun elemento, dunque, prima del data breach, aveva fatto valutare la necessità di forme alternative di elaborazione”;

- “tenuto conto della dichiarazione effettuata dall’operatrice, relativa all’aver correttamente proceduto secondo i passaggi indicati, e considerata la sua esperienza e professionalità nella gestione di banche dati complesse e numerose, non resta che ritenere l’avvenuto disallineamento quale imputabile ad un errore randomico non ricorsivo (stante le dichiarazioni di Microsoft stessa riportate in atti), non valutabile antecedentemente al trattamento”;

- “si precisa peraltro che l’Azienda continua a dimostrare il grande impegno nella attuazione dei principi in materia di protezione dei dati, avendo, nonostante il periodo, non esitato a proseguire l’importante ristrutturazione dei ruoli soggettivi nei processi interni, a fornire una formazione interna altamente specializzata organizzata dall’XX e a portare avanti le attività di revisione e implementazione delle misure tecniche e organizzative e di sicurezza informatica investendo grandi risorse, costituendo la protezione dei dati degli interessati una assoluta priorità per l’Azienda”;

- “a conferma di quanto sopra, si evidenzia come l’Azienda si sia tempestivamente attivata per definire una modalità distributiva differente, sempre prossimale (considerata la percezione sopra descritta degli utenti della sanità), provvedendo per tempo a attivare un portale aziendale dove, a marzo, potranno, altresì, essere scaricati anche in formato digitale i medesimi certificati; l’Azienda procederà a fornire tutorial e informazioni all’utenza circa l’opportunità e possibilità di non stampare il certificato e di utilizzarlo in formato digitale, previa esibizione agli sportelli delle strutture richiedenti; in tal modo, bloccando per i prossimi anni, l’invio a domicilio dei documenti in questione”.
In tale sede, è stato, altresì, trasmesso il citato comunicato stampa pubblicato nel sito internet dell’Azienda.

3. Esito dell’attività istruttoria

Preso atto di quanto rappresentato dall’Azienda nella documentazione in atti e nelle memorie difensive, si osserva che:

1. il Regolamento prevede che il trattamento dei dati personali è lecito solo se e nella misura in cui ricorre una delle condizioni previste dall’art. 6 del Regolamento. Ove i dati personali siano trattati per l’esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri, a soggetti che intendono trattarli per altre finalità, la loro comunicazione è ammessa se prevista da una norma di legge o di regolamento o da atti amministrativi generali (art. 2-ter, commi 1 e 3 del Codice);

2. il titolare del trattamento è tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di «esattezza», secondo il quale “devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono stati trattati” (art. 5, par. 1, lett. d) del Regolamento) e quello di «integrità e riservatezza», secondo il quale i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (art. 5, par. 1, lett. f) del Regolamento);

3. in materia di sicurezza del trattamento, l’art. 32 del Regolamento, stabilisce che “tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio […]” (par. 1) e che “nel valutare l’adeguato livello di sicurezza si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati” (par. 2).

4. Conclusioni

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ si rappresenta che gli elementi forniti dall’Azienda nella notifica di violazione, nelle memorie difensive e nel corso dell’audizione non consentono di superare i rilievi notificati dall’Ufficio con il citato atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni si rileva l’illiceità del trattamento di dati personali effettuato dall’Azienda ULSS 6 Euganea, nei termini di cui in motivazione, in particolare, per aver trattato dati personali in violazione dei principi di base del trattamento cui agli artt. 5 e 6 del Regolamento nonché degli obblighi in materia di sicurezza di cui all’art. 32 del Regolamento.
In tale quadro, considerato che l’Azienda ha inviato agli assistiti coinvolti il certificato di esenzione corretto a mezzo posta ordinaria, chiedendo di distruggere il precedente ricevuto, non ricorrono allo stato i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i) e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, 6 e 32 del Regolamento è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 4 e 5, del Regolamento. Si consideri che il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2, del Regolamento, in relazione ai quali si osserva che:

- l’Azienda ha dimostrato un elevato grado di cooperazione durante la fase istruttoria e procedimentale e non ha commesso precedenti violazioni pertinenti;
- il trattamento ha riguardato un numero molto elevato di interessati e ha comportato la comunicazione dei dati di un interessato a un unico soggetto diverso;

- la violazione non è stata determinata da atteggiamenti intenzionali del titolare e la scelta di procedere con l’invio massivo al domicilio degli assistiti dei certificati di esenzione, non riconfermata per l’anno 2023, è stata assunta, nel contesto emergenziale da pandemia da Covid-19, al fine di evitare l’accesso in sede della popolazione e scongiurare in tal modo gli assembramenti presso gli sportelli dell’Azienda.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 4 e 5 del Regolamento, nella misura di euro 10.000,00 (diecimila) per la violazione degli artt. 5, 6 e 32 del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione dell’elevato numero di interessati coinvolti dall’illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento dei dati personali effettuato dall’Azienda ULSS n. 6 Euganea, con sede legale in Padova, Via Enrico degli Scrovegni, n. 14 – 35131 - C.F./Partita IVA 00349050286, per la violazione dei principi di base del trattamento, di cui agli artt. 5 e 6 del Regolamento nonché degli obblighi in materia di sicurezza di cui all’art. 32 del Regolamento, nei termini di cui in motivazione;

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, alla predetta Azienda ULSS n. 6 Euganea, di pagare la somma di euro 10.000,00 (diecimila) a titolo di sanzione amministrativa pecuniaria per la violazione indicata nel presente provvedimento; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Azienda, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 10.000,00 (diecimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 17 maggio 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL VICE SEGRETARIO GENERALE
Filippi

Scheda

Doc-Web
9899929

Data
17/05/23

Argomenti

Dati sanitari Aziende sanitarie Pazienti Data breach

Tipologie

Ordinanza ingiunzione o revoca

Header seguici su

Selettore lingua

Garante per la protezione dei dati personali

GGpdp5SearchToggleBar

I miei diritti

Imprese ed enti

Menù di navigazione

Provvedimento del 17 maggio 2023 [9899929]

g-docweb-display Portlet