[doc. web n. 9973790]

Provvedimento del 30 novembre 2023

Registro dei provvedimenti
n. 556 del 30 novembre 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE” (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. La segnalazione

L’Autorità ha ricevuto una segnalazione del sig. XX riguardante le modalità di refertazione utilizzate dalla Società Medical Center s.r.l. In particolare, è stato rappresentato che “la piattaforma propone un link valido ad un referto” ma “cambiando il numero finale” è possibile “accedere ad alcune informazioni relative ad altri referti” e “espandendo la sezione apposita, è possibile vedere il "Registro eventi" del referto contenuto nel link, che mostra una lista degli utenti che hanno scaricato il referto. In questo caso la piattaforma (…) mostra nel formato "nome.cognome" il nome utente di un soggetto terzo a cui corrisponde il referto indicato nel link”. Ciò, secondo quanto rappresentato dal segnalante, renderebbe possibile, per un utente loggato “enumerare i nomi dei pazienti che hanno usufruito dei (…) servizi”.

2. L’attività istruttoria

In relazione a quanto rappresentato nella segnalazione, l’Ufficio, con nota del XX prot. n. XX, ha richiesto alla Società Medical Center s.r., ai sensi dell’art. 157 del Codice, di fornire alcuni elementi utili alla valutazione dei profili rilevanti in materia di protezione dei dati personali e, in relazione a tale richiesta, la medesima società, con nota del XX, ha fornito riscontro dichiarando che:

- “sulla base di un contratto di servizio datato XX la società CB Sistemi s.r.l. (…) assicura la manutenzione periodica della piattaforma https://referti.medicalcentersrl.it/Account/LogOn?ReturnUrl=%2f che essa stessa ha progettato al servizio delle necessità della società Titolare del Trattamento. Dopo attenta valutazione dei rapporti fra le parti in data XX le parti hanno finalizzato un accordo che prevede ai sensi dell’art. 28 del Reg. UE 2016/679 che la società CB Sistemi S.r.l. operi in qualità di Responsabile del trattamento dei dati”;

- “i tecnici di CB Sistemi (…) riscontrano che l’applicativo, a causa di un bug, visualizzava una piccola parte dei dati relativi ad accettazioni intestate ad un’utenza diversa da quella loggata; in particolare era visibile il registro delle operazioni eseguite, nel quale compariva il nome utente usato per l’accesso al sito web (composto da nome.cognome), nonché data e ora di download dei file di fattura”;

- “non sono assolutamente mai state visibili informazioni di dati personali anagrafici o altro di altre utenze né è stato possibile scaricare fatture o referti di altre utenze”;

- “in merito al reclamo il problema è stato prontamente risolto il giorno XX alle ore 16:50 circa e sono state nascoste anche queste informazioni a chi non era abilitato a vederle”;

- “a fronte dell’istruttoria avviata intorno all’accesso del reclamante, il Titolare ha (…) potuto appurare quanto segue:

a. il tentativo di accesso alla piattaforma da parte del Sig. XX ha riguardato le operazioni di download di una sola persona fisica. CB Sistemi, ai quesiti posti dal DPO, in data XX conferma (…) che “il sig. XX non ha avuto accesso a dati particolari o sensibili di soggetti interessati o al tipo di prestazioni richieste”. Sebbene il Sig. XX abbia tentato l’accesso il XX alla pratica XX, XX, XX, XX, e il giorno XX Accettazione n°: XX, CB Sistemi spiega che “da verifiche più approfondite, delle accettazioni a cui il sig. XX ha avuto accesso, solo la XX del XX appartiene ad una persona fisica, il resto delle accettazioni sono afferenti alla Medicina del Lavoro e quindi associate alla ragione sociale di un’azienda. Quindi il Sig. XX ha potuto osservare i dati di download di una sola persona fisica”;

b.sebbene, allo stato attuale, il Sig. XX conosca il nome e il cognome della persona che ha scaricato il referto XX il XX (senza venire a conoscenza del contenuto dello stesso (…)), tali informazioni non consentono di identificare in modo inequivocabile una persona, visto i possibili casi di omonimia;

c. il codice univoco assegnato al paziente è un dato progressivo che viene generato automaticamente all’atto dell'accettazione e non consente a terzi di poter rintracciare il paziente e la prestazione.

d. lato applicativo il software implementa i più diffusi strumenti di sicurezza come form authentication mvc di microsoft per autenticare in modo sicuro le utenze che accedono al sito web, antiforgery token per prevenzione degli attacchi di richiesta intersito falsa. L’accesso alle risorse è inoltre differenziato in base al ruolo assegnato all’utenza.

e. é bene tenere presente che tale dicitura è solo un log di notifica di inizio della procedura; non significa assolutamente che l’utente abbia scaricato il file in questione, in quanto il sistema riconosce che l’utenza non è autorizzata e immediatamente reindirizza il browser verso una pagina di errore”;

- "l’accesso del Sig. XX, seppur illecito, ha comportato un impatto basso poiché non ha comportato di fatto nessun effetto sui servizi e nessuna conseguenza sul piano materiale o reputazionale sul soggetto interessato (…)”.

A supporto di quanto dichiarato, il titolare ha allegato alcuni documenti recanti “Nomina responsabile del trattamento per servizi di manutenzione e assistenza software”, “Dichiarazione di conformità GDPR” di CB Sistemi s.r.l., la Relazione Tecnica di CB Sistemi s.r.l., “Istruzione-gestione violazione e notifica al Garante”, “Analisi data breach incident” di CB Sistemi s.r.l., nonché la notifica al Garante di violazione dei dati personali, dalla quale risulta che, quali misure adottate seguito della violazione “la società CB Sistemi s.r.l. ha (…) nascosto il registro delle operazioni sui referti a chi non era abilitato a trattarne i contenuti; a riprova di ciò non si sono registrati da quella data, altri tentativi di download da parte del Sig. XX”.

In relazione a quanto comunicato dalla Società Medical Center s.r.l., l’Ufficio, con atto del XX, prot. n. XX, ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2 del Regolamento, nei confronti della Società, invitandola a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, l. n. 689 del 24 novembre 1981). A seguito di quanto emerso, infatti, l’Ufficio ha ritenuto che la Società Medical Center s.r.l., al momento della segnalazione, aveva effettuato un trattamento di dati personali in violazione dei principi di base del trattamento di cui agli artt. 5, par. 1, lett. f), 25, par. 1, e 32 del Regolamento e ha, pertanto, contestato alla medesima Società, ai sensi dell’art. 166, comma 5, la predetta violazione.

Con mail del XX, la Società Medical Center s.r.l. ha fatto pervenire le proprie memorie difensive, nelle quali, in particolare, oltre a quanto già dichiarato, è stato rappresentato che:

- “secondo quanto riporta la società CB Sistemi (…): “1) Il software, installato presso società su tutto il territorio nazionale a partire dal XX, è stato sviluppato nel rispetto normativo GDPR e viene monitorato da tecnici specializzati che si occupano di effettuare aggiornamenti e azioni di manutenzione correttiva, adattativa ed evolutiva. In particolar modo, a seguito dell’entrata in vigore della normativa privacy GDPR nel XX, il software, a partire dalla versione StudioLab 4.25 è stato aggiornato con azioni di manutenzione evolutiva per essere in regola con gli adempimenti normativi obbligatori, come da compliance GDPR consegnata ai nostri clienti. 2) Prima del reclamo inviato al Garante, nessuno dei nostri Clienti che utilizza StudioWeb, ha segnalato problematiche simili a quella evidenziata dal Sig. XX. 3) Le azioni intraprese dal Sig. XX sono dettate da una conoscenza di specifiche competenze, presagiscono una volontà di acquisire impropriamente dati particolari e pertanto si ritiene che siano al limite del lecito. La particolare azione che ha comportato la falla consiste nel manipolare l’URL di accesso ad una specifica pagina del sito (che consente di visualizzare i dati di una accettazione) nella parte in cui viene specificato il numero di accettazione, modificandolo con altro valore, al fine di tentare di accedere ad informazioni non proprie. Tale operazione illecita era stata prevista dal nostro sviluppatore in fase di test e opportunamente bloccata. La falla si è creata in seguito ad un aggiornamento di funzionalità del portale che prevedeva la possibilità di visualizzare il registro delle operazioni eseguite. Lo sviluppatore che ha introdotto tale funzionalità non ha previsto la possibilità di accesso illecito tramite manipolazione dell’URL. Si noti che solo questo registro era visibile tramite questa forma di attacco”;

“in base a quanto riportato dalla società CB Sistemi, a seguito della verifica dei log, si è potuto riscontrare che il sig. XX usando l’account della nonna sig.ra XX (in base a quanto dichiarato ..) poteva certamente avere accesso al registro degli accessi di una sezione della piattaforma, ma in modo tutt’altro che immediato poiché:

• l’utente doveva avere competenze specifiche sul fronte della programmazione e sviluppo di software (…);

• l’utente ha dovuto reiterare più volte il tentativo di introdursi nell’area accettazione del programma (…)”;

“in data XX intorno alle ore 22:40 il sig. XX, usando l’account della sig.ra XX tenta più volte l’accesso alle accettazioni dei seguenti utenti, rappresentati con il codice univoco di seguito riportato: XX, XX, XX, XX, XX, XX. Il giorno successivo tenta il medesimo accesso sulla accettazione n°: XX. Oltre a ciò si riportano ulteriori tentativi di download non riusciti e di documenti non propri: per il giorno XX referti XX, XX, XX, XX, XX, XX, XX (non esiste), XX, XX, XX, XX (non esistente), XX (non esistente), XX (non esistente), XX (non esistente), XX, XX, XX; fatture XX, XX, XX, XX, XX; per il giorno XX nessun tentativo di download. I tentativi di accesso hanno consentito di poter di fatto osservare, il XX i dati di download di una sola persona fisica (codice XX)”;

in relazione al carattere doloso o colposo “Medical Center non avendo al proprio interno conoscenze e competenze specifiche in fatto di programmazione per curare la piattaforma di refertazione on-line sceglie di esternalizzare rischi connessi allo sviluppo e manutenzione adottando tuttavia le seguenti cautele (…): A. Scegliere un fornitore qualificato con esperienza nel settore; B. Scegliere un prodotto dichiarato dal fornitore Compliance al GDPR; C. Formalizzare l’accordo di garanzia a tutela dei dati personali ex art. 28 GDPR e ottenere Dichiarazione di Conformità al GDPR e Relazione Tecnica delle Misure a garanzia della tutela e sicurezza dei dati personali ai sensi dell’art. 32 del Reg. UE 2016/679; D. Mantenere, successivamente all’avvio del software, un contratto di assistenza con il fornitore per assicurarne lo standard di sicurezza nel tempo e la generazione di release che consentano alla società di avere un prodotto sempre efficace sia sul piano della funzionalità che sicurezza”;

“il bug è stato generato durante l’aggiornamento del software e non era presente al momento dell’acquisto”;

“la società CB sistemi s.r.l. (…) ha dapprima provveduto a risolvere il problema e il giorno XX alle ore 16:50 ha nascosto il registro delle operazioni sui referti a chi non era abilitato a trattarne i contenuti; a riprova di ciò non si sono registrati da quella data altri tentativi di download da parte del sig. XX e di terzi. Il giornoXX alle ore 16:50 (correggendo il bug) viene nascosto il registro delle operazioni sui referti a chi non era abilitato a trattarne i contenuti. L’organizzazione intende programmare dei controlli periodici per riscontrare per tempo eventuali vulnerabilità dei sistemi; oltre a ciò, il personale e i fornitori strategici che operano in qualità di responsabili del trattamento saranno addestrati affinché possano, secondo criteri condivisi, intercettare gli incidenti e gestire con maggiore tempestività le procedure di classificazione e gestione dei data breach”.

Alle predette dichiarazioni è stata allegata la relazione tecnica del fornitore che illustra le Procedure interne di sviluppo del software nonché il “Documento di raccolta delle Policy privacy di Medical Center s.r.l.”.

Ciò premesso, in relazione a quanto comunicato dalla Società Medical Center, l’Ufficio, con

atto del XX, prot. n. XX, ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2 del Regolamento, nei confronti della Società C.B. Sistemi s.r.l. invitandola a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, l. n. 689 del 24 novembre 1981). A seguito di quanto emerso, infatti, l’Ufficio ha ritenuto che la Società C.B. Sistemi s.r.l., al momento della segnalazione, in qualità di responsabile del trattamento, non abbia ottemperato agli obblighi di cui all’art. 32 del Regolamento, non avendo adottato misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi presentati dal trattamento; ciò, in violazione dei principi di base del trattamento di cui agli artt. 5, par. 1, lett. f) e 32 del Regolamento.

Con mail del XX, la Società C.B. Sistemi s.r.l. ha fatto pervenire le proprie memorie difensive, nelle quali, in particolare, è stato rappresentato che:

- “l’evento di cui si tratta è stato occasione per trarre una serie di elementi che sono stati e saranno, presi attivamente in considerazione da CB Sistemi nelle azioni e nei comportamenti futuri. In tal senso la società ha intenzione di intraprendere, ed in parte ha già iniziato, un percorso di miglioramento nella propria struttura, per offrire ai clienti e ai destinatari finali, un prodotto sempre più sicuro e performante ed anche, grazie alle indicazioni che potrà trarre dal presente procedimento, più aderente ai dettami del GDPR. In tal senso, nei prossimi periodi ha intenzione di:

1. rendere obbligatoria per tutte le strutture sanitarie la pseudonomizzazione degli accessi degli utenti. Ad oggi il software concesso in licenza lascia facoltà di opzione al licenziatario, in fase di configurazione, di far accedere i propri utenti al referto online tramite: nome utente + password; oppure numero di accettazione + Pin. CB Sistemi sta già modificando il programma prevedendo come obbligatoria la pseudonomizzazione, in ottemperanza ai provvedimenti del Garante ed al Codice di Condotta della Regione Veneto;

2. implementare un sistema di autenticazione forte a due fattori (strong authentication) aggiungendo alla verifica password anche la ricezione di un SMS di conferma;

3. intraprendere un percorso di certificazione ISO 27001; 27005 e 9001;

4. designare un Responsabile alla Protezione dei Dati;

5. intraprendere un percorso di formazione interno focalizzato sia sulla protezione dei dati che sulla cyber security e rendere costanti le verifiche”;

- in relazione ai ruoli assunti, rispettivamente, dalle società Medical Center s.r.l. e da CB Sistemi s.r.l. nel trattamento dei dati personali degli utenti della struttura sanitaria, “la società CB Sistemi ha per oggetto sociale l’attività di “commercio all’ingrosso e al dettaglio nonché il noleggio di macchine elettroniche, di cancelleria, di materiale e di arredi per ufficio; attività di sviluppo, realizzazione distribuzione di software; attività di assistenza e manutenzione di software e macchine elettroniche d’ufficio [...]”;

- “in tale ambito la società nel 2005 ha creato:

- il software StudioLAB: che consiste in un gestionale concesso in licenza d’uso a strutture sanitarie e scaricato dalle stesse sui propri server. Studio LAB contiene i dati anagrafici, contabili e sanitari dei pazienti e opera unicamente sulla rete LAN della struttura licenziataria;

- il portale web StudioWEB: parimenti concesso in licenza d’uso e installato sui server del cliente, che consente l’attività di refertazione on line. La piattaforma non contiene dati anagrafici, contabili o sanitari ma consente di accedere ai dati posti su StudioLAB. Anche questo è un portale del cliente (nel caso oggi in esame: di Medical Center) installato sui server della struttura sanitaria. Il paziente che voglia scaricare il proprio referto on line, accede unicamente a StudioWEB, senza avere accesso ai dati contenuti in StudioLAB. Ed infatti, come meglio si dirà, nell'episodio di cui si tratta, l’accesso è relativo a un registro di file di log posto su StudioWEB, e non a dati personali o sanitari posti su StudioLAB”;

- “entrambi i software vengono concessi da CB Sistemi, in licenza d’uso a pagamento ai propri clienti i quali li scaricano sui propri sistemi, con la prescrizione tecnica che deve trattarsi di due server diversi che comunicano: StudioLAB su rete LAN e StudioWEB su altro server con connessione cifrata e protetto da firewall”;

- “in virtù dei contratti di licenza d’uso, CB Sistemi non ha in alcun modo accesso ai sistemi del licenziatario”;

- “i programmi sono commercializzati in tutto il territorio nazionale e vengono costantemente monitorati da tecnici specializzati che si occupano di effettuare aggiornamenti o attività di manutenzione correttiva, adattativa ed evolutiva”;

- “Medical Center nel 2018 ha acquistato in licenza d’uso i due programmi, che da allora operano esclusivamente sui sistemi informatici del cliente”;

- “nel 2018 la licenza d’uso è stata integrata con separato contratto di servizi di manutenzione e assistenza software”;

- “l'attività di manutenzione del software (adattativa, evolutiva o correttiva) consta nel rilascio da CB Sistemi di patch da scaricare dal cliente sui propri sistemi”;

- “in particolare la manutenzione correttiva: “comprende gli interventi sui programmi effettuati dalla CB Sistemi srl al fine di correggere malfunzionamenti o errori dei programmi (Bug) sulla base dei test è delle segnalazioni ricevute dal Client”. Viene garantita anche l’assistenza, fornita da CB Sistemi in via telefonica o telematica, in questo caso sì avendo accesso (limitato alla richiesta di intervento) ai sistemi del cliente e potendo aver visione dei dati”;

- “qualificando giuridicamente i ruoli assunti dalle parti, pet quanto concerne il caso in esame, si evidenzia che: Medical Center Srl ha acquistato una licenza d’uso del programma StudioLab e una di StudioWeb, scaricando i software sui propri sistemi e rivestendo il ruolo di Titolare del Trattamento dei dati personali trattati per il tramite del programma e del portale. CB Sistemi Srl si è limitata a cedere la licenza d’uso, non assumendo alcun ruolo in relazione ai dati personali trattati da Medical Center sul proprio portale. Nel 2018 le parti hanno stipulato anche un separato contratto di manutenzione e assistenza software”;

- “le due obbligazioni vanno distinte:

• per il servizio di manutenzione CB Sistemi non riveste nessun ruolo (ossia non è né titolare, né incaricato, né responsabile ex art. 28 Gdpr) nel trattamento dei dati personali, che vengono trattati unicamente da Medical Center, limitandosi al rilascio delle patch,

• per il servizio “assistenza”, CB Sistemi può avere accesso ai dati personali trattati da Medical Center laddove non si tratti di assistenza telefonica, ma telematica e solo ed esclusivamente “a chiamata””:

- “in tal senso, solo per l’attività di assistenza, Medical Center ha nominato CB Sistemi responsabile del trattamento ex art. 28 GDPR”; considerata la definizione di “trattamento” (art. 4, par. 1, n. 2) “CB Sistemi non svolge nessuna di queste attività nell’ambito dello sviluppo del software o dell’attività manutentiva”;

- “CB Sistemi, nell’ambito dello sviluppo software o dell’attività manutentiva, non tratta dati personali per conto del titolare del trattamento (Medical Center). D’altro canto Medical Center e CB Sistemi avevano disciplinato i rapporti e le responsabilità sin dalla stipula del contratto del 2018 che, è vero che ha effetto di legge solo tra le parti, ma può aiutare l’Autorità ad una migliore definizione dei ruoli concretamente assunti nel trattamento dati. In tal senso nell’accordo si legge che, CB Sistemi si obbliga ad eseguire “la manutenzione correttiva” la quale “comprende gli interventi sui programmi effettuati dalla CB Sistemi srl al fine di correggere malfunzionamenti o errori dei programmi (Bug) sulla base dei test è delle segnalazioni ricevute dal Cliente””;

- “si esclude che dal “Registro eventi” siano ricavabili “dati sanitari” ex art. 4 par. 1 sub 15 GDPR, posto che il numero di documento visualizzato come infra verrà meglio spiegato, non riporta alcun riferimento allo stato di salute e nemmeno ai servizi utilizzati dall’utente (interessato) presso Medical Center”;

- “da ciò consegue che non possa, e soprattutto non debba, essere applicato alla fattispecie in esame l'art 83, par 2. lett g) GDPR. La normativa di riferimento, tutt'ora applicabile, è il Provvedimento GPDP del 19 novembre 2009, n. 36 (doc. web. n. 1679033) “Linee guida in tema di referti on line”, ritenuto compatibile con il vigente GDPR”;

- “l’esponente ha lamentato che accedendo al referto on line della nonna, avrebbe fatto alcuni test di modifica dell’ultima parte dell’URL, prendendo visione di un data base contenente alcuni nomi, ore di accesso e di un numero, dal XX ricondotto ad un numero di referto. I dati indicati, per il contesto in cui si trovavano (sito di una struttura sanitaria), sono stati considerati dall'Autorità dati particolari trattati in violazione dell’art. 5 e 25 GDPR”;

- “in realtà vanno considerati altri elementi: la struttura indicando la possibilità di scaricare i propri referti on line, suggerisce all’interessato che intenda utilizzare la procedura telematica, il proprio nome.cognome come username (..). Si tratta, appunto di mero suggerimento ed il campo è liberamente modificabile da parte dell’utente. Pertanto, è una mera congettura il fatto che il nome presente nel data base visto dal XX sia effettivamente di un utente della clinica e quindi fruitore di prestazioni mediche. A ciò si aggiunga che il mero dato “nominativo”, non associato a ulteriori elementi quali almeno codice fiscale, luogo e data di nascita, non permette in alcun modo di individuare una persona fisica determinata o anche solo astrattamente determinabile”;

- “l’evento denunciato dal signor XX va ampiamente ridimensionato e derubricato. Riassumendo quanto dallo stesso esposto: in data XX XX è entrato nell’applicativo on line di Medical Center invece dell’interessata (la nonna), che aveva usufruito del servizi, XX, allo scopo di scaricare il suo referto on line. Completata positivamente l’operazione, ha artatamente e abusivamente iniziato (per 29 volte e in due giorni consecutivi) a fare tentativi di accesso sul sistema informatico di Medical Center. Quali ne fossero le motivazioni è oscuro. In base ai log di accesso di XX, si è potuto verificare che lo stesso ha potuto avere visione delle seguenti posizioni: XX; XX; XX; XX; XX (per la seconda volta); XX il XX e XX il XX. I log del XX, corrispondono tutti a Park Hotel Imperial Srl (che evidentemente usa Medical Center per la medicina del lavoro) e non sono dati personali; il log del, che nuovamente si riporta, è l’unico riferito a persona fisica (tal XX, nome ampiamente diffuso)”;

- “(…) il “Registro Di File” di log contiene: Nome utente usato per l’accesso (che può corrispondere al nome.cognome del paziente, ma può essere di un terzo e anche nome di fantasia); Data e ora di download del file di fattura”;

- “il signor XX non ha avuto accesso a informazioni su dati personali anagrafici o altri dati particolari o contabili di altri utenti; non ha potuto scaricare nessun file, né fatture, né tantomeno referti di utenti diversi dalla signora XX. E quindi ... pur avendo pervicacemente fatto 29 tentativi di accesso...il numero di potenziali interessati alla disclosure del nome utente (persona fisica) è soltanto ed unicamente 1!”;

- “il nome utente da solo, in assenza di altre informazioni aggiuntive e senza l’utilizzo di ulteriori elementi accessibili solo al Titolare del Trattamento (Medical Center) di cui il segnalante (XX) non ha mai avuto disponibilità, non consente di identificare o rendere identificabile con precisione un soggetto (interessato) distinguendolo da tutti gli altri”:

- “la durata della violazione è circoscritta in un arco temporale limitato a circa 30 ore (tempo trascorso tra la segnalazione inviata (…) dal Sig. XX a Medical Center, l’immediata attivazione di quest’ultima nei confronti di CB Sistemi, e la più che tempestiva risoluzione del bug da parte dei tecnici di CB Sistemi)”;

- “la falla segnalata (…) ha portato il Sig. XX a visionare solo 2 (due) profili diversi da quelli della nonna, di cui 1 profilo (uno) soltanto riferibile ad un nome utente (nome.cognome) apparentemente attribuibile a persona fisica, la quale rimane però di fatto non identificabile ai sensi di quanto previsto dall’art. 4, paragrafo 1 sub 1, GDPR, e l’altro (profilo utente) riferibile alla ragione sociale di un'azienda e quindi sicuramente extra riferimento normativo”;

- “il dato può (…) considerarsi come personale anzitutto quando riguarda una persona “identificata” (v. ad es. CGUE 30/05/2013 C-342/12, con riferimento a informazioni su reddito e orati di lavoro, e CGUE C-101/01 con riferimento a nominativi associati rispetto a recapiti telefonici). Nel caso di specie, il nome utente (nome.cognome) visualizzato dal XX è incasellato soltanto in una stringa denominata “Registro eventi” da cui si poteva evincere soltanto che tale utente ha scaricato un documento (indefinito) in una certa (precisa) data. Nessun riferimento al contenuto del documento, né alla tipologia di documento era presente sull’URL, che il XX ha dolosamente manipolato per vedere cosa ne potesse uscire”;

- “il XX ha visualizzato soltanto un numero di documento senza alcuna indicazione circa la sua natura o tipologia (fattura/referto/altro...) e tantomeno senza alcuna possibilità di linkare per aprirlo e leggerne il contenuto”;

- “chiarito quindi che una persona è considerata identificata /identificabile qualora “l’informazione” ad essa riferita, in ragione del suo contenuto, scopo o effetto, la renda chiaramente distinguibile dagli altri, non esclusivamente attraverso il nome, ma eventualmente anche con altri mezzi (WP29, parere 4/2007 sul concetto di dati personali), risulta pacifico che quanto visualizzato dal segnalante (…) non abbia provocato alcun rischio per i diritti e le libertà dell'interessato in questione (1 solo) di cui il XX nulla ha visto, se non un nome utente inserito in un registro eventi”;

- “va quindi respinta nel caso specifico l’affermazione secondo cui “nome e cognome possono essere sufficienti a individuare una persona ed inferire possibili problemi di salute”. Nulla di tutto ciò è ricavabile dai dati visualizzati dal segnalante, posto che un riferimento alfanumerico indicante un documento, la data di accesso e di download ed un nome utente, di per sé soli, non solo non consentono di rendere identificata/identificabile una persona fisica con precisione, ma non danno nemmeno alcuna indicazione sullo stato di salute e/o malattia della stessa”;

- “nella vicenda oggi in esame va, quindi, escluso (ex art 83 par 2 lett. g, GDPR) ogni riferimento alla categoria dei dati particolari relativi allo stato di salute, potendosi al massimo ipotizzare una visualizzazione di un dato comune (nome.cognome=nome utente) privo di qualsiasi altra informazione aggiuntiva utile a identificare la reale persona fisica cui tale dato si riferisce”;

- “anche volendo, solo per ipotesi, configurare la fattispecie in esame sotto tale ottica, potremmo al massimo ipotizzare un “Confidentiality breach” ovvero la fuoriuscita di dati personali dallo spazio conoscitivo riconosciuto solo a soggetti autorizzati”;

- “le misure tecniche e organizzative adottate, sia dal Titolare in proprio, sia da CB Sistemi per la parte di competenza, hanno infatti impedito qualsiasi altro accesso del segnalante ad altri data base da cui fossero ricavabili informazioni aggiuntive che potessero consentire di identificare con precisione quale persona fisica corrispondesse al nome utente visualizzato, e soprattutto quali prestazioni/esami questi avesse richiesto a Medical Center!”;

- “va altresì tenuto conto della condotta tenuta da CB Sistemi. Essa è stata tempestivamente ed assolutamente collaborativa e trasparente sia nei confronti del Titolare del trattamento (Medical Center), sia nei confronti del DPO (Dott.ssa XX) sia nei confronti del Garante stesso. Le azioni correttive sono state adottate da CB Sistemi in modo preciso, e totalmente risolutivo del bug segnalato e tutto ciò nell’arco di poche ore dalla ricezione della segnalazione da parte di Medical Center. La violazione (falla) è emersa a seguito di un aggiornamento evolutivo richiesto effettuato da CB Sistemi per il quale né Medical Center, né alcun altro cliente, ha mai sollevato (prima della mail del XX del Sig. XX) alcuna contestazione o segnalazione al riguardo”.

Nella richiesta, in subordine, di irrogare una sanzione nella misura più bassa possibile, è stato, infine, sottolineato che “a) la violazione è di natura formale; b) nessun pregiudizio è occorso agli interessati coinvolti (1 solo peraltro); c) la falla è stata online solo per poche ore; d) è dimostrata, evidente e pacifica la buona fede dimostrata e l’atteggiamento dimostrati da CB Sistemi srl; e) il fatto contestato è del tutto inoffensivo”.

In data XX si è svolta l’audizione richiesta da C.B. Sistemi s.r.l. nella quale è stato precisato che:

- “la durata della falla è stata limitata, in quanto la Società è intervenuta prontamente a risolvere la problematica che aveva reso possibile la visualizzazione di un solo nome utente”;

- “la modalità di accesso al sistema è stata scelta dal titolare; la Società C.B. Sistemi s.r.l. aveva infatti proposto un sistema alternativo di accesso tramite numero di accettazione e pin, al posto del nome.cognome; se, infatti, il titolare avesse accolto questa modalità alternativa, anche in caso di falla, non si sarebbe visualizzato un nome.cognome ma un numero di accettazione”;

- “la falla che ha reso possibile l’accesso da parte di terzi si è presentata in un seconda fase rispetto al momento della fornitura del software, in quanto si è presentata a seguito di un aggiornamento evolutivo, causato da un errore dello sviluppatore, che non aveva previsto il blocco di accesso da parte di soggetti non legittimati sulla specifica funzionalità”.

3. Esito dell’attività istruttoria

Preso atto di quanto rappresentato dalla Società, si osserva che:

- per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)”; per “dati relativi alla salute” “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, nn. 1 e 13 del Regolamento; cfr. anche Cons. n. 35);

- si osserva che il titolare può affidare un trattamento “a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto di misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i principi del Regolamento”, anche per la sicurezza del trattamento, tenuto conto degli specifici rischi derivanti dallo stesso (artt. 28, par. 1, 24 e 32 del Regolamento; cfr. anche Cons. n. 81). In questo caso “i trattamenti da parte di un responsabile sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, che vincoli il responsabile al titolare e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare” (art. 28, par. 3 del Regolamento);

- i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (principio di «integrità e riservatezza»)” (art. 5, par. 1, lett. e f) del Regolamento).

- il titolare e il responsabile del trattamento sono tenuti a mettere in atto “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”, tenendo conto, tra l’altro, “della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”, evidenziando che “nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati” (art. 32, par. 1 e 2). In ogni caso, i predetti soggetti sono tenuti ad adottare procedure “per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento” (art. 32, par. 1, lett. d) del Regolamento).

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal responsabile del trattamento nel corso dell’istruttoria e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”, gli elementi forniti dal responsabile del trattamento nella memoria difensiva sopra richiamata e nel corso dell’audizione, seppure meritevoli di considerazione, non consentono di superare integralmente i rilievi notificati dall’Ufficio con il richiamato atto di avvio dei procedimenti, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del regolamento del Garante n. 1/2019.

Infatti, nell’evidenziare, come più volte ricordato dall’Autorità, che l’avvenuta prestazione di un servizio di assistenza sanitaria riferita a una persona specificatamente indicata dal nome utente (nome.cognome) costituisce un’informazione riconducibile alla nozione di dato sulla salute, ai sensi dell’art. 4, par. 1, n. 15 del Regolamento e del Cons. n. 35 (cfr., ex multis, Provv. 29 settembre 2021 n. 358, doc. web n. 9720448), è stato accertato che il segnalante, quale soggetto terzo non autorizzato, ha avuto la possibilità di prendere visione di dati personali relativi alla salute contenuti nell’accettazione intestata ad altro interessato attraverso la piattaforma a disposizione dei pazienti per il download dei referti, a causa di un bug dell’applicativo. Al riguardo, si osserva che, alla luce dei principi sopra evidenziati, il predetto applicativo avrebbe dovuto essere oggetto di test e collaudo da parte della Società, anche a seguito dell’aggiornamento di funzionalità del portale. Infatti, la vulnerabilità del sistema -che avrebbe potuto consentire a terzi di accedere ad informazioni relative ad accettazioni intestate ad altri interessati, manipolando l’url di accesso ad una specifica pagina del sito- era stata prevista in fase di test iniziale e opportunamente bloccata, ma non è stata considerata in seguito ad una operazione di aggiornamento del medesimo portale, volta a introdurre la funzionalità che prevedeva la possibilità di visualizzare il registro delle operazioni eseguite (cfr. le dichiarazioni presenti nel documento del XX “La violazione (falla) è emersa a seguito di un aggiornamento evolutivo richiesto effettuato da CB Sistemi per il quale né Medical Center, né alcun altro cliente, ha mai sollevato (prima della mail del XX del Sig. XX) alcuna contestazione o segnalazione al riguardo”).

Pertanto, tenuto conto della natura dei dati oggetto di accesso e degli elevati rischi derivanti dalla loro possibile acquisizione da parte di terzi, in relazione alla predetta nuova funzionalità, introdotta senza aver previsto la possibilità di alterazione dell’url da parte di terzi, e senza, quindi, avere effettuato il relativo test a collaudo, si ritiene che anche la Società CB Sistemi s.r.l. non abbia adottato misure idonee a garantire un livello di sicurezza adeguato al rischio (artt. 5, par. 1, lett. f), e 32 del Regolamento per “assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento”).

Infatti, sebbene sul titolare del trattamento, che determina le finalità e le modalità del trattamento dei dati, ricada una “responsabilità generale” per i trattamenti posti in essere (v. art. 5, par. 2, c.d. “accountability”, e 24 del Regolamento), anche quando questi siano effettuati da altri soggetti “per suo conto” (Cons. n. 81, artt. 4, punto 8), e 28 del Regolamento), il Regolamento ha disciplinato gli obblighi e le altre forme di cooperazione a cui è tenuto il responsabile del trattamento e l’ambito delle relative responsabilità (v. artt. 30, 32, 33, par. 2, 82 e 83 del Regolamento). Come sopra ricordato, l’art. 32 del Regolamento stabilisce che, non solo il titolare, ma anche il responsabile del trattamento, nell’ambito delle proprie competenze e dei compiti delegati dal titolare, “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” metta in atto “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio” e che “nel valutare l’adeguato livello di sicurezza si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati”.

Si rileva, pertanto, l’illiceità del trattamento di dati personali effettuato dalla CB Sistemi s.r.l per aver effettuato un trattamento di in violazione del principio di “integrità e riservatezza” di cui all’art 5, par. 1, lett. f) del medesimo Regolamento e degli obblighi di cui all’art. 32, par. 1, del Regolamento, come sopra descritto.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

Ciò premesso, tenuto conto che:

- dalle risultanze degli atti, l’episodio risulta essere un fatto isolato e, sotto il profilo psicologico, privo di dolo, determinato da un comportamento intenzionale del segnalante; la responsabilità è riconducibile ad un grado di colpa da valutarsi come lieve alla luce degli elementi che connotano l’episodio;

- la violazione ha riguardato dati sulla salute di un solo interessato, ma non ha interessato referti;

- la Società è intervenuta prontamente per attenuare gli effetti della violazione occorsa, nonché per prevenire il ripetersi di eventi analoghi;

- il responsabile del trattamento si è dimostrato prontamente e estremamente collaborativo durante tutta la fase istruttoria e procedimentale e non risultano precedenti violazioni pertinenti commesse dallo stesso;

le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi del cons. 148 del Regolamento e delle “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal “Gruppo di Lavoro Art. 29” il 3 ottobre 2017, WP 253 e fatte proprie dal Comitato europeo per la protezione dei dati con l’”Endorsement 1/2018” del 25 maggio 2018. Si ritiene, pertanto, relativamente al caso in esame, che sia sufficiente ammonire il responsabile del trattamento ai sensi degli artt. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, per avere violato gli artt. 5, par. 1, lett. f), e 32 del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.

TUTTO CIÒ PREMESSO IL GARANTE

a) dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dalla Società CB Sistemi s.r.l., con sede legale in via F. Hayez n. 4, Venezia, (C.F./P. Iva 03941880274);

b) ai sensi dell’art. 58, par. 2, lett. b), del Regolamento, ammonisce la Società CB Sistemi s.r.l., quale responsabile del trattamento in questione, per aver violato gli artt. 5, par. 1, lett. f) e 32 del Regolamento, come sopra descritto;

c) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’Autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 30 novembre 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei