assicurazioni, innovazione, risk management, sicurezza

QUALI ASSICURAZIONI A PROTEZIONE BONUS E LAVORI SUPERBONUS 110% d.l. 34/2020

POLIZZE A  PROTEZIONE DEI LAVORI DI EFFICIENTAMENTO ENERGETICO , SISMABONUS , ECOBONUS , di cui al D.L. 34/2020

47513802 s

Quali assicurazioni sono consigliate per proteggere il Committente , a copertura del 1) BONUS FISCALE se viene revocato per irregolarità nelle procedure di asseverazione, e 2) dei LAVORI strutturali ( es. cappotto termico, infissi, rivestimento, impermeabilizzazione ) e/o LAVORI di installazione ( es. impianto centralizzato, fotovoltaico, colonnina ricarica) durante l’esecuzione dei lavori e anche dopo , con una garanzia postuma di 5 o 10 anni ? Continua a leggere “QUALI ASSICURAZIONI A PROTEZIONE BONUS E LAVORI SUPERBONUS 110% d.l. 34/2020”

assicurazioni, cyber risk, sicurezza

ASSICURAZIONE CYBER : perche’ e’ importante e quali protezioni si possono attivare per PMI e Professionisti

cyber risk, sicurezza

VIOLAZIONE PRIVACY con una telefonata : il Garante Privacy sanziona Azienda per € 50.000

Quando il mancato aggiornamento di un numero di telefono di soggetto interessato provoca un DATA BREACH, quali soluzioni assicurative a tutela del Titolare del trattamento , dell’incaricato al trattamento a copertura della richiesta danni e delle sanzioni ? Un importante ordinanza del Garante della Privacy in queste ultime settimane ha riguardato un’azienda del territorio romagnolo, ed una materia molto scottante come la “violazione dei diritti e le libertà fondamentali della persona interessata” , con pesanti ripercussioni per le aziende,  sulla gestione dei dati e dei rapporti con Clienti e Dipendenti.  E soprattutto sulla necessita’ di tenere traccia documentale e digitalizzata dei documenti “privacy” per dimostrare la conformita’ al GDPR, il Regolamento Europeo sul Trattamento dei dati  (UE 679/2016).

A fronte di un “data breach” ci sono richieste di risarcimento danni e sanzioni , per i danni provocati a Terzi. Quali contratti assicurativi si possono attivare per dare un ombrello protettivo alle Aziende ? Per tutelare il Data Controller – Titolare del Trattamento – , il Data Processor – Responsabile del Trattamento  per i Danni provocati a Terzi, esistono polizze ad hoc – vedi cyber policy -per la RESPONSABILITA’ CIVILE da violazione privacy, anche con apposite sezioni di assicurazioni CYBER RISK , le ultime nate per coprire i casi di violazione privacy  nello svolgimento dell’ attività online, come l’errato invio di dati particolari tramite email . Oppure  se a causa di un attacco hacker  ( es. ramsonware ) o una frode di ingegneria sociale ( es. phishing), con l’involontario contributo degli addetti dell’azienda, si trasferiscono erroneamente dati o fondi a terzi e alla rete. La polizza deve prevedere anche la copertura di “data breach offline”, ossia la violazione privacy avvenuta come nel caso in esame, durante attività di contatto con i clienti , oppure a causa di violazione privacy avvenuta attraverso documenti cartacei mal riposti . Anche se non c’è stato aggiornamento del database aziendale dei numeri di telefono dei clienti con le relative disposizioni di “delega” a fornire informazioni e dati a persone diverse dal Cliente.Per quanto riguarda le sanzioni, nelle polizze  “non sono assicurabili le sanzioni inflitte direttamente al Contraente che sottoscrive una polizza ; mentre si possono assicurare le “sanzioni inflitte a Terzi” , per errore del Contraente -assicurato.

Per ulteriori informazioni vi invitiamo a telefonare a GOLINUCCI srl tel. 0547 22351 od inviare email a privacy@golinucci.it

I fatti 

l’Azienda USL della Romagna ha rappresentato che, in data XX, veniva ricoverata, presso il reparto di ginecologia (UO ginecologia-ostetricia-PO Faenza), una paziente che chiedeva che non fossero date informazioni sul suo stato di salute a soggetti terzi e forniva a tal fine il suo numero di telefono personale, da utilizzare per successivi contatti da parte della Azienda. Nonostante cio, successivamente alle dimissioni della paziente (avvenute in data 3 marzo 2020), l’infermiera di reparto, nel tentare di contattare quest’ultima al fine di fornirle indicazioni circa le specifiche terapie da seguire, si trovava a parlare col marito delle stessa. L’operatrice sanitaria aveva, infatti, utilizzato il numero di telefono indicato sul frontespizio della cartella clinica dell’interessata, registrato nell’anagrafica informatizzata della Azienda, fornito dalla stessa in occasione di un precedente contatto con la struttura sanitaria e non corrispondente con quello indicato dalla paziente nel corso dell’evento del 1° marzo 2019, riportato all’interno della cartella clinica. 

Le informazioni disvelate al marito della paziente, che ha risposto al telefono, hanno riguardato solo la tipologia di reparto presso cui l’interessata è stata ricoverata e non sarebbero state date ulteriori indicazioni sullo stato di salute della stessa. 

Istruttoria del Garante Privacy

Con specifico riguardo alle “misure organizzative implementate” in relazione al caso in esame, è stato evidenziato che “la procedura della cartella clinica dell’U.O. Ginecologia dell’Ospedale di Faenza non era informatizzata” e il modulo sottoscritto dall’interessata, con il diniego a fornire informazioni circa il suo stato di salute a soggetti terzi, è stato inserito nella cartella clinica (già esistente al momento del ricovero) che riportava però sul frontespizio un recapito telefonico, uguale a quello indicato nell’anagrafica aziendale unica, utilizzato dall’infermiera per reperire la paziente, ma differente rispetto a quello da ultimo fornito dalla paziente stessa. In altri termini, rispetto all’interessata risultavano presenti due diversi contatti telefonici e, solo all’interno della cartella clinica, era presente la modulistica sottoscritta con la quale la stessa chiedeva espressamente che il suo stato di salute, in relazione all’ultimo ricovero in corso, non fosse comunicato a nessuno, fornendo a tal fine uno specifico numero di telefono, per eventuali contatti relativi a tale ricovero. 

L’Azienda, in riferimento alla violazione, ha altresì riportato quanto verbalizzato nell’incontro del 18 dicembre 2019, dove si specifica che l’infermiera era stata incaricata dal medico presente, impegnato in pronto soccorso, a consegnare la lettera di dimissioni all’interessata e che “consegnata la lettera in mano alla signora, l’infermiera si è assentata per rispondere a una chiamata (campanello) di un’altra degente, invitando la signora (…) ad attenderla e al ritorno, per confrontarsi con la sig.ra relativamente al contenuto della lettera (di dimissione, ndr) e delle disposizioni mediche, la signora si era allontanata senza avvisare”. L’infermiera allora, verificata la circostanza che le era stato prescritto un farmaco e non avendo avuto modo di fornire indicazioni in ordine all’assunzione dello stesso, ha tentato rapidamente di contattare la paziente, rinvenendo nell’anagrafica aziendale “il numero telefonico a cui contattarla anziché ricorrere a quello fornito dalla stessa nella fase di pre-ricovero”. 

Con riferimento alla formazione del personale è stato evidenziato che l’Azienda svolge regolarmente attività di formazione sulla disciplina in materia di protezione dei dati personali, sia a distanza che in presenza. 

L’Azienda ha, altresì, evidenziato che “a seguito del data breach in parola, l’UO Gestione servizi informativi ha eseguito uno studio di fattibilità per una rimodulazione della gestione dei numeri di telefono dei pazienti ricoverati. Con il fornitore informatico della Gestione Ricoveri (sistema ADT) si modificherà il workflow come segue: 

1. verrà configurato il Tab-Privacy della gestione ADT per il consenso alla comunicazione dello stato di salute del paziente con campo di descrizione per numero di telefono e nominativo indicati dal paziente al momento del ricovero; 2. il sistema obbligherà l’operatore a compilare l’opzione di scelta e il campo descrittivo sopracitato anche con possibilità di stampa del modulo da conservare nella cartella cartacea; 3. il Tab Privacy sarà l’unico punto di gestione e consultazione dei dati telefonici per il singolo evento di ricovero, eliminando o oscurando le informazioni dei riferimenti telefonici da tutti gli altri archivi informatici relativi al ricovero e dal frontespizio della cartella clinica; 4. nell’eventualità di un successivo ricovero il Tab privacy dovrà essere rivalorizzato”. 

L’Azienda ha rappresentato, inoltre, che “a partire dal 20.1.2020 il Comitato aziendale per la protezione dei dati personali di concerto con il DPO, ha attivato e messo a disposizione dei Responsabili di U.O. una check list di autovalutazione relativamente all’attività ambulatoriale e all’attività di ricovero, quale strumento utile sia agli stessi che all’Azienda per il monitoraggio dell’adeguatezza delle misure tecniche ed organizzative aziendali al fine di garantire la sicurezza del trattamento dei dati”. 

L’Azienda ha rappresentato, infine, di avere ritenuto superflua la comunicazione della violazione all’interessata, come strumento per attenuare gli effetti negativi della violazione, secondo quando previsto dal considerando 83 del Regolamento, in quanto le informazioni rilasciate dall’infermiera hanno riguardato solo il reparto in cui la stessa è stata ricoverata e non anche i motivi del ricovero e perché “nel frattempo il marito della paziente aveva appreso, peraltro in altro modo e da soggetti non riconducibili alla Azienda USL della Romagna, l’avvenuto ricovero e il motivo specifico dello stesso”. 

In particolare l’Ufficio (Garante Privacy ndr), ha rilevato la sussistenza di elementi idonei a configurare da parte dell’Azienda le violazioni degli articoli 5, par. 1, lett. a), d) e f), 9 e 32 par. 1, lett. b) del Regolamento. Nel produrre i propri scritti difensivi, l’Azienda fornendo taluni specifici ulteriori elementi volti a circostanziare la violazione occorsa e a consentire, all’ Autorità (Garante Privacy , ndr) , una ponderata valutazione della stessa ai sensi dell’art. 83 del Regolamento (nota del 29 giugno 2020, prot. n. 2020/0160798/P) ha evidenziato che: 

– l’interessata era stata sottoposta ad un intervento di interruzione volontaria di gravidanza; 

– l’infermiera che ha tentato di contattare l’interessata, causando la violazione, si trovava in una situazione di emergenza, in quanto chiamata da un’altra paziente del reparto e tenuta contestualmente a sostituire il medico nella consegna della lettera di dimissioni alla paziente; 

– l’infermiera, nel tentare di contattare l’interessata, si è limitata ad introdursi alla persona che ha risposto al telefono (che poi è risultata essere il marito dell’interessata) quale “infermiera della ginecologia di Faenza” e a dire di dover parlare con la paziente per una terapia, senza alcuno esplicito riferimento ai motivi del ricovero né all’intervento. 

In considerazione degli eventi, l’Azienda ha ritenuto che la violazione occorsa non possa essere attribuita né alla colpa né al dolo dell’Azienda stessa avendo, in primo luogo, l’interessata stessa contribuito al verificarsi degli eventi, allontanandosi dal reparto senza attendere il ritorno dell’infermiera e tenendo, quindi, un comportamento non corretto, ed essendosi l’Azienda preoccupata di far sottoscrivere alla paziente il modulo per “autorizzare o meno la comunicazione dei dati a terzi”. 

Con riferimento all’entità della violazione e conseguentemente al suo impatto sui diritti e le libertà fondamentali dell’interessata, l’Azienda ha ritenuto che non possa essersi trattato di un evento grave, non avendo la violazione avuto ad oggetto il disvelamento di specifici aspetti connessi ai motivi del ricovero. Conseguentemente l’Azienda ha ritenuto di non aver prodotto conseguenze negative in capo all’interessata. 

Con riferimento alle misure tecniche adottate per prevenire ulteriori simili eventi, l’Azienda ha ribadito di avere concluso con esito positivo lo studio di fattibilità per la rimodulazione informatica della gestione dei numeri di telefono dei pazienti, come sopra riportato. È stato, tuttavia, precisato che, a causa della situazione emergenziale legata alla pandemia da COVID-19, che ha interessato in modo particolare l’Azienda, il nuovo sistema non è ancora operativo. 

Da un punto di vista organizzativo è stato infine rappresentato che l’Azienda ha predisposto una modulistica unica aziendale “con la quale i pazienti che accedono alle strutture ospedaliere possono esprimere la loro volontà di comunicare o non comunicare i propri dati di salute ai terzi” e introdotto una specifica policy aziendale per le “le corrette modalità di comunicazioni a terzi delle informazioni di salute dei pazienti ricoverati”. 

Esito dell’attività istruttoria 

Ai sensi del Regolamento (GDPR EU 679/2016), i dati personali devono essere trattati in modo lecito, corretto e trasparente, devono essere esatti rispetto alle finalità per le quali sono trattati e devono essere adottate misure tecniche e organizzative adeguate a garantire l’integrità e la riservatezza degli stessi e a prevenire trattamenti non autorizzati o illeciti (art. 5, par. 1 lett. a) d) e f) del Regolamento). 

In merito alla fattispecie in esame appare opportuno precisare, altresì, che alla luce del Regolamento si intende per “«dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4, par. 1, n. 1). 

In tale contesto, devono considerarsi dati sulla salute tutti “i dati riguardanti lo stato di salute dell’interessato che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso. Questi comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria o della relativa prestazione di cui alla direttiva 2011/24/UE del Parlamento europeo e del Consiglio; un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari; le informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica, compresi i dati genetici e i campioni biologici; e qualsiasi informazione riguardante, ad esempio, una malattia, una disabilità, il rischio di malattie, l’anamnesi medica, i trattamenti clinici o lo stato fisiologico o biomedico dell’interessato, indipendentemente dalla fonte, quale, ad esempio, un medico o altro operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro” (cons. 35 del Regolamento). 

Il Regolamento nel sancire un generico divieto al trattamento delle particolari categorie di dati, tra cui rilevano quelli relativi alla salute, ammette che essi possano essere trattati solo in presenza di una delle condizioni di cui all’art. 9, par. 2 (cfr. in particolare, l’art. 9, par. 2 lett. a), g), h) e i)). 

Il titolare, chiamato al rispetto dei principi applicabili al trattamento, è tenuto altresì a mettere in atto “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”, tenendo conto, tra l’altro, “della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” (art. 32 del Regolamento). 

La disciplina in materia di protezione dei dati personali prevede –in ambito sanitario- che le informazioni sullo stato di salute possano essere riferite solo all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso, previa delega scritta di quest’ultimo (cons. 35, art. 9 Regolamento e art. 83 del Codice, in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101; cfr. anche provv. generale del 9 novembre 2005, consultabile in http://www.gpdt.it , doc. web n. 1191411, art. 22, comma 4, del citato d.lgs. n. 101/2018). 

In particolare, l’art. 83 del Codice, prevede che, tra gli altri, le strutture pubbliche che erogano prestazioni sanitarie debbano adottare “(…) idonee misure per garantire, nell’organizzazione delle prestazioni e dei servizi, il rispetto dei diritti, delle libertà fondamentali e della dignità degli interessati, nonché del segreto professionale, fermo restando quanto previsto dalle leggi e dai regolamenti in materia di modalità di trattamento dei dati sensibili e di misure minime di sicurezza”. Tali misure comprendono, in particolare: 

il rispetto della dignità dell’interessato in occasione della prestazione medica e in ogni operazione di trattamento dei dati; la messa in atto di procedure, anche di formazione del personale, dirette a prevenire nei confronti di estranei un’esplicita correlazione tra l’interessato e reparti o strutture, indicativa dell’esistenza di un particolare stato di salute; a tale riguardo, si rinvia, altresì, agli articoli da 10 a 12 del Codice di deontologia medica relativi, rispettivamente a “segreto professionale”, “riservatezza dei dati personali” e “trattamento dei dati sensibili”.
Alla luce degli elementi acquisiti e delle dichiarazioni rese nel corso dell’istruttoria, è emerso che: 

la condotta dell’infermiera ha comportato l’utilizzo di un numero di telefono diverso rispetto a quello indicato dalla paziente per eventuali contatti afferenti all’ultimo ricovero (in violazione dell’art. 5, par. 1 lett. d) del Regolamento); 

la condotta dell’infermiera ha comportato l’esplicita correlazione, da parte di un soggetto terzo non legittimato, tra l’interessata e un determinato reparto di degenza indicativo, di uno specifico stato di salute (in violazione degli artt. 5, par. 1 lett. a) e 9 del Regolamento); 

da tale condotta è, quindi, discesa una comunicazione di dati idonei a rivelare lo stato di salute dell’interessata effettuata non solo in assenza di idonea base giuridica ma anche in violazione dell’esplicito diniego della stessa a consentirne la conoscenza da parte di soggetti terzi (in violazione degli artt. 5, par. 1 lett. a) e 9 del Regolamento); tale condotta, nel ledere la fiducia e l’affidamento dell’interessata nella struttura sanitaria alla quale si è rivolta, ha comportato altresì un trattamento di dati personali in violazione del principio di correttezza (in violazione degli artt. 5, par. 1 lett. a) del Regolamento); la condotta è stata causata dall’inefficacia delle misure tecniche e organizzative implementate che si sono dimostrate inadeguate a tutelare la dignità degli interessati e ad assicurare il rispetto della volontà dei pazienti di non far conoscere, a soggetti terzi, notizie circa il proprio stato di salute in quanto non sussiste prova delle presenza di strumenti idonei ad assicurare il rispetto della volontà dell’interessata di essere contattata solo a un determinato numero di telefono (in violazione degli artt. 5, par. 1 lett. f) e 32 del Regolamento); 

la mera specificazione, nel documento di attribuzione del ruolo di incaricato del trattamento, prima, e autorizzato del trattamento, poi, conferito all’infermiera, si è rivelata insufficiente a garantire l’effettività dei principi inerenti al trattamento dei dati personali, in particolare di correttezza e trasparenza, in quanto non corroborata da ulteriori adeguate misure tecniche e/o organizzative che tenessero nella dovuta considerazione il particolare contesto ospedaliero in cui siffatti trattamenti di dati personali, anche estremamente delicati, hanno luogo (la circostanza che un’infermiera di un reparto di ginecologia si trovi a doversi destreggiare contemporaneamente tra due o più pazienti non rappresenta infatti un evento imprevedibile) (in violazione dell’art. 5, par. 1, lett. f) e 32 del Regolamento); 

con riferimento alla rilevata inadeguatezza delle misure tecniche e organizzative implementate occorre altresì considerare che l’interessata si era sottoposta a un trattamento terapeutico di interruzione volontaria di gravidanza per il quale il legislatore nazionale richiede esplicitamente che venga assicurato al più alto livello il rispetto della dignità e della riservatezza della donna, al punto che spetta solo a quest’ultima decidere se coinvolgere, o meno, il padre del nascituro nella decisione di interrompere la gravidanza (art. 5 legge 22 maggio 1978, n. 194); la condotta dell’interessata non rileva ai fini della valutazione dell’illiceità del trattamento in relazione alla violazione occorsa. Ciò, in quanto, come, detto essa è imputabile all’inadeguatezza delle misure tecniche e organizzative implementate che è possibile giudicare in quanto tale, a prescindere sia dalla supposta incidenza causale della condotta dell’interessata sugli eventi, che dal fatto che il marito della stessa abbia appreso in altro modo della causa del ricovero (in violazione dell’art. 5, par. 1, lett. f) e 32 del Regolamento). 

Conclusioni 

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019. 

Per tali ragioni si confermano le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Azienda USL della Romagna nei termini di cui in motivazione, per la violazione degli artt. 5, par. 1, lett. a), d) e f), 9 e 32, par. 1, lett. b) del Regolamento. 

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 4 e 5 del Regolamento, ai sensi degli artt. 58, par. 2, lett. i). 

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che l’Azienda si è impegnata a implementare un sistema informatizzato di gestione dei numeri di telefono dei pazienti ricoverati, nonché a predisporre una modulistica unica aziendale “con la quale i pazienti (…) possono esprimere la loro volontà di comunicare o non comunicare” informazioni sul proprio stato di salute ai terzi e introdotto una specifica policy aziendale per “le corrette modalità di comunicazioni a terzi delle informazioni di salute dei pazienti ricoverati”, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento. 

Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice) 

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019). 

La violazione degli artt. 5, par. 1, lett. a), d) e f), e 9 del Regolamento è soggetta all’applicazione della sanzione amministrativa pecuniaria, di cui all’art. 83, par. 5, lett. a) del Regolamento, mentre la violazione dell’art. 32, par. 1 lett. b) alla sanzione di cui all’art. 83, par. 4, lett. a) del Regolamento. 

Al riguardo, in forza dell’art. 83, par. 3, del Regolamento, nel caso di specie – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – la violazione delle disposizioni citate, determinata dalla condotta dell’Azienda, è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento. 

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2, del Regolamento in relazione ai quali si osserva che: 

– l’illiceità del trattamento è connotata da una particolare gravità e ha prodotto un impatto dannoso notevolmente elevato sulla vita privata dell’interessata (art. 83, par. 2, lett. a) del Regolamento); 

– il trattamento dei dati effettuato dall’Azienda ha riguardato dati idonei a rilevare lo stato di salute (art. 83, par. 2, lett. g) del Regolamento); 

la condotta è imputabile alla colpa dell’Azienda, nella misura in cui risulta dimostrato che non sono state implementate misure tecniche e organizzative efficaci e adeguate ad assicurare il rispetto della volontà dei pazienti di non far conoscere a soggetti terzi notizie circa il proprio stato di salute (art. 83, par. 2, lett. b), d) del Regolamento); 

– in ragione dell’estrema delicatezza dell’intervento di interruzione volontaria di gravidanza, il vigente regime giuridico prevede, a garanzia della dignità delle interessate, un sistema rafforzato di tutele (art. 83, par. 2, lett. k) del Regolamento; cfr. l. 174 del 1978); 

– le considerazioni sopra svolte circa la peculiarità di questo intervento sanitario sono tali da riconoscere all’interessata una posizione di particolare vulnerabilità (art. 83, par. 2, lett. k) del Regolamento); 

  • l’Autorità ha preso conoscenza dell’evento a seguito della tempestiva notifica di violazione dei dati personali effettuata dallo stesso titolare e non sono pervenuti reclami o segnalazioni al Garante sull’accaduto (art. 83, par. 2, lett. a) e h) del Regolamento); 

– la violazione ha riguardato un singolo interessato (art. 83, par. 2 lett. a) del Regolamento); 

– l’Azienda ha reagito all’evento, impegnandosi nella implementazione di nuove misure tecniche e organizzative per la gestione dei numeri di telefono dei pazienti ed è stata adottata una specifica policy per assicurare l’effettività del diritto degli interessati a non disvelare a soggetti terzi notizie correlate alla propria degenza in ospedale; 

– l’Azienda, nonostante lo stato emergenziale dovuto dalla pandemia da Covid-19 in corso, si è dimostrata estremamente collaborativa con l’Autorità in fase istruttoria non mancando mai di fornire riscontri puntuali e tempestivi; 

– l’assenza di dolo da parte dell’Azienda nella causazione dell’evento (art. 83, par. 2, lett. b) del Regolamento); 

– l’immediata presa in carico della problematica a cui è seguita l’individuazione di soluzioni correttive e risolutive (art. 5, par. 2 e art. 83, par. 2, lett. c) e d) del Regolamento); 

– l’Azienda ha fin da subito dimostrato un elevato grado di cooperazione con l’Autorità e non risultano, altresì precedenti violazioni pertinenti commesse dal titolare del trattamento né sono stati precedentemente disposti provvedimenti di cui all’art. 58 del Regolamento (art. 83, par. 2, lett. c), d) e f) del Regolamento); 

In ragione dei suddetti elementi, valutati nel loro complesso, tenendo anche conto della fase di prima applicazione delle disposizioni sanzionatorie, ai sensi dell’art. 22, comma 13, del d. lgs. 10/08/2018, n. 101, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 50.000,00 (cinquantamila), per la violazione degli artt. 5, par. 1, lett. a) d) f), 9 e 32, par. 1 lett. b) del Regolamento quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva. 

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, in considerazione della tipologia di dati personali oggetto di illecito trattamento. 

TUTTO CIO’ PREMESSO IL GARANTE 

dichiara l’illiceità del trattamento di dati personali effettuato dall’Azienda, per la violazione degli artt. 5, par. 1, lett. a), d), f), 9 e 32, par. 1 lett. b) del Regolamento, nei termini di cui in motivazione; 

ORDINA 

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, infligge all’Azienda con sede legale in Via De Gasperi, 8-48121 Ravenna CF/P.IVA 02483810392, di pagare la somma di euro 50.000,00 (cinquantamila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento secondo le modalità indicate in allegato, entro 30 giorni dalla notifica in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata; 

INGIUNGE 

alla predetta Azienda, di pagare la somma di € 50.000,00 (cinquantamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981. Al riguardo, si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato –di un importo pari alla metà della sanzione irrogata, entro 30 giorni dalla data della notifica del presente provvedimento (cfr. anche art. 10, comma 3, del d. lgs n. 150 dell’1/9/2011). 

DISPONE 

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante. 

Fonte : newsletter Garante Privacy

risk management

Data breach sanitari, il Garante privacy sanziona tre strutture

Data breach sanitari, il Garante privacy sanziona tre strutture
Avevano comunicato informazioni sulla salute alle persone sbagliate

 

Le strutture sanitarie devono adottare tutte le misure tecniche e organizzative necessarie per evitare che i dati dei loro pazienti siano comunicati per errore ad altre persone. Lo ha ricordato il Garante per la privacy nel sanzionare due ospedali e una Asl per le violazioni di dati personali causati non da attacchi informatici esterni, ma da procedure inadeguate e da semplici errori materiali del personale.

Un ospedale toscano ha ricevuto la sanzione di 10.000 euro per aver spedito via posta, al paziente sbagliato, una relazione medica contenente le informazioni sulla salute e la vita sessuale di un’altra coppia.

Anche un ospedale dell’Emilia-Romagna ha ricevuto la sanzione di 10.000 euro per aver consegnato a dei pazienti cartelle cliniche contenenti dati e referti riferibili ad altre persone, incluso un minore.

In entrambi i casi le sanzioni sono state calcolate tenendo conto che le strutture sanitarie hanno immediatamente dimostrato un elevato grado di cooperazione con il Garante e che gli episodi sono risultati isolati e non volontari. Le due strutture hanno anche pianificato ulteriori misure tecniche e organizzative per ridurre al minimo l’errore umano.
Un terzo caso riguarda invece una Asl dell’Emilia-Romagna, dove una paziente aveva esplicitamente richiesto – sottoscrivendo un apposito modulo – che nessun soggetto esterno, neppure i familiari, fosse informato sul suo stato di salute. Il modulo, però, era stato inserito all’interno della cartella clinica. Un’infermiera del reparto dove la donna stava seguendo delle terapie, non essendo a conoscenza della richiesta, invece che contattarla sul telefono cellulare privato, aveva chiamato il numero di casa registrato nell’anagrafe aziendale, parlando così con un familiare. Anche in questo caso, l’Azienda ha riconosciuto gli errori che hanno causato il data breach. Si è impegnata quindi ad implementare un sistema informatizzato di gestione dei numeri di telefono dei pazienti ricoverati, e a predisporre una modulistica unica con la quale i pazienti potranno esprimere la loro eventuale volontà di comunicare informazioni sul proprio stato di salute ai terzi, introducendo una specifica policy aziendale. La Asl, che ha subito anche una richiesta di risarcimento danni da parte della paziente, dovrà pagare una sanzione di 50.000 euro per la violazione del Gdpr.
Alla luce di questi episodi e di altri ancora in corso di valutazione, il Garante ha ricordato che le informazioni sullo stato di salute possono essere comunicate a terzi solo sulla base di un presupposto giuridico o su indicazione della persona interessata, previa delega scritta. E ha invitato tutte le strutture sanitarie al pieno rispetto dei principi di correttezza e trasparenza, adottando misure tecniche e organizzative utili non solo a proteggersi da attacchi informatici, ma anche a evitare violazioni di dati personali, in particolare quelli più delicati, come quelli sulla salute – troppo spesso causate da inadeguate procedure gestionali.

Fonte : Garante Privacy IT newsletter 19/02/2021