Il Centro Hospitalar Barreiro Montijo, nei pressi di Lisbona (Portogallo) è stato multato per 400.000 euro per aver violato il Regolamento generale sulla protezione dei dati (GDPR Eu 679/16) applicabile in tutti i Paesi dell’Unione Europea.
L’autorità di controllo del Paese,CNPD Comissão Nacional de Protecção de Dados, ha rilevato che ci sono state tre violazioni del GDPR. La prima era una violazione dell’articolo 5, paragrafo 1, lettera c), relativo alla “ minimizzazione dei dati” (“i dati personali sono adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per i quali sono trattati”) , consentendo l’accesso indiscriminato a un numero eccessivo di utenti e una violazione dell’articolo 83, paragrafo 5, lettera a), una violazione dei principi di elaborazione dei dati, con una multa di 150.000 euro.
Il secondo, una violazione dell’integrità e della riservatezza dovuta alla mancata applicazione di misure tecniche e organizzative per impedire l’accesso illecito ai dati personali ai sensi dell’articolo 5, paragrafo 1, lettera f), e anche dell’articolo 83, paragrafo 5, lettera a), una violazione dei principi di base di elaborazione. Per queste violazioni la multa è stata di 150.000 euro.
Entrambe le violazioni erano punibili con una multa fino a 20 milioni di euro o il 4 per cento del fatturato totale annuo. Infine, il CNPD ha sanzionato l’articolo 32, paragrafo 1, lettera b), l‘incapacità del convenuto di garantire la costante riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi di trattamento nonché la mancata attuazione delle misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio, compreso un processo per testare, valutare e valutare regolarmente le misure tecniche e organizzative per garantire la sicurezza del trattamento. Per questa violazione la multa e’ stata di 100.000 euro, anche se l’ammenda massima era di 10 milioni di euro al 2 percento del fatturato totale annuo. La difesa presentata dall’ospedale riferiva che il CNPD non poteva essere considerato l’autorità di controllo di cui all’articolo 51 perché non era stato ancora nominato formalmente. A tal fine, la CNPD ha risposto che è, a tutti gli effetti, l’autorità nazionale che ha il potere di controllare e supervisionare la conformità in termini di protezione dei dati in conformità con l’attuale legge portoghese sulla protezione dei dati.Inoltre, tra le sue argomentazioni vi era che l’ospedale usava il sistema informatico fornito agli ospedali pubblici dal Ministero della Salute portoghese e non i suoi sistemi. Questi i fatti provati dal CNPD:
• Non c’era alcun documento contenente la corrispondenza tra le competenze funzionali degli utenti e i profili per l’accesso alle informazioni (comprese le informazioni cliniche).
• Non esisteva inoltre un documento che definisse le regole per la creazione di utenti del sistema informativo dell’ospedale.
• Nove dipendenti tecnici hanno goduto del livello di accesso riservato al gruppo medico, il che ha portato alla possibilità indiscriminata di tali dipendenti di consultare le cartelle cliniche di tutti gli utenti dell’ospedale.
• Esistenza di credenziali di accesso che consentivano a qualsiasi medico, indipendentemente dalla sua specialità, di accedere in qualsiasi momento ai dati dei clienti di un ospedale. Questo è stato considerato come una violazione del principio del “bisogno di sapere” e del principio della “minimizzazione dei dati”.
• Ci sono stati 985 utenti associati al profilo “dottore”, ma nelle cartelle ufficiali dello ospedale ci sono solo 296 medici in quell’ospedale.
• Manutenzione di profili inutili per medici che non forniscono più servizi all’ospedale.
• C’erano solo 18 account utente che erano inattivi e l’ultimo è stato disattivato a novembre 2016.
• Il convenuto ha agito in modo libero e volontario e consapevole del fatto che i suoi atti sono proibiti dalla legge.
Nel determinare l’importo dell’ammenda, che era relativamente basso considerando quello che avrebbe potuto essere, il CNPD ha considerato quanto segue, in conformità con l’articolo 83 (1) (a-k):
• La natura, la gravità e la durata dell’infrazione tenendo conto dell’ambito naturale o della finalità del trattamento, nonché il numero di interessati. È stato inoltre considerato pertinente il fatto che i dati personali coinvolti fossero categorie speciali di dati, compresi i dati sanitari, che hanno aumentato in modo significativo il rischio di danni agli interessati.
• Possibile frode: il convenuto rappresentava la pratica della cattiva condotta come una possibile conseguenza della condotta e conforme ad essa.
• L’iniziativa del convenuto di mitigare i danni subiti dagli interessati.
• Il grado di responsabilità del convenuto, tenendo conto delle misure tecniche e organizzative attuate.
• Non ci sono state infrazioni precedenti.
• Grado di cooperazione con il CNPD al fine di porre rimedio all’infrazione e mitigarne i possibili effetti negativi.
• Come il CNPD ha appreso dell’infrazione, in quanto non è stato comunicato dall’ospedale, ma è stato conosciuto attraverso i media e successivamente confermato dall’ispezione CNPD.
Nel determinare l’ammontare della sanzione, il CNPD ha anche considerato il fatto che il convenuto ha adottato misure per regolarizzare la situazione.
Il fatto sorprendente di questa multa è che il CNPD ha agito su un articolo di giornale e non su una denuncia. Da ciò riteniamo che fosse particolarmente rilevante per il CNPD in quanto non c’erano procedure documentate per l’accesso ai dati, ma anche che i dati coinvolti erano categorie speciali di dati.
Source : https://iapp.org The International Association of Privacy Professionals ( di cui Golinucci srl e’ associato)
GOLINUCCI srl offre servizi per la protezione assicurativa dai CYBER ATTACKS e di assistenza e consulenza per la tutela della privacy in conformità con il GDPR anche attraverso la fornitura di strumenti per la gestione sicura della posta elettronica, delle password aziendali e delle reti. Per info : privacy@golinucci.it
