In un mondo sempre più mediatico in cui in rete viene veicolato praticamente tutto, la tutela dei dati personali diventa sempre più impellente, al punto che ormai da tempo è stata istituita dallo Stato la figura del Garante della Privacy.

L’importante funzione di Gpdp, ossia il Garante per la Protezione dei Dati Personali, è svolta dal dott. Pasquale Stanzione (in foto), che con una comunicazione del 20 luglio 2021 ha reso noto un pesante provvedimento sanzionatorio assunto nei confronti di due strutture sanitarie: è chiaro che quelle relative alla salute delle persone sono tra le informazioni più sensibili in assoluto.

 

Il cittadino può chiedere di oscurare i dati sul suo FSE

Il Gpdp ricorda che la normativa sul Fascicolo Sanitario Elettronico prevede che l’interessato possa oscurare dati e documenti ivi presenti che saranno così accessibili solo dallo stesso e dal medico che li ha generati. Tale diritto è esercitabile al momento in cui sono generati i referti o successivamente. Ed è appunto a seguito del mancato rispetto della richiesta di oscuramento avanzata dai pazienti, che il Garante ha sanzionato la Usl della Romagna e l’Azienda Provinciale per i Servizi Sanitari di Trento, rispettivamente per 120.000 e 150.000 euro.

Sanzionate due aziende sanitarie che hanno violato la richiesta di oscuramento

Nel primo caso l’Autorità è intervenuta a seguito di una notifica della Usl emiliana per aver trasmesso ad un medico di famiglia il referto di una paziente che, al momento del ricovero per interruzione farmacologica della gravidanza, ne aveva richiesto l’oscuramento attraverso la compilazione di un apposito modulo.

La trasmissione era avvenuta mediante la rete regionale “Sole” che, attraverso la raccolta dei documenti sanitari personali di ogni assistito, genera il Fse regionale. L’istruttoria del Garante ha accertato che la comunicazione dei dati era avvenuta accidentalmente a causa di un bug nel software che gestiva l’accettazione, la dimissione e il trasferimento degli assistiti. Il programma non aveva recepito la selezione del flag che indicava la volontà della paziente di non trasmettere il referto in questione al medico di medicina generale. La comunicazione illecita di dati sulla salute, contro la volontà espressa dai pazienti, aveva interessato 48 persone nell’arco temporale intercorrente tra il mese di aprile 2018 e l’agosto 2019. Il Garante ha così comminato la sanzione di 120.000 euro alla Usl.

Un caso analogo ha riguardato l’Azienda provinciale per i Servizi Sanitari di Trento, a cui il Garante ha notificato una violazione di dati personali per aver messo a disposizione ai medici di famiglia per errore 293 referti di 175 pazienti, tra cui due minorenni e alcune, anche qui, donne sottoposte ad interruzione di gravidanza, sebbene questi avessero esercitato il diritto di oscuramento nei confronti di tali documenti.

Pure in questo caso la violazione è risultata imputabile esclusivamente ad un errore del software, che non ha associato ai documenti la richiesta di oscuramento, correttamente inserita dagli operatori sanitari nel Sistema informativo ospedaliero. In questo caso la sanzione è stata di 150.000 Euro. Nel definire gli importi il Garante ha tenuto conto, in entrambi i casi, di diversi elementi, come il carattere non episodico delle violazioni, il numero e le caratteristiche delle persone interessate, le precedenti violazioni compiute, ma anche il comportamento collaborativo delle Aziende sanitarie, che tuttavia non hanno potuto evitare la sanzione.

 

Ok dal Garante al nuovo schema di regolamento per la tutela dei dati giudiziari

Sempre in tema di tutela dei dati personali, ma stavolta giudiziari, nella stessa comunicazione del 20 luglio il dott. Stanzione ha espresso parere favorevole sullo schema di regolamento predisposto dal Ministero della Giustizia, che disciplina il trattamento dei dati giudiziari in una pluralità di ambiti e contesti.

Il testo, che recepisce buona parte delle indicazioni fornite dall’Autorità nel corso di diverse interlocuzioni con il Ministero stesso, rafforza in maniera significativa le tutele previste per le persone e definisce un complesso di garanzie minime e coerenti nei principali settori nei quali possono essere trattati dati giudiziari: dall’ambito forense al mondo del lavoro, dalla verifica dei requisiti di onorabilità a quella della solidità e affidabilità di soggetti privati, dall’ambito assicurativo a quello delle professioni intellettuali o della ricerca storica e statistica, oppure nella mediazione e conciliazione delle controversie civili e commerciali.

La bozza di regolamento si applica anche ai dati relativi alle misure di prevenzione, come quelle per gli indiziati di appartenenza ad associazione di tipo mafioso. Il testo prescrive inoltre che tutti i titolari rispettino i principi di proporzionalità e di minimizzazione previsti dal Gdpr, trattando solo dati indispensabili e per il tempo strettamente necessario rispetto alla finalità perseguita.

Chi tratta i dati, dovrà anche verificare l’affidabilità delle fonti, adottando specifiche garanzie volte ad assicurare l’esattezza dei dati trattati, che dovranno essere sempre aggiornati rispetto, tra l’altro, all’evoluzione della posizione giudiziaria dell’interessato. Per rafforzare ulteriormente le garanzie già previste nel testo del Ministero, il Garante ha comunque espresso nel parere ulteriori osservazioni. In particolare, ha richiesto che le garanzie introdotte con il decreto siano previste come parametro di riferimento minimo anche per quei trattamenti che vengono svolti in ambito pubblico sulla base di previsioni normative diverse.

Ha inoltre chiesto che sia prestata particolare attenzione ai dati giudiziari raccolti da fonti aperte in caso di trattamenti svolti a fini di verifica della solidità, solvibilità ed affidabilità nei pagamenti. In tali casi si dovrebbero ammettere, quali legittime fonti di raccolta, solo i siti internet istituzionali, nonché quelli di ordini professionali e di associazioni di categoria. Il Garante ha inoltre sottolineato che, nella maggior parte dei casi, il consenso dell’interessato non può essere considerato una base giuridica legittima per il trattamento dei dati giudiziari: questo aspetto vale, in particolare, nella gestione del rapporto di lavoro dove il dipendente si trova in una posizione di disparità tale, rispetto al datore di lavoro, da non garantire una libera espressione del consenso.

L’Autorità ha quindi rilevato l’importanza di disciplinare anche i trattamenti svolti da soggetti no-profit, per finalità di mediazione e conciliazione delle controversie civili e commerciali, nonché quelli per finalità di accesso a sistemi o aree sensibili in determinati ambiti, particolarmente rilevanti nel contesto socio-economico attuale.

 

Parere favorevole anche sulle linee giuda del codice dell’amministrazione digitale

Infine, Stanzione ha espresso il suo parere favorevole anche sui due nuovi schemi di Linee Guida previste dal Codice dell’Amministrazione Digitale con il fine ultimo di garantire l’innovazione della pubblica amministrazione, con banche date inter-operabili e accessibili in sicurezza anche a soggetti privati, proteggendo integrità e riservatezza dei dati dei cittadini.

Le “Linee Guida sull’interoperabilità tecnica delle Pubbliche Amministrazioni” contribuiscono a definire un modello di riferimento per consentire la comunicazione tra le banche dati e lo scambio di informazioni tra enti pubblici, e tra la P.A. e il settore privato, al fine di offrire servizi più veloci ed efficienti. Le “Linee Guida Tecnologie e standard per la sicurezza dell’interoperabilità tramite API dei sistemi informatici” si focalizzano sulle tecnologie e le loro modalità di utilizzo per garantire la sicurezza dei flussi di dati, in particolare tramite le cosiddette Api (Application programming interface) che consentono il dialogo tra i vari software utilizzati per la fornitura di servizi.

Nel parere il Garante dà atto ad Agid, l’Agenzia per l’Italia Digitale, che ha predisposto i due testi, di aver definito un quadro di garanzie e di misure volte ad assicurare l’integrità e la riservatezza dei dati personali – spesso anche particolarmente delicati e sensibili – oggetto di scambio tra le banche dati, rispettando le esigenze di protezione dei dati fin dalla progettazione e per impostazione predefinita, in coerenza con gli obblighi stabiliti dal Regolamento europeo sulla protezione dei dati. L’Autorità rimarca comunque la necessità che ogni flusso di dati personali, tra e con le banche dati della P.A., trovi legittimo fondamento in una idonea base giuridica, che renda chiare le specifiche responsabilità dei soggetti coinvolti nello scambio di dati e definisca adeguate garanzie a tutela dei diritti e delle libertà degli interessati.