GDPR: le prime sanzioni comminate dai Garanti della privacy europei

Le sanzioni in Portogallo

La prima sanzione del Garante privacy portoghese
Altra rilevante applicazione pratica delle sanzioni GDPR è rappresentata dal caso Hospitalar Barreiro Montijo, dove il Comissão Nacional de Protecção de Dados (CNPD) ha sanzionato per un importo complessivo di 400 mila euro una struttura ospedaliera.

Nell’aprile 2018, il CNDP eseguiva un’ispezione presso il Centro Hospitalar Barreiro Montijo del distretto di Setúbal in seguito alla segnalazione del sindacato dei medici, il quale contestava come il personale non sanitario avesse accesso ai sistemi informatici della struttura con i poteri propri dell’organico medico.

In sede ispettiva, il CNDP accertava un accesso indiscriminato e ingiustificato di quasi seicento dipendenti ai dati sanitari dei pazienti. Nel sistema venivano verificate infatti 985 utenze attive con profilo di autorizzazione riservato al personale medico, nonostante che detto organico contasse realmente solo 296 professionisti.

Accertata la grave violazione, l’Autorità per la tutela dei dati personali portoghese comminava due distinte sanzioni. L’una da trecentomila euro per il mancato rispetto della confidenzialità e per la mancata limitazione degli accessi ai dati dei soggetti ricoverati, e l’altra da centomila euro per non aver garantito “su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento” (art. 32 GDPR).

Vi è di più. Nel corso dell’ispezione eseguita dall’Autorità garante per la privacy relativamente al sistema informatico e di gestione dell’ospedale venivano accertate ulteriori irregolarità. Veniva contestata l’assenza di una procedura di autenticazione degli utenti del sistema informatico e dei relativi profili di accesso, il non corretto utilizzo dei profili e dei codici di accesso previsti nei sistemi gestionali utilizzati dall’ospedale stesso e l’esistenza di molti profili di fatto inattivi collegati a utenti che avevano operato nella struttura ospedaliera in forza di contratti a termine e mai disattivati.

Giunto il momento di determinare l’ammontare della sanzione, il Garante per la privacy portoghese (CNPD) prendeva in considerazione la tipologia di dati coinvolti ossia di tutte le informazioni relative alla salute di pazienti (dati considerati super sensibili), della durata nel tempo della violazione, del numero di interessati coinvolti, della gravità dei danni dagli stessi subìti, nonché della negligenza nell’adozione delle misure organizzative e tecniche da parte della struttura ospedaliera.

Con riguardo a quest’ultimo aspetto, il Garante per la privacy ha ritenuto la violazione dolosa, considerato che il titolare sanzionato aveva consapevolmente collegato i profili di accesso al sistema informativo con profili non corrispondenti. In questo senso, inoltre, la violazione è stata ritenuta ancora più grave a fronte dell’utilizzo di mezzi tecnici come i sistemi gestionali messi a disposizione dal Ministero della Salute, i quali di per sé erano in grado di garantire una corretta identificazione degli utenti e, quindi, una limitazione degli accessi ai dati. Viceversa, anche in tale caso, è stato valutato favorevolmente l’atteggiamento collaborativo del titolare del trattamento volto ad attenuare le conseguenze negative delle violazioni.

(Fonte: www.altalex.com)