Garante sanziona l’Asl Roma 1 per pubblicazione “in chiaro” sul sito web
ILGarante della protezione dei dati personali ha oramai da tempo posto sotto la propria “lente d’ingrandimento” il settore Sanità. Tale interesse è particolarmente motivato dalle caratteristiche dei dati relativi alla salute, che godono di una tutela rafforzata e, fatte salve le eccezioni previste dalla norma, ne è vietata la diffusione. Ma tale attenzione non sembra ricambiata dai Titolari dei dati ed in generale dall’ambiente sanitario, medici compresi.
La Privacy viene considerata un problema secondario nella gestione aziendale, da delegare spesso ad un avvocato “esterno” per minimizzare il rischio, collocandolo in una “fascia B” all’interno della conduzione aziendale. Ma il GDPR è un regolamento europeo, con obblighi e sanzioni personali, come è ben chiaro per il suo omologo sulla sicurezza (l.81/2008) ma, evidentemente non abbastanza per la Privacy.
Probabilmente è un “gap” di conoscenza. E’ giusto raccomandare anche ai titolari della protezione dei dati un corso ad hoc sul GDPR, con i suoi obblighi (e la sua etica). Purtroppo non è così che viene affrontato il problema ed inevitabilmente compaiono sanzioni “regolarmente” comminate dallo stesso Garante della Privacy, oltre che dai tribunali.
Il rispetto della privacy è ben presente nella popolazione, che tende a considerarlo una componente principale dei diritti di cui gode il cittadino. Questo comportamento è chiaramente recepito dal Collegio dei Garanti Europei (di cui fa parte anche quello italiano), ma anche nei vari gradi di giudizio dei tribunali italiani, che agiscono “di concerto” con il Garante nel rispetto della normativa.
Un concetto emerge sopra gli altri: la trasparenza amministrativa non può violare la privacy delle persone. Per questo motivo, il Garante ha sanzionato per 46mila euro l’Azienda Sanitaria Locale Roma 1, che aveva pubblicato in chiaro, sul proprio sito web, tutti i nominativi e i dati relativi alla salute dei soggetti che avevano fatto richiesta di accesso civico, nel 2017 e 2018.
Nello specifico, come emerso dalla verifica preliminare effettuata dall’Ufficio, sul sito istituzionale della predetta ASL, nella sezione «Amministrazione trasparente», nell’area «Accesso civico»/«Registro degli accessi», era possibile consultare senza vincoli una pagina web (https://…) in cui erano presenti due file intitolati:
- «Registro degli accessi XX», contenente il «registro provvisorio richieste accesso agli atti» riferite a 1119 istanze, con specifica indicazione dei seguenti dati: numero di registro, data e numero di protocollo, oggetto, mittente, destinatario (url: https://…).
- «Registro degli accessi XX», contenente il «registro provvisorio richieste accesso agli atti» riferite a 218 istanze, con specifica indicazione dei seguenti dati: numero di registro, data enumero di protocollo, oggetto, mittente, destinatario (url: https://…).
Nella maggior parte dei casi, gli atti riguardavano la documentazione sanitaria degli interessati, fra cui cartelle cliniche, accertamenti di invalidità, test, relazioni tecniche, ecc. La prima grave violazione rilevata dall’Autorità, che si è attivata d’ufficio, è stata quindi la diffusione dei dati sulla salute dei soggetti interessati, informazioni relative sia allo stato fisico che mentale, compresa la prestazione di servizi di assistenza sanitaria.
Nel pubblicare i Registri di accesso, la ASL ha violato il principio di “minimizzazione” dei dati, che non sono risultati limitati a quanto necessario rispetto alle finalità di trasparenza amministrativa, per le quali sono trattati. Le stesse disposizioni della disciplina in materia di trasparenza e le Linee guida ANAC sull’accesso civico, stabiliscono di oscurare i dati personali eventualmente presenti.
Nel determinare la sanzione, il Garante ha comunque tenuto conto di alcuni elementi attenuanti, come, in particolare, il carattere del tutto accidentale della condotta, l’assenza di segnalazioni o lamentele dei soggetti interessati, il tempestivo intervento della Asl per porre rimedio alla violazione, la collaborazione con l’Autorità e le misure tecniche e organizzative messe poi in atto a garanzia dei dati personali.
Forse applicare correttamente il GDPR, senza attendere le sanzioni, ha una sua logica “proattiva”, come del resto richiesto dalla legislazione stessa: il risvolto economico è finalizzato a motivare il comportamento “etico” del rispetto nel trattamento dei dati personali.
BIBLIOWEB:
- Provvedimento del Garante – Ordinanza ingiunzione nei confronti di Azienda Sanitaria Locale Roma 1 – 26 maggio 2022 [9784482] (in PDF allegato)
- Dalla Parte della Donna https://newmicro.altervista.org/?p=9377
- Violazione della Privacy e tipo di danno https://newmicro.altervista.org/?p=8845
- Tre anni di GDPR https://newmicro.altervista.org/?p=8519
- Data Breach di Referti online https://newmicro.altervista.org/?p=8134
- Il nuovo Garante Privacy https://newmicro.altervista.org/?p=7698
- Un anno di Privacy https://newmicro.altervista.org/?p=7567
- Covid, App e Privacy https://newmicro.altervista.org/?p=7264
- Privacy: le sanzioni fanno male https://newmicro.altervista.org/?p=7027
- Piano Nazionale anticorruzione: Criteri https://newmicro.altervista.org/?p=6968
- L’oro dei Big Data https://newmicro.altervista.org/?p=6557
- TAR & DPO https://newmicro.altervista.org/?p=6488
- GDPR Slow https://newmicro.altervista.org/?p=6362
- Sicurezza dei dati sanitari https://newmicro.altervista.org/?p=5934
- Pareri di Garanti https://newmicro.altervista.org/?p=5494
- Il DPO, l’uomo della Privacy https://newmicro.altervista.org/?p=5287
Provvedimento del Garante – Ordinanza ingiunzione nei confronti di Azienda Sanitaria Locale Roma 1 – 26 maggio 2022 (PDF)