Premessa
Il 3 ottobre 2017 l’allora Working Party 29 (organo costituito da rappresentanti delle autorità garanti per la privacy europei, oggi sostituito dall’EDPB)rilasciava il White Paper 253 relativo a “Linee guida riguardanti l’applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini rel Regolamento (UE) n. 2016/679“.
Stante il Considerando 10 del GDPR che invoca un livello di protezione equivalente negli stati membri, la linea guida indicava come sentiero da percorrere quello della coerenza.
Nei casi nazionali previsti dal regolamento, le autorità di controllo applicheranno le presenti linee guida nello spirito di collaborazione ai sensi dell’articolo 57, paragrafo 1, lettera g), e dell’articolo 63, al fine di garantire la coerenza dell’applicazione e dell’attuazione del regolamento. Sebbene continuino a essere indipendenti nello scegliere le misure correttive di cui all’articolo 58, paragrafo 2, le autorità di controllo dovrebbero evitare di scegliere misure correttive differenti in casi analoghi.
Dove andiamo a parare?
Tutto questo non l’avevo mai tirato in ballo, se non in discussioni con amici colleghi, ma oggi per la prima volta ho visto questo principio applicato nella pratica.
Uno dei primi stati a irrogare una sanzione amministrativa pecuniaria fu a suo tempo il Portogallo. Per la precisione il 17 luglio 2018 un ospedale pubblico portoghese ricevette una sanzione da 400.000,00€. Motivo? Eccolo:
Summary Investigation revealed that the hospital’s staff, psychologists, dietitians and other professionals had access to patient data through false profiles. The profile management system appeared deficient – the hospital had 985 registered doctor profiles while only having 296 doctors. Moreover, doctors had unrestricted access to all patient files, regardless of the doctor’s specialty. (Fonte Enforcement Tracker)
La notizia che oggi ha destato il mio interesse è una sanzione pressoché identica che il Garante olandese ha rifilato a un ospedale di Amsterdam per più o meno le stesse motivazioni:
The Dutch DPA (AP) imposed a fine of EUR 440,000 on the Amsterdam hospital OLVG. The controller had taken insufficient measures between 2018 and 2020 to prevent access by unauthorized employees to medical records. The controller did not check adequately who had access to which file nor did the controller ensure that the computer system presented sufficient security. This resulted, among others, in working students and other employees being able to access patient files without this being necessary for their work. Besides medical records, the patient files also contained, the social security numbers, addresses and telephone numbers of the data subjects. (Fonte Enforcement Tracker)
Il meccanismo di coerenza
Viene a trovare una perfetta applicazione quel meccanismo per il quale le autorità europee si allineano. Il che mi porta a ipotizzare che se il CNIL dovesse mai contestare a un operatore di telefonia (notoriamente tutti virtuosi) un comportamento marketing poco corretto, la sanzione potrebbe aggirarsi tra i 20 e i 30 milioni di euro, se teniamo in considerazione quanto avvenuto in italia. Ricordo che il nostro Garante occupa ben quattro delle prime dieci posizioni per le sanzioni più elevate in Europa. Di queste quattro, tre sono state comminate ad aziende di telecomunicazioni.
Meccanismi ammortizzatori
Va comunque tenuto in considerazione che questo meccanismo viene moderato tenendo nel dovuto conto anche il contesto locale. A un piccolo ospedale una sanzione di mezzo. milione creerebbe un tale dissesto da rischiare di farlo chiudere, recando un grave disservizio alle persone. Quindi a seconda dei contesti questa logica viene ammorbidita, ma dove i casi collimano l’applicazione è stata simmetrica.
