E se mi sanzionano a causa della notifica?
È una domanda che chi fa consulenza in ambito data protection si è sentito rivolgere almeno una volta dal titolare del trattamento in caso di data breach.
Come noto, il GDPR prevede l’obbligo del Titolare del trattamento a notificare all’autorità di controllo la violazione dei dati personali senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza. Non è escluso (anzi, semmai l’opposto…) che l’Autorità Garante, a seguito della notifica, provveda all’instaurazione di un procedimento per l’adozione dei provvedimenti correttivi o, finanche, sanzionatori.
Perché, allora, il titolare del trattamento dovrebbe proporre la notifica di una violazione dei dati personali all’autorità di controllo, autodenunciandosi e incorrendo in una sanzione, invece di provare a gestire il problema direttamente in casa e non sollevare questioni che possano rivelarsi un boomerang?
Questa è una delle tentazioni in cui, inevitabilmente, incorre il titolare del trattamento, e che il DPO (o il consulente privacy) deve affrontare e contrastare.
Oltre a essere uno specifico obbligo di legge (fattispecie già di per sé sufficiente per adempiere al compito), le conseguenze di una mancata notifica possono essere ben più gravi e rilevanti rispetto agli esiti di un’istruttoria del Garante instaurata per ammissione dell’accaduto.
È quello che può desumersi leggendo da ultimo il provvedimento del Garante datato 18 luglio 2023 nei confronti della Azienda Socio Sanitaria Territoriale Ovest Milanese.
Sebbene infatti il provvedimento in questione abbia meno notorietà rispetto ad altre vicende ben più famose (come, ad esempio, lo storico data breach accaduto a INAIL nel 2022), ci fornisce uno spunto di riflessione sulle conseguenze economiche in caso di rispetto del principio di accountability.
Il caso
L’Azienda Socio Sanitaria Territoriale (A.S.S.T.) ha provveduto a notificare, ai sensi dell’art. 33 GDPR, ben tre data breaches accaduti a dati personali dei pazienti.
Nello specifico, le violazioni (tutte quante afferenti dati sanitari) riguardavano:
- la trasmissione di una comunicazione contenente una convocazione per la valutazione dell’invalidità civile a persona diversa dagli effettivi destinatari;
- l’inserimento nel campo “CC” dell’indirizzo di 198 destinatari di una mail avente ad oggetto raccomandazioni relative al COVID in pazienti affetti da sclerosi multipla;
- la consegna ad un paziente di documentazione sanitaria contenente anche l’esito di un esame effettuato da un soggetto terzo.
Le contromisure del titolare del trattamento
Per ogni violazione, il titolare del trattamento esponeva prima le valutazioni sull’accaduto e, successivamente, produceva le sue memorie difensive, dichiarando in estrema sintesi che:
1. a seguito della segnalazione da parte dell’errato destinatario, si è subito provveduto a contattare telefonicamente i pazienti interessati; esisteva una procedura interna per l’invio delle comunicazioni; l’evento è stato generato da errore dell’operatore con intento non doloso; si è provveduto a integrare il vademecum e si è dato evidenza dell’evento in una riunione in cui hanno partecipato gli operatori medici e amministrativi, al fine di scongiurare il ripetersi dell’errore;
2. la violazione ha riguardato indirizzi mail forniti dai pazienti ai medici che li hanno in cura, in cui, in alcuni, è riconoscibile nome e cognome; sono stati immediatamente contattati tutti i destinatari, scusandosi per l’accaduto; è stata tempestivamente inviata una successiva comunicazione e-mail chiedendo di non proseguire la divulgazione dei dati con attività del tipo “inoltra” o “rispondi a tutti” e di cancellare il messaggio; è stato convocato il gruppo di lavoro privacy per istituire una procedura per evitare il ripetersi dell’errore, nonché una formazione agli operatori specifica sui rischi privacy; si è trattato di un errore materiale di digitazione informatica senza evidenza di negligenza, imperizia o colpa grave da parte di chi lo ha commesso;
3. i referti dei pazienti vengono stampati esclusivamente su istanza dell’interessato e soltanto a seguito delle richiesta allo sportello; l’errore potrebbe essere dovuto ad una stampa ridondante, probabilmente rimasta in memoria, di un solo foglio prodotto in più, in una fase precedente; nel foglio errato vi erano alcuni parametri clinici “fuori range” (che hanno comportato ulteriori accertamenti da parte della paziente segnalante, giacché neanche altri professionisti che avevano in cura la stessa si erano accorti dell’errore); il controinteressato è stato tempestivamente contattato; sono state effettuate ulteriori attività di formazione e sensibilizzazione nei confronti degli operatori che consegnano i referti agli utenti e riesame dei rischi specifici;
L’istruttoria
Nel provvedimento in esame il Garante ha ribadito alcuni aspetti da ritenersi ormai giurisprudenza granitica.
In primo luogo, ha ribadito che l’indirizzo e-mail deve ritenersi dato personale a tutti gli effetti:
Alla luce della definizione di dato personale sopra richiamata, gli indirizzi e-mail sono riconducibili alla nozione di dato personale.
Successivamente, ha sottolineato che l’utilizzo del campo “copia conoscenza” può integrare la comunicazione indebita di dati personali a terzi non legittimati:
L’invio di una comunicazione mediante un unico messaggio di posta elettronica indirizzato a un numero plurimo di destinatari, i cui indirizzi sono stati inseriti in chiaro nel campo copia conoscenza (c.c.), ha, di fatto, senza giustificato motivo e in assenza di presupposto giuridico, rivelato reciprocamente, ai destinatari delle comunicazioni, lo stato di salute degli altri pazienti.
Il provvedimento
Il Garante ha rilevato l’illiceità dei trattamenti effettuati dall’Azienda. Ha però valutato positivamente la condotta del titolare, tenendo soprattutto conto:
- dell’elevato grado di cooperazione del titolare del trattamento,
- dell’assunzione di ulteriori misure volte a ridurre la replicabilità degli eventi;
- dell’assenza di alcun elemento intenzionale.
Pertanto ha determinato una sanzione pecuniaria nella complessiva somma di € 12.000,00.
Un deterrente a notificare?
Ad avviso di chi scrive, il predetto importo può ritenersi decisamente contenuto, considerando complessivamente i tre episodi.
Difatti, per il numero di interessati coinvolti, per la tipologia di dati oggetto di violazione, nonché per alcune conseguenze scaturitene (ad esempio, gli ulteriori e inutili accertamenti della paziente del terzo caso e il manifestarsi di uno stato d’ansia protratto alcuni mesi) una sanzione di tale specie deve ritenersi decisamente di modesto valore.
In conclusione: e se mi sanzionano a causa della notifica?
Il rischio c’è, e spesso è sufficiente per generare pensieri che inducono a evitare di comunicare l’accaduto al Garante. Una condotta del genere, però, non potrebbe far altro che inasprire considerevolmente la sanzione irrogata qualora l’Autorità ne venisse a conoscenza attraverso altre vie: tra tutte, la proposizione del reclamo (o la semplice segnalazione) da parte di uno degli interessati coinvolti, circostanza per nulla rara.
Se si sbaglia, è più conveniente -in tutti i sensi- ammettere l’errore piuttosto che cercare di nasconderlo.
Il principio di accountability, in fondo, insegna proprio questo.