Avv. Angelo Russo – Avvocato Cassazionista, Diritto Civile, Diritto Amministrativo, Diritto Sanitario, Catania.
—
—
[dropcap color=”#000000″ font=”0″]I[/dropcap]l settore della sanità è, certamente, uno di quelli maggiormente attenzionati dal Garante della Privacy attesa la delicatezza delle problematiche relative all’uso dei dati personali.
Recentemente, peraltro, con la newsletter del 18.2.2020, il Garante ha posto una particolare attenzione su whistleblowing non sicuro e sull’accesso ai fascicoli sanitari.
Whistleblowing
Con l’entrata in vigore della legge 190 del 2012, l’Italia si è dotata di un sistema organico di prevenzione della corruzione che prevede, fra le misure da adottare, l’introduzione nel nostro ordinamento di un sistema di tutela del dipendente pubblico che segnala illeciti, c.d. whistleblower (art. 54 – bis del decreto legislativo 165 del 2001).
Il “whistleblowing”, in sostanza, è la segnalazione compiuta da un lavoratore che, nello svolgimento delle proprie mansioni, si accorge di una frode, un rischio o una situazione di pericolo che possa arrecare danno all’azienda/ente per cui lavora, nonché a clienti, colleghi, cittadini, e qualunque altra categoria di soggetti.
Il “whistleblowing” è, quindi, uno strumento legale atto a segnalare tempestivamente ad una serie di soggetti (Autorità Giudiziaria, Corte dei conti, Autorità Nazionale Anticorruzione, Responsabile anticorruzione all’interno del proprio Ente/Azienda):
a) pericoli sul luogo di lavoro;
b) frodi all’interno, ai danni o ad opera dell’organizzazione;
c) danni ambientali, false comunicazioni sociali, negligenze mediche;
d) illecite operazioni finanziarie, minacce alla salute, casi di corruzione o concussione e molti altri ancora.
È di solare evidenza quale caratterizzazione assuma il rapporto, delicatissimo, fra la segnalazione di possibili comportamenti illeciti e la tutela della riservatezza del segnalante e del segnalato.
Altrettanto evidente è che per l’adozione di questo strumento sono necessari una serie di pesi e contrappesi tali da tutelare tutti i soggetti coinvolti nella questione e, in particolare, come dianzi evidenziato:
a) il segnalante (il whistleblower cioè colui che rileva l’illecito e lo pone all’attenzione dell’organizzazione);
b) il segnalato (ovvero colui che realizza l’azione illecita).
La necessità di affinare queste garanzie ha richiesto, in Italia, un progressivo adattamento normativo che è culminato con la legge 179 del 30 novembre 2017 con la quale il legislatore ha inteso disciplinare:
1) la tutela del dipendente pubblico che segnala illeciti;
2) la tutela del dipendente o collaboratore che segnala illeciti nel settore privato;
3) lo scudo, per chi segnala, da eventuali violazioni penali e civili del segreto d’ufficio, aziendale, professionale, scientifico e industriale.
L’estrema delicatezza della materia fa sì che il datore di lavoro, che adotta procedure tecnologiche per la segnalazione anonima di possibili comportamenti illeciti (whistleblowing), deve verificare che le misure tecnico – organizzative e i software utilizzati siano adeguati a tutelare la riservatezza di chi invia le denunce.
Lo ha, negli scorsi giorni, segnalato e ribadito il Garante per la protezione dei dati personali nel sanzionare un’università per aver reso accessibili on line i dati identificativi di due persone che avevano segnalato all’ateneo possibili illeciti.
A propria difesa l’università aveva dichiarato che, a causa di un aggiornamento della piattaforma software utilizzata, si era verificata la sovrascrittura accidentale dei permessi di accesso ad alcune pagine web interne dell’applicativo usato per il whistleblowing, rendendo così possibile a chiunque consultare i nomi e altri dati di coloro che avevano inviato segnalazioni riservate.
Da ciò era derivato che tali informazioni erano, quale naturale conseguenza, state indicizzate da alcuni motori di ricerca fino al momento in cui l’Università, dopo essere venuta a conoscenza del problema, era intervenuta per farli deindicizzare e cancellare le relative copie cache.
Nel corso dell’istruttoria è stato, peraltro, rilevato che la violazione dei dati personali (data breach) era riconducibile all’assenza di adeguate misure tecniche per il controllo degli accessi, che avrebbero consentito di limitare la consultazione al solo personale autorizzato.
In base al Regolamento spetta in primo luogo proprio al titolare del trattamento (in questo caso l’Ateneo) – tenendo conto della natura, dell’oggetto, del contesto e delle finalità del trattamento – mettere in atto misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio. Tra queste rientra, naturalmente, anche una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure adottate.
L’Università, invece, si era limitata a recepire le scelte progettuali del fornitore dell’applicativo che non prevedeva la cifratura dei dati personali (identità del segnalante, informazioni relative alla segnalazione, eventuale documentazione allegata), né l’adozione di un protocollo di trasmissione che garantisse una comunicazione sicura, sia in termini di riservatezza e integrità dei dati scambiati, sia di autenticità del sito web visualizzato da chi invia le segnalazioni.
La gravità della violazione risultava, peraltro, acuita dal particolare regime di riservatezza stabilito dalle norme in materia di whistleblowing, proprio a maggior tutela degli interessati.
Il Garante, quindi, dopo aver accertato l’illecito trattamento dei dati e l’omesso adempimento degli obblighi di sicurezza imposti dal Gdpr – tenendo comunque conto che la violazione ha riguardato solo due persone e che l’Ente ha attivamente cooperato nel corso dell’istruttoria – ha inflitto all’Ateneo una sanzione amministrativa di euro 30.000,00.
Accessi indebiti ai dossier sanitari
Il non aver impedito che alcuni dipendenti accedessero al dossier sanitario dei colleghi ha comportato l’irrigazione di una sanzione di euro 30.000,00 in danno di un’azienda ospedaliera.
Questa è la sanzione irrogata dal Garante privacy per tre violazioni di dati personali comunicate all’Autorità dallo stesso ospedale a conclusione di normali controlli periodici.
Dall’istruttoria era emerso che gli accessi indebiti avevano riguardato dati sanitari di dipendenti in cura presso lo stesso nosocomio.
In un caso l’accesso era stato effettuato con le credenziali di un medico che aveva lasciato incustodita la propria postazione.
Negli altri due casi uno specializzando e un tecnico radiologo erano entrati nel dossier sanitario dei loro colleghi.
In tutti e tre gli episodi risultava accertato, per stessa ammissione dell’azienda ospedaliera, che gli accessi erano stati effettuati non per erogare prestazioni mediche, ma per esclusive ragioni personali, descritte dall’azienda come “mera curiosità”.
Gli accertamenti svolti dal Garante avevano evidenziato che le misure tecniche e organizzative adottate dall’ospedale, a tutela del dossier sanitario aziendale, non si erano dimostrate idonee ad assicurare una adeguata tutela dei dati personali dei pazienti e a proteggerli da trattamenti non autorizzati, determinando così un trattamento illecito di dati.
La violazione, invero, avrebbe potuto essere evitata se l’azienda avesse semplicemente osservato le Linee guida in materia di dossier sanitario, emanate dal Garante nel 2015, prevedendo che l’accesso al dossier sanitario fosse limitato al solo personale sanitario che interviene nel processo di cura del paziente ed avesse prestato particolare attenzione nell’individuare i profili di autorizzazione e nella formazione del personale abilitato.
L’adozione preventiva di tali misure, anche alla luce dei principi di protezione dati fin dalla progettazione (privacy by design) e per impostazione predefinita (privacy by default), costituisce oggi, per effetto delle disposizioni contenute nel Regolamento Ue 679/2016, un preciso dovere per i titolari del trattamento.
Il Garante, nel prendere atto che in seguito alla vicenda l’azienda ha avviato spontaneamente la revisione delle procedure d’accesso ai dossier sanitari, ha ingiunto alla stessa di completare tale operazione entro 90 giorni e per gli illeciti commessi ha applicato, come detto, una sanzione di euro 30.000,00.
