Il Centro Hospitalar Barreiro Montijo, in Portogallo, è stato multato di 400.000 euro per aver violato il regolamento generale sulla protezione dei dati, Reg. UE 2016/679 GDPR.
L’autorità di controllo del paese, Comissão Nacional de Protecção de Dados (CNPD), ha rilevato che vi erano tre violazioni del GDPR.
Prima violazione
La prima è stata una violazione dell’articolo 5, paragrafo 1, lettera c), il principio di minimizzazione, consentendo l’accesso indiscriminato a un numero eccessivo di utenti e una violazione dell’articolo 83, paragrafo 5, lettera a), violazione dei principi base di trattamento dei dati. Per questa violazione la multa è stata di 150.000 euro.
Seconda Violazione
La seconda ha riguardato l’integrità e la riservatezza dovuta alla mancata applicazione di misure tecniche e organizzative per impedire l’accesso illecito ai dati personali ai sensi dell’articolo 5, paragrafo 1, lettera f), e anche dell’articolo 83, paragrafo 5, lettera a), una violazione dei principi di base di elaborazione. Anche in questo caso la multa applicata è di 150.000 euro.
Entrambe le precedenti erano punibili con una multa fino a 20 milioni di euro o il 4 per cento del fatturato totale annuo. L’Autorità di Controllo Portoghese ha deciso di applicare sanzioni meno lievi avvalendosi della propria discrezionalità. Questa è stata la prima sanzione in Portogallo e l’Autorità Garante non ha voluto forzare la mano.
Terza Violazione
Infine, il CNPD (Garante Portoghese) ha sanzionato l’articolo 32, paragrafo 1, lettera b), l’incapacità del convenuto di garantire la costante riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi di trattamento nonché la mancata attuazione delle misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio, compreso un processo per testare, accertare e valutare regolarmente le misure tecniche e organizzative per garantire la sicurezza del trattamento. Violazione sanzionata con 100.000 euro, anche se l’ammenda massima era di 10 milioni di euro o il 2 percento del fatturato totale annuo.
La Difesa
La difesa presentata dall’ospedale riferiva che il CNPD non poteva essere considerato l’autorità di controllo di cui all’articolo 51 in quanto non era stato ancora nominato formalmente. A tal fine, la CNPD ha risposto che è, a tutti gli effetti, l’autorità nazionale che ha il potere di controllare e supervisionare la conformità in termini di protezione dei dati in conformità con l’attuale legge portoghese sulla protezione dei dati.
Inoltre, tra le sue argomentazioni, la difesa ha addotto che l’ospedale usava il sistema informatico fornito agli ospedali pubblici dal Ministero della Salute portoghese e non software propri.
Elementi a carico presentati dal CNPD
- Non c’era alcun documento contenente la corrispondenza tra le competenze funzionali degli utenti e i profili per l’accesso alle informazioni (comprese le cartelle cliniche).
- Non esisteva inoltre un documento che definisse le regole per la creazione degli utenti del sistema informativo dell’ospedale.
- Nove dipendenti tecnici hanno goduto del livello di accesso riservato al gruppo medico, il che ha portato alla possibilità indiscriminata di tali dipendenti di consultare i dati clinici di tutti gli utenti dell’ospedale.
- Esistenza di credenziali di accesso che consentivano a qualsiasi medico, indipendentemente dalla sua specialità, di accedere in qualsiasi momento ai dati dei pazienti dell’ospedale. Questo è stato considerato come una violazione del principio del “diritto di sapere” e del principio della “minimizzazione dei dati”.
- C’erano 985 utenti associati al profilo “dottore”, ma nelle classifiche ufficiali delle risorse umane dell’ospedale ci sono solo 296 medici in quell’ospedale.
- Manutenzione di profili inutili per medici che non forniscono più servizi all’ospedale.
- C’erano solo 18 account utente che erano inattivi e l’ultimo è stato disattivato a novembre 2016.
- Il convenuto (l’Ospedale) ha agito in modo libero e volontario e consapevole del fatto che i suoi atti sono vietati dalla legge.
Determinazione della multa
Nel determinare l’importo della sanzione, come detto sopra relativamente basso considerando quello che avrebbe potuto essere, il CNPD ha valutato quanto segue, in conformità con l’articolo 83 (1) (a-k):
- La natura, la gravità e la durata dell’infrazione tenendo conto dell’ambito naturale o della finalità del trattamento nonché del numero di interessati. È stato inoltre considerato pertinente il fatto che i dati personali in questione fossero categorie particolari di dati, compresi i dati sanitari che hanno aumentato in modo significativo il rischio di danni agli interessati.
- Possibile frode: il convenuto rappresentava la pratica della cattiva condotta come una possibile conseguenza della pratica consuetudinaria a cui si conformava.
- L’iniziativa del convenuto di mitigare i danni subiti dagli interessati.
- Il grado di responsabilità del convenuto, tenendo conto delle misure tecniche e organizzative attuate.
- Non ci sono state infrazioni precedenti.
- Grado di cooperazione con il CNPD al fine di porre rimedio all’infrazione e mitigarne i possibili effetti negativi.
- La modalità in cui il CNPD ha appreso dell’infrazione, in quanto non è stato comunicato dall’ospedale, ma è stato appreso attraverso i media e successivamente confermato dall’ispezione CNPD.
Sanzione grazie alla denuncia sui Media
Nel determinare l’ammontare della sanzione, dunque, il CNPD ha considerato il fatto che il convenuto ha adottato misure per regolarizzare la situazione.
Il fatto sorprendente – ma forse non poi tanto! – è che il CNPD ha agito a seguito di un articolo comparso su un giornale e non su una denuncia da parte di uno dei soggetti interessati e tantomeno una segnalazione di incidente/violazione di dati da parte dell’Ospedale. Da ciò riteniamo che fosse particolarmente rilevante per il CNPD che non esistessero procedure documentate per l’accesso ai dati, ma anche che i dati coinvolti fossero categorie speciali di dati (art. 9 GDPR).
Conclusioni
Vale infine la pena ricordare che nella prima bozza della nuova legge portoghese sulla protezione dei dati, non c’erano sanzioni applicabili agli enti pubblici. Questo è stato riferito dal CNPD: rimarcando che non era in linea con la tradizione legislativa portoghese.
Infatti, secondo il CNPD, esentare gli enti pubblici dall’applicazione delle multe viola il principio di uguaglianza e indebolisce la tutela dei diritti fondamentali dei cittadini.
La decisione non è stata pubblicata sul sito di CNPD, e ciò, purtroppo, non contribuisce a promuovere la consapevolezza e la comprensione da parte del pubblico circa i rischi, le regole e le garanzie in relazione al trattamento dei dati personali, come previsto dall’articolo 57 del GDPR.
Insomma, anche il CNPD (Autorità Garante Portoghese) non si è rivelato ligio al disposto del GDPR!