GARANTE PRIVACY – Nota 26 ottobre 2020, n. 469 – Nuove ispezioni del Garante su fatturazione elettronica, data breach e food delivery – Sanità, Garante: più cautele nell’uso dell’algoritmo per individuare i pazienti a rischio – Referti on line accessibili ad altri pazienti, il Garante sanziona un policlinico

Nuove ispezioni del Garante su fatturazione elettronica, data breach e food delivery – Sanità, Garante: più cautele nell’uso dell’algoritmo per individuare i pazienti a rischio – Referti on line accessibili ad altri pazienti, il Garante sanziona un policlinico

Nuove ispezioni del Garante su fatturazione elettronica, data breach e food delivery

Varato il piano ispettivo per il secondo semestre

Approvato dal Garante per la protezione dei dati personali – composto da Pasquale Stanzione, Ginevra Cerrina Feroni, Agostino Ghiglia, Guido Scorza – il piano ispettivo per il secondo semestre 2020.

L’attività di accertamento dell’Autorità, svolta anche in collaborazione con il Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza, prosegue quella avviata nel primo semestre e riguarda i trattamenti di dati svolti nell’ambito di settori particolarmente delicati, quali la fatturazione elettronica, il whistleblowing, il food delivery, le violazioni della sicurezza dei dati (data breach). Le verifiche riguarderanno anche le società che operano nel settore del cosiddetto “rating reputazionale”.

Le altre ispezioni programmate dal Garante saranno indirizzate a verificare il rispetto delle norme nel rilascio di certificati tramite l’Anagrafe nazionale della popolazione residente, e nell’attività di marketing, sia nel settore pubblico che privato.

I controlli si concentreranno anche sull’adozione delle misure di sicurezza da parte di pubbliche amministrazioni e di imprese che trattano particolari categorie di dati personali; sul rispetto delle norme sulla informativa e il consenso; sui tempi di conservazione dei dati. L’attività ispettiva verrà svolta anche a seguito di segnalazioni e reclami, con particolare attenzione alle violazioni più gravi.

Un primo bilancio dell’attività ispettiva e sanzionatoria dell’Autorità nel primo semestre del 2020 registra intanto un notevole incremento delle entrate complessive derivanti dalle sanzioni che passano da 1 milione 223mila euro del primo semestre del 2019 a 7 milioni 108 mila euro, con un aumento del 481%. Sono state effettuate, inoltre, iscrizioni a ruolo per un importo complessivo di 5 milioni 42 mila euro (+124%) a fronte dei 2 milioni 248mila euro del primo semestre 2019, che hanno riguardato trasgressori che non si sono avvalsi della facoltà di definizione agevolata prevista dal decreto legislativo n.101 del 2018.

Gli accertamenti svolti nel primo semestre 2020, anche con il contributo del Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza, hanno riguardato numerosi settori, sia nell´ambito pubblico che privato: in particolare, la fatturazione elettronica, le grandi banche pubbliche, i software per la gestione del “whistleblowing”, le società di intermediazione immobiliare, il marketing, i tour operator.

Sanità, Garante: più cautele nell’uso dell’algoritmo per individuare i pazienti a rischio

Parere dell’Autorità alla Provincia autonoma di Trento sulla medicina d’iniziativa

Sì condizionato del Garante privacy su uno schema di regolamento della Provincia autonoma di Trento riguardante la medicina di iniziativa nel servizio sanitario provinciale.

Il tema della medicina d’iniziativa – in sintesi, un modello assistenziale di gestione delle malattie croniche che punta sulla prevenzione attraverso l’analisi dei big data e l’uso dell’intelligenza artificiale – era già stato affrontato dal Garante nel parere reso lo scorso maggio alla medesima Provincia su un disegno di legge, poi divenuto legge. Già in quell’occasione l’Autorità aveva ritenuto che l’articolo del d.d.l, con il quale la Provincia intendeva introdurre una idonea base normativa per consentire il trattamento dei dati sanitari a fini di medicina d’iniziativa, presentasse numerose criticità.

La norma del d.d.l. tendeva infatti a perseguire una pluralità di finalità (statistiche, di cura e amministrative) che si fondano su diversi presupposti di liceità e, per come era formulata, non consentiva di rispettare le specifiche garanzie che l’ordinamento assicura alla persona. Le criticità rilevate dal Garante si ritrovano ora nello schema di regolamento. Per giunta, il mancato invio all’Autorità della necessaria “valutazione d’impatto”, in base alla quale la Provincia avrebbe individuato le modalità con cui compiere delicate operazioni sui dati sanitari, anche attraverso l’uso di un algoritmo, pregiudica una piena valutazione del regolamento da parte dell’Autorità.

Lo schema di regolamento prevede inoltre l’acquisizione anche di dati relativi alle dipendenze, all’interruzione volontaria di gravidanza, alla maternità e ai registri tumori. Informazioni alle quali l’ordinamento riconosce tutele rafforzate, in particolar modo ai dati sull’aborto, al parto in anonimato, all’Hiv e alla fecondazione artificiale. Così come è previsto l’impiego di dati relativi agli accertamenti medico legali e a quelli effettuati dal medico competente sui lavoratori, che sono regolati da norme che ne limitano la conoscibilità. Il Garante ha quindi richiamato la Provincia a trattare i dati nel rispetto delle norme di riferimento. L’Autorità ha poi chiesto all’Amministrazione di perfezionare il regolamento chiarendo la logica e le modalità attraverso le quali intende effettuare il trattamento con particolare riferimento all’individuazione dei soggetti a rischio attraverso l’uso di un algoritmo per l’analisi dei big data.

Nel regolamento, inoltre, dovrà essere ben specificato che i dati potranno essere diffusi solo in forma anonima, o in una forma che non consenta di risalire all’identità dei soggetti interessati.

Il Garante, infine, ha fornito puntuali indicazioni per conformare il Disciplinare tecnico allegato al regolamento alle regole e alle garanzie in materia di protezione dei dati.

Referti on line accessibili ad altri pazienti, il Garante sanziona un policlinico

Il Garante per la protezione dei dati personali ha sanzionato per 20 mila euro un policlinico per aver violato la riservatezza dei referti on line di alcuni utenti. Mentre consultavano le proprie radiografie, collegandosi con lo smartphone attraverso le loro credenziali, 39 pazienti avevano potuto avere accesso all’elenco alfabetico di 74 altri assistiti, visualizzare i loro referti radiologici e l’elenco degli esami.

Venuto a conoscenza della violazione dei dati a seguito di una segnalazione, il policlinico aveva interrotto la procedura di consultazione dei referti online, corretto il bug, onde evitare futuri accessi non autorizzati ai dati dei pazienti e segnalato l’incidente al fornitore del sistema. Aveva poi, come previsto dal Regolamento Ue, notificato il data breach al Garante, spiegando che la causa della violazione era da attribuire ad un errore umano nell’integrazione di due sistemi informatici. La struttura ospedaliera aveva specificato di non aver ricevuto reclami o richieste di risarcimento dei danni in merito.

Il Garante, alla luce dell’illecita comunicazione di dati sanitari causata dall’errore informatico, ha applicato una sanzione di 20 mila euro, tenendo conto dell’elevato livello di cooperazione dimostrato dal policlinico e della tempestiva risoluzione del problema.