Il Garante approfondisce, a seguito di un data breach in ambito sanitario, i profili dell’informativa, della base giuridica, della mancata designazione del rappresentante stabilito in Europa da parte di una società americana.
Un'azienda americana che sviluppa App in ambito del monitoraggio del glucosio per pazienti diabetici ha segnalato alla nostra autorità Garante un data breach causato da un dipendente tramite l'invio di un messaggio di posta elettronica relativo ad una campagna informativa con i destinatari inseriti nel campo cc carbon copy invece che nel campo bcc blind carbon copy . L'errore umano in esame commesso da un dipendente ha comportato che ciascun destinatario abbia avuto la possibilità di visualizzare gli indirizzi email degli altri circa 2000 . Il Garante ha confermato nel provvedimento come l'indirizzo di posta elettronica sia da considerarsi un dato personale, perché riguarda una persona identificata o identificabile e va perciò trattato in modo lecito, corretto e trasparente, garantendo un'adeguata sicurezza. Il Garante ha osservato come l'invio di comunicazioni mediante un unico messaggio di posta elettronica indirizzato a un numero plurimo di destinatari, i cui indirizzi sono stati inseriti nel campo copia conoscenza c.c. , ha, di fatto, senza giustificato motivo e in assenza di idoneo presupposto giuridico, rivelato reciprocamente, ai destinatari delle comunicazioni, lo stato di salute degli altri pazienti comportando un trattamento di dati sulla salute in violazione degli articolo 5, par. 1 lett. a e f e 9 del GDPR. La trasmissione del messaggio via posta elettronica a soggetti malati di diabete ha configurato una violazione di dati “data breach”. Il Garante ha accertato come le misure di sicurezza tecniche e organizzative implementate adottate non fossero adeguate il Titolare non ha, infatti, garantito un'adeguata sicurezza ai sensi dell'articolo 5 del GDPR. I dati relativi alla salute possono essere comunicati a terzi solo sulla base di una delega scritta dell'interessato o di un idoneo presupposto giuridico assenti nel caso in esame . Il Garante dopo un'attenta istruttoria ha contestato la violazione del principio di liceità previsto dall'articolo 5, par. 1, lett. a e b del Regolamento, il quale prevede che ogni trattamento di dati personali deve fondarsi su uno specifico presupposto giuridico, e di limitazione della finalità, per cui i dati possono essere raccolti per finalità determinate, esplicite e legittime e successivamente trattati in modo che non sia incompatibile con tali finalità. Il Garante ha osservato come, nel caso in cui la condizione di liceità sia rappresentata dal consenso, esso deve essere prestato attraverso un atto positivo con il quale l'interessato manifesta una volontà libera, specifica, informata e inequivocabile relativa al trattamento dei dati personali che lo riguardano. Il Garante ha specificato come qualora il trattamento è volto a perseguire una pluralità di finalità - come nella fattispecie in esame - il consenso deve essere prestato per ciascuna di tali finalità Considerando 32, 42 e 43, articolo 5, 6, par. 1, lett. a e 7 del Regolamento e Linee guida 5/2020 sul consenso ai sensi del Regolamento UE 2016/679, adottate dal Comitato europeo per la protezione dei dati personali, il 4 maggio 2020 sent. C-673/17, del 1° ottobre 2019 e C-61/19, dell'11 novembre 2020. Il Garante ha osservato come i pazienti, quando scaricavano la App, erano chiamati ad accettare con un unico “clic” sul tasto “accetto” sia “i termini del contratto di licenza con l'utente finale” che “l'informativa privacy e le condizioni di utilizzo di Senseonics, autorizzando contestualmente la conservazione, la trasmissione e l'uso dei dati, comprese, senza limitazioni la conservazione nel Regno Unito, la trasmissione negli USA per finalità limitate ad esempio ingegneristiche e di assistenza clienti secondo i termini dell'EULA e dell'informativa privacy”. Il Garante ha sottolineato come la circostanza che sia stato richiesto un unico atto dispositivo da parte dell'interessato determina il mancato rispetto del requisito della specificità del consenso per le diverse finalità perseguite dal titolare del trattamento. La formulazione dell'informativa rende così impossibile, secondo il Garante, formulare specifici consensi per i diversi trattamenti dei dati, quale appunto quello per il trattamento dei dati sulla salute. Il Garante richiama sul punto le Guida 5/2020 del Comitato europeo per la protezione dei dati personali EDPB sul consenso, e richiama l'attenzione degli operatori sul fatto che “Il titolare del trattamento deve … fare attenzione al fatto che il consenso non può essere ottenuto tramite la stessa azione con cui si accetta un contratto o le condizioni generali di servizio. L'accettazione globale delle condizioni generali di contratto/servizio non può essere considerata come un'azione positiva inequivocabile ai fini del consenso all'uso dei dati personali” cfr. punti 77 e 83 . Il Garante ha contestato all'impresa anche la violazione dei principi GDPR di correttezza e trasparenza, in quanto la società ha fornito agli utenti un'informativa confusa e carente in molte parti essenziali. L'azienda aveva inoltre omesso di designare per iscritto il proprio rappresentante nell'Unione europea quale interlocutore per tutte le questioni privacy, come previsto dal Regolamento. Il provvedimento del Garante è di interesse in quanto approfondisce il principio della trasparenza del trattamento dei dati personali. Il Garante rappresenta come l'obbligo di fornire agli interessati le informazioni in forma “concisa e trasparente” implica che il titolare del trattamento presenti le informazioni in maniera efficace e succinta al fine di evitare un “subissamento” informativo. Le informazioni sul trattamento dei dati dovrebbero essere “nettamente differenziate dalle altre informazioni che non riguardano la vita privata, quali clausole contrattuali o condizioni generali d'uso” e dovrebbero essere “concrete e certe, non dovrebbero essere formulate in termini astratti o ambigui né lasciare spazio a interpretazioni multiple” cfr. punti 8 e 12, delle Linee guida sulla trasparenza ai sensi del regolamento 2016/679, adottate dal Gruppo Articolo 29, il 29 novembre 2017, versione emendata adottata l'11 aprile 2018 e paragrafo e paragrafo 3.7 . Il Garante richiama l'attenzione degli operatori e delle imprese su come nel contesto delle applicazioni che sono in grado di raccogliere grandi quantità di dati dal dispositivo ad esempio dati memorizzati dall'utente e dati da diversi sensori, tra cui la geolocalizzazione , l'utente finale abbia il diritto di sapere quale tipo di dati personali siano oggetto di trattamento, per quali finalità si intendono utilizzare e sulla base di quali presupposti giuridici. Occorre far comprendere come la disponibilità di queste informazioni sia infatti fondamentale per ottenere il consenso al trattamento dei dati personali dell'utente, che può ritenersi valido solo se l'interessato è stato previamente informato in merito agli elementi chiave del trattamento dei dati e quindi consapevole delle scelte in materia di trattamento dati che sta effettuando attraverso la manifestazione del consenso. Il Garante specifica che si dovrebbe comunicare agli utenti con un linguaggio semplice e chiaro se i dati potranno essere riutilizzati da terzi e in tal caso per quali scopi. Le indicazioni come innovazione del prodotto sono state ritenute dal Garante inadeguate per informare gli utenti cfr. paragrafo 3.7 del Parere 02/2013, sulle applicazioni per dispositivi intelligenti adottato il 27 febbraio 2013 . Il Garante ha osservato come nelle informative privacy acquisite agli atti non risultavano chiare, prima che il trattamento avesse inizio, le finalità e le corrispondenti basi giuridiche. Secondo il Garante non risultavano indicate neanche i tempi di conservazioni dei dati. Il Titolare ha indicato nell'informativa in maniera generica che i dati personali saranno conservati finché sarà necessario per le finalità legittime del trattamento. Il Garante ha richiamato sul punto le Linee Guida sulla trasparenza EDPB che hanno chiarito come l'individuazione dei tempi di conservazione deve essere strettamente collegato all'obbligo di minimizzazione dei dati e di limitazione della conservazione articolo 5, paragrafo 1, lettera c e del Regolamento . Il Garante ha specificato che non risulta indicata nell'informativa del Titolare la facoltà di revoca del consenso per i trattamenti basati su tale condizione di liceità, quali i trattamenti dei dati sulla salute ai sensi dell'articolo 9, par. 2, lett. a del Regolamento, né essa può ritenersi implicita nell'operazione di disattivazione dell'account dell'app. L'utente infatti potrebbe disattivare il proprio account per ragioni non connesse ai profili di protezione dei dati. In ogni caso in base all'articolo 7, par. 3 del GDPR il titolare del trattamento deve informare l'interessato del diritto di revoca prima che quest'ultimo presti effettivamente il consenso. Secondo il Garante non risultano chiaramente indicati nell'informativa generale i diritti spettanti agli interessati ai sensi degli articoli da 15 a 22 del Regolamento, e in particolare il diritto di accesso ai dati. Il comportamento della Società che ha omesso di citare il diritto di accesso ai dati previsto dall'articolo 15 del Regolamento, secondo il Garante si pone in contrasto non solo con quanto previsto dagli articolo 13 e 15 del Regolamento ma anche in violazione dell'articolo 12 ad oggetto “Informazioni, comunicazioni e modalità trasparenti per l'esercizio dei diritti dell'interessato laddove sono fornite indicazioni puntuali in ordine alle modalità con le quali titolare ed interessato dovrebbero rapportarsi con riferimento, tra l'altro, all'esercizio dei diritti da parte di quest'ultimo. Il Garante ha osservato che la società titolare del trattamento non ha provveduto a designare, mediante un atto scritto un rappresentante nell'Unione Europea previsto dall'articolo 27 del GDPR e incaricato di agire per conto del Titolare con riguardo agli obblighi che derivano dal regolamento anche per quanto riguarda la cooperazione con l'Autorità Controllo. L'obbligo di designare un rappresentante stabilito nell'UE scatta in quanto nel caso in esame la società americana rientra nell'articolo 3, par. 2 del GDPR che prevede che il regolamento si applichi al trattamento dei dati personali di interessati che si trovano nell'Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell'Unione, quando le attività di trattamento riguardano C23, C24 a l'offerta di beni o la prestazione di servizi ai suddetti interessati nell'Unione, indipendentemente dall'obbligatorietà di un pagamento dell'interessato oppure b il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all'interno dell'Unione. Il Garante ha ordinato alla società di pagare la sanzione amministrativa di 45.000 euro. Nel valutare la sanzione da applicare alla società, il Garante ha tenuto conto che l'autorità è venuta a conoscenza tramite la notifica del data breach da parte della società e che non sono pervenute segnalazioni o reclami. L'Autorità ha considerato, nella valutazione dell'importo della sanzione, il comportamento collaborativo della società durante l'istruttoria e del relativo procedimento, dell'assenza di precedenti violazioni pertinenti commesse dal titolare del trattamento. Il titolare del trattamento, non appena venuto a conoscenza della violazione ha adottato delle misure organizzative volte a evitare la ripetizione della condotta illecita e ha previsto una analisi “di tutte le altre e-mail inviate per assicurarsi che l'errore non fosse stato ripetuto in altri gruppi di email” … “un processo di conferma al fine di monitorare, rivedere ed assicurare che l'email di chiarimenti fosse adeguatamente rivolta ed inviata ai destinatari corretti, e che l'errore non venisse ripetuto” per le future e occasionali comunicazioni dirette agli utenti, di richiedere “come accorgimento ulteriore … una mail di conferma che la pratica di includere gli indirizzi nel campo ccn sia eseguita correttamente” articolo 83, par. 2, lett.c del GDPR. Il Garante ha evidenziato come sotto il profilo riguardante l'elemento soggettivo non emerga alcun atteggiamento intenzionale da parte del titolare del trattamento in quanto la violazione è avvenuta in conseguenza di un errore umano nell'invio dell'email seppure caratterizzato da colpa grave tenuto conto che il dipendente aveva ricevuto specifiche istruzioni circa la necessità di nascondere l'indirizzo di tutti i pazienti in occasione dell'invio di comunicazioni tramite email , articolo 83, par. 2, lett. b del GDPR . L'assenza di intenzionalità ha avuto, pertanto, un peso specifico nella determinazione della sanzione. La violazione di dati ha riguardato un trattamento di dati e informazioni idonee a rivelare lo stato di salute di circa 2000 interessati seppure non di tutti in quanto “gli indirizzi email dei destinatari non contenevano necessariamente il nome per intero” articolo 4, par. 1, numero 15 del Regolamento e articolo 83, par. 2, lett. a e g del GDPR. Il Garante ha richiesto l'adozione di molteplici azioni correttive entro 90 giorni tra le quali - la rielaborazione del documento denominato “Informativa sulla privacy e condizioni di utilizzo” in una forma concisa, trasparente e intellegibile, eliminando altresì le sezioni non pertinenti rispetto ai profili di protezione dei dati personali quali ad es. “Diritti di autore, marchi e utilizzo” “Esclusione di garanzie limitazioni di Responsabilità” e il riferimento alle “condizioni di utilizzo” - l'indicazione nel richiamato documento della la specifica sezione relativa ai trattamenti di dati personali effettuati nei confronti di interessati dell'Unione europea, nella quale è necessario fare espresso riferimento al quadro normativo in materia di protezione dei dati personali ad essi applicabile e in particolare all'articolo 13 del Regolamento - l'indicazione nel medesimo documento, in una forma concisa, trasparente e intellegibile di tutte le informazioni previste dall'articolo 13 del Regolamento. Il Garante ha inoltre richiesto al Titolare di individuare, rispetto a ciascuna delle finalità perseguite, idonee basi giuridiche, tenendo in debita considerazione quelle previste dall'articolo 9, par. 2 del Regolamento per il trattamento dei dati sulla salute 5. di individuare nell'informativa generale i diritti spettanti agli interessati ai sensi degli articoli da 15 a 22 del Regolamento e di confermare che l'informativa sulla privacy sia stata integrata prevedendo il diritto degli interessati di presentare un reclamo avanti all'Autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, qualora ritenga che il trattamento che lo riguardi violi il Regolamento. In ottemperanza alle prescrizioni del Garante, l'Azienda dovrà conformare i trattamenti di dati personali alla normativa vigente e rielaborare l'informativa sulla privacy in una forma concisa, trasparente e comprensibile, comunicando le iniziative intraprese in tal senso. Il Garante ha ordinato al Titolare, ai sensi dell'articolo 58, par. 1, lett. a , del GDPR e dell'articolo 157 del Codice, di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel predetto par. 6, e di fornire comunque riscontro, adeguatamente documentato, entro e non oltre il termine di 20 giorni dalla scadenza del termine sopra indicato. Il Garante ha rappresentato come il mancato riscontro a una richiesta formulata ai sensi dell'articolo 157 del Codice sia punito con la sanzione amministrativa, ai sensi del combinato disposto di cui agli articolo 83, par. 5, del Regolamento e 166 del Codice. Il Garante ha ritenuto altresì, che trovi applicazione nel caso in esame la sanzione accessoria della pubblicazione sul sito web istituzionale dell'autorità, prevista dall'articolo 166, comma 7 del Codice e articolo 16 del Regolamento del Garante numero 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento. Il provvedimento in esame è di interesse in quanto riguarda l'utilizzo delle App in ambito sanitario, strumenti sempre più diffusi nel contesto medico-sanitario, in quanto consentono di migliorare l'interazione tra medico e paziente ed ottimizzare l'efficienza e la qualità dell'assistenza sanitaria. La forza del provvedimento è di richiamare l'attenzione sul percorso GDPR nell'implementazione delle App in ambito sanitario il Titolare del trattamento è tenuto, in ottica accountability a verificare che siano state rispettate tutte prescrizioni e tutele previste per i trattamenti connessi all'utilizzo di app mediche, con particolare attenzione ai profili della base giuridica di tale attività e il rispetto rigoroso dei principi del GDPR finalità, liceità, minimizzazione, conservazione dei dati . Il provvedimento in esame non approfondisce il profilo di interesse della valutazione di Impatto privacy. Il Garante richiama la nostra attenzione su come la normativa italiana ed europea preveda un divieto generale di trattare i dati di “categorie particolari di dati”, tra cui rientrano quelli sulla salute, ad eccezione di alcuni casi esplicitamente indicati - ad esempio per motivi di interesse pubblico o per finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria - e solo in seguito all'adozione di particolari garanzie. Il Garante approfondisce la tematica della trasparenza e sottolinea il rischio di troppe informazioni come indicato dall'Autorità in diversi convegni e occasioni di confronto tra esperti sarebbe necessaria e apprezzata in materia un'attività di semplificazione delle stesse informative privacy attraverso l'uso di simboli e immagini, al fine di garantire che gli utenti e i consumatori siano messi in grado di fare scelte libere e consapevoli, in maniera sintetica ed efficace.