La violazione nel trattamento dei dati sanitari: il caso ATS Milano al vaglio dell’istruttoria del Garante Privacy

Introduzione

È notizia recente l’avvio di una istruttoria da parte del Garante Privacy nei confronti di ATS di Milano in quanto sulla piattaforma “MilanoCor” chiunque, inserendo semplicemente un codice fiscale e un numero di telefono (anche non intestato al soggetto interessato) poteva conoscere quali cittadini, della provincia di Milano,  risultassero positivi al Covid-19.[1] Una palese violazione del concetto di riservatezza e una evidente violazione nel trattamento di dati strettamente personali. Concetto questo ancora da  recepire appieno da parte di alcuni enti pubblici.

La vicenda

La piattaforma, lanciata solo a fine ottobre, di fatto è un database nel quale vengono raccolti i dati di coloro risultati positivi al Covid-19 e registrati sulla stessa. Lo scopo è quello di fornire ai cittadini informazioni e/o indicazioni su cosa fare o come muoversi in caso di particolari necessità legate all’evolversi della malattia. Inoltre, può essere utilizzata dal soggetto positivo come una sorta di ‘diario’ nel quale annotare l’eventuale insorgenza di sintomi legati al Covid-19 e come strumento per la prenotazione dei tamponi. Doveva, infine, servire anche come sistema di tracciamento dei contatti dei soggetti positivi per far osservare loro il periodo di quarantena (tracciamento che in Lombardia è ‘saltato’). Quasi 3500 utenti si sono iscritti alla piattaforma fornendo i propri dati personali (nome, codice fiscale, risultato del tampone effettuato) e di questi più di 2000  hanno tenuto il ‘diario’ dei sintomi e  hanno contribuito al contact tracing di soggetti loro conviventi o con i quali sono entrati in contatto.  Ricordiamo che il codice fiscale può essere desunto facilmente conoscendo le informazioni di base di una persona. La mancanza di un adeguato sistema di tutela dei dati personali ha comportato in maniera evidente la violazione della privacy degli utenti. Ne consegue una vera e propria ‘falla’ del sistema di sicurezza che avrebbe dovuto avere, come obiettivo, la tutela dei dati personali e, in particolare, dei dati sanitari.

Le segnalazioni al Garante Privacy

In seguito a delle segnalazioni, da parte di alcuni esperti, indirizzate al Garante Privacy, è stata avviata un’istruttoria e innanzitutto ATS è stata chiamata a fornire spiegazioni, ad indicare il numero dei soggetti interessati, il numero di coloro “che hanno compilato il diario sanitario interno”, ma soprattutto è stata chiamata a rispondere in merito alle misure di sicurezza che aveva messo in campo e in particolare su quali misure adotterà affinché vicende di portata così grave non si ripetano. Tuttavia risolvere il problema, come ha fatto ATS, non esonera dall’attribuzione di responsabilità poiché l’illecito, vista la gravità e considerati i dati estremamente sensibili, potrebbe portare all’irrogazione di sanzioni pecuniarie di notevole valore ex art. 83 GDPR (fino a 20 milioni di euro di multa) con riferimento ai paragrafi 2 e 5.[2]

Il punto di vista normativo

Il Reg. UE 2016/679 all’art. 9 par. 1 (“è vietato trattare dati personali che […] nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute […]”) pone l’espresso divieto di trattamento dei dati sanitari in quanto dati riconducibili direttamente all’identità del soggetto interessato. Tuttavia va evidenziato che trattandosi di una situazione di emergenza sanitaria, il cui obiettivo primario è la tutela della salute del singolo e della collettività, si deve prendere in considerazione il paragrafo 2 dell’art. 9 GDPR con riferimento alla lettera g), h) e i). Questa seconda parte dell’articolo evidenzia che quanto previsto dal precedente paragrafo 1 non possa essere applicato a determinati casi e fattispecie poiché, in questi casi, “il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita”[3] con una particolare attenzione al rispetto della protezione dei dati delle persone fisiche e con l’obbligo di prevedere delle misure “appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato”.[4] È evidente che si è in presenza di un interesse pubblico rilevante (tutela della salute) con la conseguenza della necessaria l’individuazione dei soggetti che svolgono compiti di interesse pubblico o legati all’esercizio di pubblici poteri.

Con l’art. 2 sexies, introdotto con il D.Lgs. 101/2018, rubricato “Trattamento di categorie particolari di dati personali necessari per motivi di interesse pubblico rilevante” il legislatore italiano ha stabilito, richiamando la normativa comunitaria, che “si considera rilevante l’interesse pubblico relativo a trattamenti effettuati da soggetti che svolgono compiti di interesse pubblico o connessi all’esercizio di pubblici poteri nelle seguenti materie: […] u) compiti del servizio sanitario nazionale e dei soggetti operanti in ambito sanitario, […] e sicurezza e salute della popolazione, protezione civile, salvaguardia della vita e incolumità fisica”. La violazione dell’art. 2 sexies Codice Privacy post riforma del 2018 trova nell’art. 166 Codice Privacy (sostituito dall’art. 15 c. 1 lett. a) D.Lgs. 101/2018) l’individuazione dei “criteri di applicazione delle sanzioni amministrative pecuniarie e procedimento per l’adozione dei provvedimenti correttivi e sanzionatori”) e che applica “la fascia edittale più severa, ossia quella dell’art. 83 par. 5 GDPR”.[5] Va portata alla nostra attenzione la lett. i) par. 2 art. 9 GDPR laddove si evidenzia che il trattamento “è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutela re i diritti e le libertà dell’interessato […]”.

L’art. 60 Codice Privacy post riforma del 2018 (l’articolo sostituito dall’art. 5 comma 1 lett. b) D.Lgs. 101/2018) è rubricato “Dati relativi alla salute o alla vita sessuale o all’orientamento sessuale” e in esso si evidenzia che quando il trattamento riguarda dati relativi alla salute il trattamento è consentito al ricorrere di determinate situazioni. Il Garante Privacy con il Provvedimento n. 55 del 7 marzo 2019 ha fornito chiarimenti in merito alla disciplina inerente il trattamento dei dati relativi alla salute in ambito sanitario.[6] Il Garante ha fornito una sorta di ‘analisi’ dell’articolo 9 GDPR specificando che “i trattamenti per ‘finalità di cura’, sulla base dell’art. 9, par. 2, lett. h) e par. 3 del Regolamento, sono propriamente quelli effettuati da (o sotto la responsabilità di) un professionista sanitario soggetto al segreto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza”. Ciò nel rispetto dell’art. 5 par. 1 lett. a) GDPR in merito al dovere dei titolari di “informare l’interessato sui principali elementi del trattamento, al fine di renderli consapevoli sulle principali caratteristiche dello stesso”.[7]

Con il Provvedimento n. 55 il Garante ha voluto fornire una ‘riorganizzazione’ della disciplina inerente il trattamento dei dati sanitari riconducendo le deroghe a tre categorie: “a. motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri (art. 9, par. 2, lett. g) del Regolamento), individuati dall’art. 2-sexies del Codice; b. motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che preveda misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale (art. 9, par. 2, lett. i) del Regolamento e considerando n. 54) (es. emergenze sanitarie conseguenti a sismi e sicurezza alimentare); c. finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali (di seguito “finalità di cura”) sulla base del diritto dell’Unione/Stati membri o conformemente al contratto con un professionista della sanità, (art. 9, par. 2, lett. h) e par. 3 del Regolamento e considerando n. 53; art. 75 del Codice) effettuati da (o sotto la responsabilità di) un professionista sanitario soggetto al segreto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza”. Inoltre, va rilevato che il D.L. 9 marzo 2020, n. 14[8] all’art. 14 rubricato “Disposizioni sul trattamento dei dati personali nel contesto emergenziale” prevede che i soggetti che operano nel SSN e coloro che sono chiamati a monitorare e garantire l’esecuzione delle misure disposte ai sensi dell’art. 3 D.L. 23 febbraio 2020, n. 6 convertito dalla L. 13/2020 anche “allo scopo di assicurare la più efficace gestione dei flussi e dell’interscambio di dati personali, possono effettuare trattamenti, ivi inclusa la comunicazione tra loro, dei dati personali, anche relativi agli articoli 9 e 10 del regolamento (UE) 2016/679, che risultino necessari all’espletamento delle funzioni attribuitegli nell’ambito dell’emergenza determinata dal diffondersi del COVID-19”. Il comma 3 dell’art. 14 del D.L. 9 marzo 2020 n. 14 prevede che “i trattamenti di dati personali di cui ai commi 1 e 2 sono effettuati nel rispetto dei principi di cui all’articolo 5 del citato regolamento (UE) 2016/679, adottando misure appropriate a tutela dei diritti e delle libertà degli interessati”. Quindi nonostante il periodo di grave emergenza sanitaria che il Paese sta vivendo da alcuni mesi, il legislatore ha ribadito, inevitabilmente, la necessità di mantenere ferma la garanzia e la tutela dei dati personali e sanitari dei cittadini risultati poi positivi al Covid-19 seguendo le disposizioni normative a riguardo perché questi diritti riconosciuti, vista l’imponente mole normativa prodotta in questo periodo, continuino ad essere garantiti e rispettati con particolare riferimento agli articoli 5-9-13-14 GDPR. Trattandosi di dati sanitari e quindi di dati sensibili la loro violazione comporta l’irrogazione di una sanzione di maggiore gravità (fino a 20 milioni di euro) per violazione dell’art. 5 e in particolare dell’art. 9 par.1 GDPR. Sarà compito del Garante, attraverso l’attività ispettiva, giungere ad una valutazione complessiva del caso affinché l’eventuale irrogazione di una sanzione sia contemperata alle disposizioni dell’art. 83 GDPR, ma anche all’art. 166 Codice Privacy riformato dal D.Lgs. 101/2018 che prevede che siano soggette alla sanzione amministrativa di cui all’art. 83 par. 4 GDPR le violazioni delle disposizioni di cui agli articoli […] 2 quinqiuesdecies […] rubricato “Trattamento che presenta rischi elevati per l’esecuzione di un compito di interesse pubblico” con un possibile riferimento all’art. 79 Codice Privacy rubricato “Informazioni da parte di strutture pubbliche e private che erogano prestazioni sanitarie e socio sanitarie”.[9] Potrebbe non trattarsi solo dell’irrogazione di sanzioni di carattere pecuniario, poiché l’accessibilità a chiunque, anche con intenzioni fraudolente, a questi dati strettamente personali chiama in causa l’art. 167 Codice Privacy (post riforma del 2018) ove al comma 2 viene evidenziato che “Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, procedendo al trattamento dei dati personali di cui agli articoli 9 e 10 del Regolamento in violazione delle disposizioni di cui agli articoli 2 sexies e 2 octies, o delle misure di garanzia di cui all’articolo 2 septies ovvero operando in violazione delle misure adottate ai sensi dell’articolo 2 quinquiesdecies arreca nocumento all’interessato, è punito con la reclusione da uno a tre anni”.[10] Tuttavia va ribadito che in una recente pronuncia della Corte di Cassazione la sentenza n. 23808/2019 in materia di diffusione di dati sensibili è necessario provare la lesione dell’interesse protetto, motivo per il quale senza tale prova non si configurerebbe il reato di illecito trattamento dei dati personali. Questa è la dimostrazione del labile confine tra diritto e giurisprudenza, tra le norme e la necessità di fornire prove atte a dimostrare una reale lesione di un interesse protetto.

Le sanzioni previste dal Reg. UE 2016/679 in caso di data breach

Il caso oggetto di questa trattazione è il risultato di un data breach, di una violazione a causa di un bug nel sistema della piattaforma “MilanoCor”. Il legislatore comunitario, con l’introduzione del Regolamento UE 2016/679, ha previsto l’irrogazione di sanzioni amministrative pecuniarie nel caso in cui la violazione “è avvenuta con coscienza e volontà (dolo) sia se è avvenuta per colpa lieve o colpa grave”.[11] L’art. 82 GDPR ha introdotto delle novità stabilendo che “il titolare o il responsabile possa essere esonerato dalla responsabilità conseguente al danno cagionato da illecito trattamento ‘se dimostra che l’evento dannoso non gli è in alcun modo imputabile’”. La novità, dal punto di vista legislativo, consiste nell’individuazione di soggetti chiamati a rispondere del danno causato da un illecito trattamento dei dati personali. Il titolare del trattamento è chiamato a risarcire il danno “nei casi in cui sia ‘coinvolto nel trattamento’ e il trattamento è effettuato violando il GDPR. Invece, il responsabile del trattamento, sulla base del paragrafo 2, risponderà “per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento”.[12] L’eventuale esonero da responsabilità del titolare del trattamento e del responsabile del trattamento è possibile soltanto quando sarà accertato che l’evento dannoso (data breach) non è a loro imputabile. Per quanto riguarda i soggetti danneggiati, cioè gli utenti iscritti alla piattaforma “MilanoCor”, una volta accertata la sussistenza di un danno nei loro confronti e le dovute responsabilità, essi hanno diritto ad ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento (art. 82 par. 1 GDPR).[13] Il successivo art. 83 Reg. UE 2016/679, rubricato “Condizioni generali per infliggere sanzioni amministrative pecuniarie”,  rappresenta una novità dal punto di vista normativo poiché vengono previste le condizioni in base alle quali l’Autorità Garante è chiamata ad infliggere le sanzioni per violazione del regolamento del 2016. Nel nostro ordinamento, con l’introduzione del D.Lgs. 101/2018, sono state abrogate le sanzioni che erano previste dal Codice Privacy del 2003 (art. 161 e ss.). Oggi la disciplina dell’art. 166 Codice Privacy (post riforma del 2018) “condensa in sé tutte le previsioni rilevanti in materia di protezione dei dati e sanzioni amministrative pecuniarie-e loro modalità di applicazione-a livello nazionale”.[14] Le sanzioni amministrative pecuniarie vengono irrogate tenendo conto di ogni singola fattispecie di violazione dei dati personali. Per l’irrogazione di una sanzione si deve tenere conto di una serie di elementi previsti dalle lettere a)-k)  paragrafo 2 dell’art. 83 GDPR.[15]

Conclusioni

Si tratta, ancora una volta, di una vicenda grave che ha fatto emergere così “l’impreparazione” da parte delle strutture sanitarie, che oggi sono delle vere e proprie aziende, nel gestire correttamente, nella drammatica emergenza sanitaria che stiamo vivendo, i risultati dei tamponi, e quindi di trattare adeguatamente e nel rispetto della normativa vigente del Reg. UE 2016/679 e del Codice Privacy (successivo alla riforma del D.Lgs. 101/2018) i dati sanitari strettamente personali dei cittadini risultati positivi al virus.  E’ da rilevare la poca attenzione al concetto di ‘diritto alla riservatezza’ riconosciuto ai soggetti interessati, cioè ai cittadini risultati positivi che, in particolare nella Regione Lombardia si sono trovati, e tutt’oggi si trovano, a fare i conti con una forte disorganizzazione (sia a livello centrale che regionale). È proprio in situazioni così delicate che il livello di attenzione deve essere elevato per riconoscere, il più possibile, quelle garanzie e protezioni che la normativa sia comunitaria che nazionale hanno previsto.

Il Professor Sarzana, interpellato sulla questione, evidenzia tutta la gravità della vicenda emersa, ritenendo che l’irrogazione di una sanzione amministrativa pecuniaria potrebbe raggiungere i livelli massimi previsti dalla legge e il Garante, da parte sua, ha avviato l’istruttoria e le indagini del caso e ha affermato che la risoluzione dell’errore non pone ‘al riparo’ dall’irrogazione di una eventuale sanzione.[16]

[1] ATS Milano è acronimo di ‘Agenzia di tutela della salute’ di Milano Città Metropolitana e fa capo alla Regione Lombardia e gestisce il portale oggetto di attenzione da parte del Garante Privacy. Redazione Privacy.it, Privacy dei positivi al Covid-19 in balia di ATS Milano e di Regione Lombardia, 8 novembre 2020, qui disponibile:

[2] Art. 83 GDPR è rubricato “Condizioni generali per infliggere sanzioni amministrative pecuniarie”, qui disponibile: https://www.altalex.com/documents/news/2018/04/12/articolo-83-gdpr-condizioni-generali-per-infliggere-sanzioni-amministrative-pecuniarie

[3] G. Cristofari, F. Sartore, L. Bolognini, Commento sub art. 9 GDPR, in Il Codice della Disciplina Privacy, Giuffrè, 2019, p. 112 ss.

[4] G. Cristofari, F. Sartore, L. Bolognini, op. ult. cit.

[5] E. Pelino, commento sub art. 2 sexies, in Il Codice della Disciplina Privacy, Giuffrè, 2019, p. 117.

[6]Garante per la protezione dei dati personali, Provvedimento n. 55 del 7 marzo 2019, qui disponibile:   https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9091942

[7] Garante Privacy, Provvedimento n. 55 del 7 marzo 2019.

“Al riguardo, si rappresenta che, pur nel rispetto dell’obbligo di comunicare gli elementi di cui agli artt. 13 e 14 del Regolamento, le informazioni da rendere all’interessato vanno rese in forma concisa, trasparente, intelligibile e facilmente accessibile, con linguaggio semplice e chiaro (cfr. art. 12, par. 1, del Regolamento, e art. 78 del Codice). Riguardo alle modalità con cui fornire l’informativa, alla luce del principio di responsabilizzazione di cui all’art. 5 del Regolamento, spetta al titolare scegliere le modalità più appropriate al caso di specie, tenendo conto di tutte le circostanze del trattamento e del contesto in cui viene effettuato (ad esempio, il dispositivo utilizzato, la natura dell’interazione con il titolare e le eventuali limitazioni che implicano tali fattori […]”.

[8] D.L. 9 marzo 2020, n. 14, Qui disponibile: https://www.gazzettaufficiale.it/eli/gu/2020/03/09/62/sg/pdf

[9] Art. 2 quinquiesdecies Codice Privacy successivo alla riforma del D.Lgs. 101/2018: “Con riguardo ai trattamenti svolti per l’esecuzione di un compito di interesse pubblico che possono presentare rischi elevati ai sensi dell’articolo 35 del Regolamento, il Garante può, sulla base di quanto disposto dall’articolo 36, paragrafo 5, del medesimo Regolamento e con provvedimenti di carattere generale adottati d’ufficio, prescrivere misure e accorgimenti a garanzia dell’interessato, che il titolare del trattamento è tenuto ad adottare”.

[10] A riguardo si veda anche R. Panetta, Gdpr, sanzioni e responsabilità: tutto ciò che c’è da sapere, Agenda Digitale, 11 settembre 2018, qui disponibile: https://www.agendadigitale.eu/sicurezza/privacy/gdpr-sanzioni-e-responsabilita-tutto-cio-che-ce-da-sapere/

[11] S. Aterno, commento sub art. 83 GDPR, in GDPR e Normativa Privacy Commentario, a cura di G.M. Riccio, G. Scorza, E. Belisario, IPSOA, 2018, p. 608 ss.

[12] Art. 82 par. 2 Reg. UE 2016/679

[13] Il considerando n. 142 GDPR prevede che “qualora l’interessato ritenga che siano stati violati i diritti di cui gode a norma del presente regolamento, dovrebbe avere il diritto di dare mandato a un organismo, un’organizzazione o un’associazione che non abbiano scopo di lucro, costituiti in conformità del diritto di uno Stato membro, con obiettivi statutari di pubblico interesse, e che siano attivi nel settore della protezione dei dati personali, per proporre reclamo per suo conto ad una autorità di controllo, di esercitare il diritto ad un ricorso giurisdizionale per conto degli interessati se quest’ultimo è previsto dal diritto degli Stati membri”

[14] L. Bolognini, commento sub art. 83 GDPR in Codice della disciplina privacy, Giuffrè, 2019, p. 455 ss.

[15]Art. 83 par. 2 lett. a)-k) Reg. UE 2016/679: “a) la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l’oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito; b) il carattere doloso o colposo della violazione; c) le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati; d) il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32; e) eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento; f) il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi; g) le categorie di dati personali interessate dalla violazione; h) la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione; i) qualora siano stati precedentemente disposti provvedimenti di cui all’articolo 58, paragrafo 2, nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti; j) l’adesione ai codici di condotta approvati ai sensi dell’articolo 40 o ai meccanismi di certificazione approvati ai sensi dell’articolo 42; k) eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione.”

[16] A. Longo, “Privacy violata da Ats per conoscere i positivi”, rischio sanzione da 20 milioni, LaRepubblica Milano, 5 novembre 2020, qui disponibile: https://milano.repubblica.it/cronaca/2020/11/05/news/privacy_violata_da_ats_per_conoscere_i_positivi_rischio_sanzione_da_20_milioni-273184388/:“Come fanno sapere dal Garante, aver risolto l’errore non annulla l’eventuale illecito, che si potrebbe profilare come una grave violazione della privacy: “L’Ats Milano rischia una sanzione di 20 milioni di euro ai sensi dell’articolo 82 del regolamento europeo Gdpr sulla privacy. Anche di più, se – come sembra – dovesse accertarsi una violazione su larga scala”, fa sapere l’avvocato esperto di privacy e digitale Fulvio Sarzana. Non solo: “Se si accerterà anche che qualcuno ne ha ricevuto un danno, ci potrebbero essere ipotesi di reato per i responsabili”.