Politica e Sanità

17 Settembre 2019

---

Furto e smarrimento di telefonini o computer aziendali, virus, malware, incidenti di vario tipo. Come gestire questi eventi quando privacy e dati personali dei pazienti sono a rischio

Furto e smarrimento di telefonini o computer aziendali, virus, malware, incidenti di vario tipo. Sono situazioni che possono capitare, ma possono anche determinare un potenziale rischio per i dati personali eventualmente contenuti o veicolati attraverso questi dispositivi. In che modo vanno gestiti tali eventi? Quali sono i passaggi richiesti da mettere in campo per tutelare al massimo la sicurezza dei cittadini? Sul tema, come si ricorderà, a fine luglio, il Garante della Privacy ha emanato un Provvedimento relativo alla notifica delle violazioni dei dati personali (data breach) e proprio ieri dalla Fofi sono stati diffusi chiarimenti, in una circolare, per declinare le indicazioni sulla realtà della farmacia.

I casi in cui i dati possono essere soggetti a violazione

Per il Garante, come si legge nel documento, la violazione dei dati personali o data breach è «una violazione di sicurezza che comporta - accidentalmente o in modo illecito - la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati». D'altra parte, «una violazione dei dati personali può compromettere la riservatezza, l'integrità o la disponibilità di dati personali» e per questo tali eventi vanno gestiti in modo da garantire la massima tutela possibile al cittadino. Ma esattamente, quando si può parlare di violazione dei dati? Dal Garante vengono proposti alcuni esempi: - l'accesso o l'acquisizione dei dati da parte di terzi non autorizzati; - il furto o la perdita di dispositivi informatici contenenti dati personali (che possono essere "computer portatili, telefonini aziendali"); - la deliberata alterazione di dati personali; - l'impossibilitaÌ di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.; - la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamitaÌ; - la divulgazione non autorizzata dei dati personali.

I passaggi da fare

Che cosa fare, allora, se capita una di queste situazioni? «In caso di violazione dei dati personali» ricapitola la circolare della Fofi di chiarimento «il titolare del trattamento (quindi, anche gli Ordini provinciali e i titolari di farmacie e parafarmacie) eÌ tenuto a notificare tale evento al Garante, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne eÌ venuto a conoscenza» - in caso di invio oltre il termine, le notifiche devono essere accompagnate dai motivi del ritardo. La notifica è dovuta «a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertaÌ delle persone fisiche». In ogni caso, scrive ancora il Garante, «il responsabile del trattamento che viene a conoscenza di una eventuale violazione eÌ tenuto a informare tempestivamente il titolare in modo che possa attivarsi». Inoltre, «se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l'impatto. Infine, il titolare del trattamento, a prescindere dalla notifica al Garante, documenta tutte le violazioni dei dati personali, ad esempio predisponendo un registro. Tale documentazione consente all'Autorità di effettuare eventuali verifiche sul rispetto della normativa».

Per quali violazioni fare la notifica?

Vanno «notificate unicamente le violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali. Ciò può includere, per esempio, la perdita del controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d'identità o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione e qualsiasi altro significativo svantaggio economico o sociale».

Quali informazioni occorre indicare?

Sul punto, il Garante si è espresso all'interno del provvedimento di luglio, con il quale è stato messo a disposizione un documento dedicato, e, come ricapitolato dalla Fofi, «la notifica deve almeno: a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione; b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni; c) descrivere le probabili conseguenze della violazione dei dati personali; d) descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi».

Misure correttive e sanzioni

L'Autorità «può prescrivere misure correttive nel caso sia rilevata una violazione delle disposizioni del Regolamento stesso, anche per quanto riguarda l'adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione. Sono previste sanzioni pecuniarie che possono arrivare fino a 10 milioni di euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale».

Francesca Giani

Approfondimenti

Privacy e sanzioni, in scadenza finestra di tolleranza del Garante. Dal 20 maggio al via le ispezioni
Garante Privacy avvia ispezioni: dati sanitari Asl e carte fedeltà tra i sorvegliati speciali