I controlli del Garante sulle fughe di dati dei positivi al Covid-19: privacy a rischio!

ict privacy

L’attuale periodo storico ha fatto emergere come scenari, che prima sarebbero risultati assurdi, possano diventare, all’incorrere di determinate circostanze, una nuova quotidianità. È ciò che sta succedendo per l’emergenza Covid-19, che ha reso sempre più frequente la possibilità, per un numero elevatissimo di soggetti, di doversi sottoporre a trattamenti sanitari quali tamponi, test sierologici e altre analisi. Queste circostanze, che ormai sono diventate familiari a tutti noi, assumono connotati ancor più importanti se si tratta il problema da una prospettiva diversa, quella della privacy.

Infatti, cosa succederebbe se l’enorme quantità di dati raccolti in occasione di queste attività sfuggisse al controllo dei soggetti interessati e diventasse di pubblico dominio?

Quella che è qui formulata come ipotesi rappresenta la realtà di alcune piattaforme create per la comunicazione della positività al virus Covid-19, diventate negli ultimi giorni oggetto di forti critiche nonché di indagini da parte dell’Autorità Garante per la protezione dei dati personali.

Il caso di “Milano Cor”: quanto è facile conoscere la positività di un soggetto

Una prova di quanto meccanismi di questo tipo possano compromettere in maniera incisiva e permanente la privacy di un determinato soggetto è stata data dalla vicenda che ha visto coinvolto il portale Milano Cor, creato dall’Agenzia della tutela della salute milanese (ATS).

Il sistema, pensato in un’ottica di semplificazione e facile fruizione da parte dei cittadini, si è rivelato, al contrario, uno strumento che avrebbe potuto permettere, in possesso di poche informazioni, di violare irrimediabilmente la privacy dei soggetti presenti sul portale. Sarebbe bastato, infatti, essere a conoscenza di un numero di cellulare e di un codice fiscale per accedere tranquillamente al portale e desumere, in maniera molto intuitiva, la positività di un soggetto.

La criticità del sistema si è rivelata nella possibilità di inserire un qualsiasi numero di cellulare, appartenente a chiunque, per sapere se è presente o meno un account del titolare di quel numero sulla piattaforma: un’operazione per cui non serve assolutamente essere un hacker informatico esperto! Qui risiede l’enorme falla nel sistema: in sostanza, basterebbe essere in possesso di numero di cellulare e codice fiscale per sapere se qualcuno è registrato sulla piattaforma in questione.

Indagine del Garante privacy

L’istruttoria del Garante privacy muove i primi passi da alcune segnalazioni e reclami ricevute da utenti e associazioni. Il meccanismo utilizzato per l’acceso ai dati sulla positività, infatti, non sembrerebbe rispettare i requisiti che dovrebbero sottendere alla tutela e alla protezione di informazioni delicate quali i dati sanitari di un soggetto.

L’ATS ha adottato presto alcuni rimedi, innanzitutto creando una procedura di accesso basata sul possesso di credenziali personali, ma, nel frattempo, i soggetti il cui diritto alla riservatezza di tali informazioni è stato potenzialmente leso sono circa 3400, ovvero tutti i soggetti risultati positivi al Covud-19, i cui dati erano stati caricati piattaforma.  Nonostante le modifiche introdotte dall’ATS, quindi, resta il fatto che per un lasso di tempo considerevole il sistema avrebbe esposto ad un grave rischio di violazione della privacy un numero cospicuo di soggetti, circostanza per la quale il Garante non ha potuto esimersi dall’avviare un’istruttoria.

Il caso “Tampone in un click”

Analoga vicenda ha interessato la piattaforma della Regione Lombardia “Tampone in un click”, anch’essa venuta all’attenzione del Garante Privacy, questa volta grazie all’esposto di un’associazione che si occupa di tutela della privacy.

In questo caso, per effettuare l’accesso al servizio contenuto in una sezione del Fascicolo Sanitario Elettronico, e conseguentemente venire a conoscenza di un’eventuale positività al virus, sono necessarie tre informazioni: ancora codice fiscale e numero di cellulare, con l’aggiunta delle ultime cifre della tessera sanitaria. Anche a questa piattaforma, quindi, è stata contestata non solo la mancanza di una procedura di autenticazione a due fattori (strong authentication), ma anche l’assenza di sistemi che verifichino che i dati inseriti appartengano effettivamente a chi effettua l’accesso.

Anche in questo caso l’Autorità Garante ha aperto un’istruttoria, per analizzare le precise dinamiche del caso e valutare eventuali responsabilità in relazione al livello di tutela concretamente garantito dal sistema ai soggetti coinvolti.

Dati sanitari: cosa sono e quali tutele prevede il legislatore

La potenziale gravità di queste vicende sotto il profilo della violazione della privacy dei soggetti coinvolti risiede nella tutela non adeguata rispetto a una categoria di dati personali che, più di altre, può comportare pregiudizi e possibili effetti negativi, qualora sfuggisse alla sfera di controllo del soggetto a cui si riferisce. Quelli trattati nelle ipotesi sopra analizzate, infatti, sono dati sanitari, definiti ai sensi dell’articolo 4 GDPR come “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute”, definizione ulteriormente ampliata nel Considerando 35 del GDPR, dove viene precisato che sono considerabili tali anche “le informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica, compresi i dati genetici e i campioni biologici; e qualsiasi informazione riguardante, ad esempio, una malattia, una disabilità, il rischio di malattie, l’anamnesi medica, i trattamenti clinici o lo stato fisiologico o biomedico dell’interessato, indipendentemente dalla fonte, quale, ad esempio, un medico o altro operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro”.

Questa tipologia di dati viene ricompresa nella categoria dei dati particolari dall’articolo 9 GDPR, trattandosi di informazioni in grado di rivelare aspetti molto personali del soggetto, così come l’origine razziale e le opinioni politiche.

Data la particolare valenza di questi dati, il legislatore, sia europeo, che nazionale, ha predisposto in primis una sorta di divieto generale al trattamento di questi dati, seguito però, ovviamente, da una serie di eccezioni, rappresentate dalla manifestazione del consenso dell’interessato, dalla sussistenza di un pubblico interesse, dalla necessità di tutelare un interesse vitale, nonché per finalità di medicina preventiva, del lavoro e altri trattamenti sanitari.

L’impianto di tutele predisposto per la protezione di questa tipologia di dati si fonda su specifiche ragioni e, soprattutto, sulle possibili conseguenze negative per il soggetto interessato in caso di loro violazione. Si pensi, ad esempio, ai rischi di:

  • esposizione dei dati in questione alla conoscenza di soggetti terzi, non autorizzati, che potrebbero utilizzare in mala fede i dati acquisiti;
  • possibili risvolti negativi sul piano reputazionale, sia nella sfera privata che in quella professionale;
  • possibile esposizione ad attacchi mirati, volti all’acquisizione e all’utilizzo di questi dati per varie forme di ricatto, truffa o sostituzione di persona, tutte fattispecie perseguibili penalmente.

L’accertamento di una violazione di questi livelli di tutela fa quindi scaturire conseguenze importanti sul piano della responsabilità e conseguentemente su quello sanzionatorio: il GDPR sul punto prevede, all’articolo 83, sanzioni amministrative pecuniarie fino a 20 milioni di euro, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Cosa auspicare…

Alla luce delle vicende menzionate e vista l’importanza di garantire un livello di tutela elevato per la categoria dei dati sanitari, è auspicabile una maggiore attenzione da parte delle istituzioni e degli organi preposti alla sicurezza di tali informazioni. È chiaro, infatti, che, fermo restando il legittimo trattamento da parte delle Autorità dei dati sanitari di soggetti sottoposti a determinati trattamenti sanitari, resta comunque l’obbligo di garantire sicurezza e protezione in tutte le fasi del trattamento, in particolare nel momento della loro comunicazione. Eventuali leggerezze, moltiplicate per l’alto numero dei soggetti coinvolti e l’ingente quantità di dati personali che possono risultare coinvolti, possono infatti determinare gravi violazioni, che saranno valutate, ed eventualmente anche pesantemente sanzionate, dall’Autorità Garante.

Redazione Diritto dell’Informatica

FocusNewsPrivacy e sicurezza Informatica
novembre 13, 2020
Garante dati sanitariMilano Cor istruttoria Garanteprivacyrischi privacy dati CovidTampone in un click istruttoria Garante
logo fclex nero

Scopri anche

intelligenza artificiale settimana lavorativa

Rivoluzione Lavorativa: Intelligenza Artificiale e Settimana da 4 Giorni – Implicazioni Giuridiche

28 Mar
Leggi tutto
linee guida agcom influencer

Nuove Linee guida AGCOM per Influencer e Content Creator: Criticità, multe e sfide nel Contesto Giuridico

17 Gen
Leggi tutto
ecommerce sanzioni direttiva omnibus 2023 omnibus

Nuovi obblighi per gli eCommerce: maggiori responsabilità per le imprese e tutele per i consumatori

14 Apr
Leggi tutto
recesso contratto clausola ecommerce limite

Diritto di recesso dal contratto: limiti e clausola di recesso

6 Apr
Leggi tutto
COME REGISTRARE MARCHIO

Come registrare un marchio? Le 5 domande più frequenti

29 Mar
Leggi tutto
guadagnare con marchio e licenza

Licensing e modelli di Business: 5 licenze per monetizzare il tuo marchio

18 Gen
Leggi tutto

Ultimi aggiornamenti

password garante

Linee guida del Garante Privacy in materia di Funzioni Crittografiche e Conservazione delle Password

Con il provvedimento n. 9962283 del 7 dicembre 2023, il Garante per la Protezione dei Dati Personali e l’Agenzia per la cybersicurezza nazionale (ACN) hanno emanato alcune Linee Guida in materia “Funzioni Crittografiche e Conservazione delle Password”. Successivamente, con un comunicato del 1° marzo 2024, il […]
aprile 4, 2024
Leggi tutto
intelligenza artificiale settimana lavorativa

Rivoluzione Lavorativa: Intelligenza Artificiale e Settimana da 4 Giorni – Implicazioni Giuridiche

Avv. Giuseppe Croari – Dott.ssa Francesca Gattarello Ad oggi sono notoriamente risaputi i vantaggi che l’intelligenza artificiale ha apportato anche nel mondo del lavoro (a tal proposito vi segnaliamo questo articolo). A ciò si aggiunga la maggiore consapevolezza che la società ha acquisito, negli ultimi anni, […]
marzo 28, 2024
Leggi tutto
contratto vendere webinar

Il Contratto come strumento per vendere di più

Hai mai pensato al tuo contratto come a un’arma segreta per il successo? Probabilmente no. La maggior parte delle persone considera il contratto come un ostacolo burocratico, un documento noioso e pieno di “legalese” incomprensibile. Ma se ti dicessi che il tuo contratto può essere molto […]
marzo 15, 2024
Leggi tutto

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.

scopri altri video

Dirittodellinformatica.it è rivista telematica registrata il 08.04.2008 presso il Tribunale di Foggia (n. 10/08 registro periodici, cron. n. 816/08). Proprietari del sito: Gianluigi Fioriglio e Giuseppe Croari. Direttore responsabile: Gerardo Antonio Cavaliere. P.I. Studio Legale Associato Fioriglio-Croari: 02863681207.

Il contenuto del sito è sottoposto a licenza Creative Commons (Attribuzione-Non commerciale-Non opere derivate 3.0 Unported). E' possibile riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire e recitare il contenuto del sito purché sia attribuita esplicitamente la paternità di ogni sua singola parte; non sono consentiti utilizzi per fini commerciali, nè alterazioni o trasformazioni del contenuto del sito.

© 2024 dirittodellinformatica.it