L’emergenza sanitaria non giustifica iniziative adottate ed organizzate in modo approssimativo. È questo che emerge in modo chiaro dal provvedimento del Garante Privacy con cui ATS Milano è stata sanzionata per 80.000,00 euro in ragione di una serie di mancanze riconducibili al servizio COR Milano.
Dati dei positivi al virus esposti a tutti, Garante Privacy apre prima istruttoria
Le falle nei sistemi Milano COR
Andiamo per ordine. Era l’inizio di novembre 2020 quando molti evidenziarono una serie di falle nei sistemi Milano COR e nel sistema Tampone in un Click spingendo Privacy Network a depositare una segnalazione formale al Garante Privacy.
I problemi di tali servizi del resto erano molteplici: dalla mancanza di un’informativa chiara, alla assenza di una DPIA. Dalla eccessiva facilità di accessi abusivi, alla possibilità di sapere se una persona terza aveva o meno contratto il virus inserendo il semplice codice fiscale, e così via.
Proprio per questo l’Autorità di Controllo presieduta da Pasquale Stanzione ha deciso di avviare un’indagine contestando ad ATS Milano tutto quanto segnalato.
Dal canto sul l’Agenzia di Tutela della Salute si è difesa precisando come, di fatto, il tutto fosse conseguenza della situazione di estrema urgenza e della necessità di reperire e fornire informazioni in modo tempestivo a tutti i cittadini.
La pandemia non giustifica la negligenza della PA
Si tratta tuttavia, come vedremo, di una argomentazione che non regge in quanto, come ribadito in diverse occasioni, il diritto alla salute trova un limite negli altri diritti costituzionali. È quindi sempre necessario un bilanciamento. Per dirla meglio, è da ritenere del tutto condivisibile l’idea di ATS Milano, ma la mancanza di un’informativa e la mancanza di una DPIA non sono certo figlie dell’urgenza quanto piuttosto figlie dell’incuranza. A parere di chi scrive ci troviamo difatti dinnanzi all’ennesimo caso in cui una buona idea viene realizzata in modo pessimo e, quando qualcuno lo fa notare, si dà la colpa “alla privacy”, nuovo capro espiatorio di ogni male. La verità come emerge dalla decisione in esame, è che semplicemente si chiede di fare le cose per bene. La pandemia non giustifica la negligenza della PA.
Tutti contro la privacy, che assurdità: la politica non capisce cosa c’è in ballo con i nostri dati
A poco vale quindi il riferimento allo stato d’urgenza come, del resto, non dissuade nemmeno il riferimento, portato dalla difesa di ATS, all’art 17-bis, comma 5, del d.l. 17 marzo 2020, n. 18, il quale prevede che le strutture pubbliche e private del Servizio Sanitario Nazionale “possono omettere l’informativa di cui all’articolo 13 del medesimo regolamento o fornire un’informativa semplificata, previa comunicazione orale agli interessati dalla limitazione”.
Tale previsione, difatti, come evidenzia il Garante, non risulta applicabile al caso de quo. La ratio di tale norma è che, in caso di estrema urgenza, il personale medico (nelle strutture sanitarie) possa procedere con il trattamento di dati (e relativo trattamento sanitario) senza dover fornire informativa. Insomma, è qui che la legge si dimostra in tutto il suo equilibrio. È qui che il bilanciamento avviene in modo corretto. Se le persone rischiano la vita non serve l’informativa. Ma questo non deve essere letto come un “via libera” a chiunque operi nel campo della salute, come vorrebbe ATS. Il sistema di ATS, difatti, entra in gioco in un momento di minore urgenza, in cui alle persone è possibile fornire comodamente ogni necessaria informazione.
In tal senso, il garante precisa che “le disposizioni d’urgenza adottate nel corso degli ultimi mesi prevedono degli interventi emergenziali che implicano il trattamento dei dati e che sono frutto di un delicato bilanciamento tra le esigenze di sanità pubblica e quelle relative alla protezione dei dati personali, in conformità a quanto dettato dal Regolamento per il perseguimento di motivi di interesse pubblico nei settori della sanità pubblica (cfr. art. 9, par. 1, lett. i)).
Resta tuttavia fermo che il trattamento dei dati personali connesso alla gestione della predetta emergenza sanitaria deve svolgersi nel rispetto della disciplina vigente in materia di protezione dei dati personali e, in particolare, dei principi applicabili al trattamento, di cui agli artt. 5 e 25, par. 2, del Regolamento, in parte sopra richiamati”.
Insomma, la normativa emergenziale non ha in alcun modo derogato le disposizioni in materia di protezione dei dati personali relative alla sicurezza del trattamento (art. 32 del Regolamento) e alla valutazione di impatto sulla protezione dei dati (art. 35 del Regolamento).
Le mancanze di ATS
Peraltro, dalle indagini è emerso che ATS, anche qualora si ritenesse applicabile il citato articolo 17 bis, non ha comunque comunicato agli interessati l’intenzione di avvalersi della possibilità offerta da tale norma.
Osserva difatti l’Autorità che “il modello denominato “Informativa sul trattamento dei dati personali di ATS Milano nel portale Milano Cor” redatto dall’Agenzia ai sensi degli artt. 13 e 14 del Regolamento, in uso sino al mese di dicembre 2020, non risulta conforme a quanto richiesto dalla disciplina in materia di protezione dei dati personali. In particolare, contrariamente a quanto sostenuto dall’Agenzia, il titolare del trattamento deve indicare, tra le informazioni da rendere all’interessato, anche “la base giuridica del trattamento” (art. 13, par. 1, lett. c), del Regolamento). Il testo del modello di informativa in atti non forniva inoltre indicazioni puntuali in merito allo specifico trattamento effettuato e alle finalità perseguite (artt. 9 e 13 del Regolamento e artt. 2-sexies, 77 e ss. del Codice)”.
È quindi evidente che il principio di trasparenza non sia stato rispettato a dovere.
Ma non basta, con riferimento alla Valutazione d’Impatto, effettuata da ATS solo dopo il 9 novembre 2020, quando ormai le criticità erano già state da più parti evidenziate, il provvedimento evidenzia che diversamente da quanto ritenuto da ATS, la situazione in esame rientra a pieno titolo tra quelle per cui è richiesto dal GDPR tale adempimento (art. 35 del Regolamento). Ed in effetti, nel caso del servizio COR Milano, ricorrono certamente due dei criteri indicati dal EDPB nelle linee guida sulla DPIA per individuare i casi in cui un trattamento debba formare oggetto di una valutazione di impatto. In particolare, il Garante fa riferimento ai seguenti criteri: trattamento di “dati sensibili o aventi carattere altamente personale” e di “dati relativi ad interessati vulnerabili” tra i quali si annoverano i malati. Come noto, per risultare necessaria la DPIA è sufficiente il ricorrere di due condizioni mentre, peraltro, qui ne ricorrerebbero addirittura tre in quanto il trattamento è sicuramente eseguito su larga scala considerato che, secondo quanto dichiarato dall’Agenzia, l’adesione al servizio è stata “massiva” e ha riguardato in sole due settimane migliaia di interessati (cfr. richiamate Linee guida, III, lett. B, punto 5).
Peraltro, il provvedimento evidenzia anche come, in base all’art. 35, la DPIA dovrebbe precedere l’inizio del trattamento circostanza, anch’essa, non soddisfatta, essendo tale valutazione successiva addirittura alla sospensione del servizio per via delle lamentele dei vari esperti privacy italiani.
Ora, in molti si chiederanno, perché fare tutto questo rumore per nulla?
Conclusioni
Perché rallentare la lotta al covid per via di una norma burocratica?
La verità è che in primis, se le cose fossero state fatte bene sin dall’origine, non ci sarebbe stato alcun rallentamento e in secundis, si chiede di avere una maggiore attenzione ai dati personali per evitare che gli stessi finiscano nelle mani sbagliate.
Già, perché è da evidenziare come sia proprio ATS a precisare come, in realtà, le preoccupazioni manifestate, non sono del tutto infondate (non lo sono affatto in realtà) e ciò in quanto si sarebbe in effetti verificato un massivo accesso anomalo al database di COR Milano.
Afferma la difesa di ATS: “In relazione al caso in analisi, durante le consuete operazioni di monitoraggio del sistema e di analisi dei log dell’applicativo, è stato rilevato un numero di accessi elevato (circa 47000) provenienti dal medesimo utente ed indirizzo IP: tale evento si è verificato indicativamente tra le ore 8.00 e le 14:50 del giorno 2 novembre 2020. Di conseguenza è stata avviata l’analisi tecnica che ha portato a identificare l’IP attaccante e a procedere alla segnalazione al Network Provider Fastweb alle ore 18:45 del 2 novembre stesso per i provvedimenti del caso. Come da mail allegata, Fastweb si è attivata per le verifiche di rispettiva competenza”;
− “Rispetto a tale evento, ATS sta perfezionando la presentazione di denuncia alla Procura della Repubblica. Tale massiccio tentativo di accesso proveniva dallo stesso indirizzo IP ed era relativo allo stesso utente già registrato sul portale. Le informazioni riportate nel portale erano solo ed esclusivamente riferite al soggetto stesso e non ad altri soggetti ad esso correlate, peraltro, il soggetto specifico non aveva compilato né il questionario relativo ai sintomi, né aveva riportato eventuali informazioni riferite ai conviventi. Inoltre i dati contenuti nel portale sono soltanto quelli auto-inseriti dagli utenti. L’analisi dei log non ha evidenziato anomalie che hanno necessitato ulteriori approfondimenti. Pertanto, si è valutato che non si trattava di un Data Breach”.
Desta non poche perplessità quanto affermato dalla difesa dell’Agenzia, supportando tuttavia la tesi di chi ritiene molto pericoloso questo sistema.
Insomma, un solo IP ha effettuato 47.000 accessi in meno di 8 ore. Perché lo ha fatto? Che dati sono stati visti? Vi è stata estrazione? Su questi aspetti ATS sfuma parecchio ma, vista la perizia con cui è stato curato l’intero sistema, parrebbe a parere di chi scrive quantomeno il caso di indagare.
la sanzione di € 80.000,00 del resto, pur essendo di importo non trascurabile, forse non scoraggerà da ulteriori atti di negligenza, specie se, come spesso capita, ci si limiterà ad “addebitare sul conto dei cittadini” le condotte manchevoli dei nostri amministratori.
A tal riguardo, difatti, occorre ricordare che, come evidenziato anche dalla Corte dei Conti del Lazio, in caso di sanzione privacy, pur essendo la stessa a carico dell’ente pubblico, sarà possibile, anzi, necessario, agire contro l’effettivo responsabile del danno al fine di ottenere il ristoro del danno erariale causato.
Insomma, questi € 80.000, non li devono pagare i cittadini ma gli effettivi responsabili di questo abominio. Solo mantenendo questa linea possiamo del resto sperare in una maggiore attenzione verso gli interessati, anche in periodo di covid.
