gdpr

Dati personali: come proteggere la privacy negli archivi digitali e cartacei



Indirizzo copiato

Il Garante Privacy ha emesso un’ordinanza contro una PA per la mancata osservanza dei principi di limitazione della conservazione e di integrità e riservatezza dei dati personali, secondo il GDPR. La violazione è emersa da documenti sanitari abbandonati, sollevando questioni sulla sicurezza e corretta gestione dei dati personali

Pubblicato il 7 mar 2024

Rossella Mele

Esperta Privacy

Filomena Polito

Responsabile Protezione Dati in ambito sanitario – Valutatore Privacy



Data,Protection,Is,A,Concept,In,Cybersecurity,And,Privacy,Technologies.

L’Autorità Garante per la Protezione dei Dati Personali ha recentemente emesso il provvedimento 424/2023, un atto che segna un punto di svolta nel panorama della privacy e del trattamento dei dati personali. Questo provvedimento, che ha messo in luce una serie di violazioni dei principi fondamentali del GDPR, mette in evidenza l’importanza delle policy e degli strumenti di accountability nella gestione dei dati personali.

Al centro dell’attenzione è l’attività istruttoria del Garante, che si è impegnato in un’analisi approfondita delle violazioni rilevate. Questa situazione pone importanti questioni per i titolari del trattamento, i quali devono ora fare i conti con le implicazioni future derivanti da questo importante provvedimento.

Il provvedimento 424/2023 dell’Autorità Garante Privacy

Il Provvedimento di fine settembre 2023 coinvolge una pubblica amministrazione per il mancato rispetto di taluni principi essenziali del trattamento di dati personali, in particolare di quello di limitazione della conservazione di cui alla lettera e) e di integrità e riservatezza di cui alla lettera f) del paragrafo 1 dell’articolo 5 del Regolamento UE 2016/679 (Regolamento o GDPR).

Come indicato dal punto 2 del paragrafo 1 dell’articolo 4 del Regolamento anche la mera conservazione di dati personali costituisce, come noto, attività di trattamento che il Titolare del trattamento deve svolgere osservando le apposite disposizioni di legge, in particolare quelle dell’articolo 32 del GDPR, che dispone che sia il Titolare che il Responsabile del trattamento sono tenuti ad adottare misure di sicurezza tecniche e organizzative capaci di proteggere i dati, anche quando, come nel caso esaminato dall’Autorità, questi siano riportati su supporti analogici.

Le suindicate misure devono essere adeguate al rischio che possa derivare ai dati conservati, tenendo conto in special modo di quello che ne possa causare la distruzione, perdita, modifica, divulgazione o accesso non autorizzato, in modo accidentale o illegale, specie nel caso in cui le informazioni siano di carattere personale, particolare o relative alla salute.

La violazione dei principi del GDPR

Il Provvedimento succitato prende origine da una segnalazione ricevuta dall’Autorità, in cui è stata lamentata una violazione della disciplina in materia di protezione dei dati personali in relazione alla presenza:

  • nei locali di una struttura in uso ad un’Azienda sanitaria (di seguito Azienda), di documentazione sanitaria (es. ricette, cartelle cliniche e radiografie);
  • sulla rete Internet di filmati dai quali si evinceva che tali  documenti sanitari (es. ricette, cartelle cliniche e radiografie) erano in stato di abbandono e accessibili a chiunque.

Un’analoga segnalazione era già stata presentata al Garante negli anni precedenti e l’Autorità, dopo aver aperto un apposito procedimento istruttorio ne aveva disposto la chiusura in quanto, sulla base di quanto dichiarato in atti dal Titolare, sui fatti oggetto di istruttoria era stata presentata querela agli organi competenti ed era stato disposto il ritiro della predetta documentazione, afferente ad episodi clinici occorsi oltre 20 anni prima.

L’attività istruttoria del Garante

Il Garante, alla luce della documentazione video acquisita, ha avviato una specifica istruttoria preliminare per conoscere ogni utile elemento di valutazione, con particolare riferimento all’attualità della perdurante presenza di documentazione sanitaria in stato di abbandono nei predetti locali dell’immobile e se questa fosse ancora quella su cui l’Autorità aveva già aperto la precedente istruttoria, ipotesi poi confermata dal Titolare.

La documentazione incustodita ed in stato di abbandono è risultata non essere strutturata in un apposito archivio né organizzata, ma, presumibilmente, corrispondente ad una copia di quella che ha alimentato, per il tempo di conservazione stabilito dalla legge, gli archivi aziendali, sulla quale erano riportati dati personali relativi allo stato di salute degli interessati riguardanti prestazioni sanitarie.

Tale stato di fatto era fra l’altro constatabile, come indicato nella segnalazione, accedendo ad una pagina web “https://…”, dalla quale era possibile visualizzare un video denominato “XX” (pubblicato in data XX all’interno del canale YouTube denominato “XX” (XX) e che accedendo alla pagina web “https://…” era possibile visionare un ulteriore video denominato “XX” (pubblicato in data XX all’interno del citato canale YouTube denominato “XX” (XX), che sono stati acquisiti agli atti in formato elettronico.

La documentazione oggetto di segnalazione era composta da copie di documenti non perfettamente leggibili per i quali, fra l’altro, non era previsto l’obbligo di conservazione perenne come, ad esempio, invece previsto per la cartella clinica.

La difesa dell’Azienda

Con le note del XX e del XX la predetta Azienda ha rappresentato, in particolare, che: “la struttura, pur non utilizzata, non è in stato di abbandono, come troppo leggermente descritto da coloro che si introducono nell’edificio, in modo assolutamente non autorizzato né autorizzabile, (nei confronti dei quali, in passato, sono state sporte denunce/querele/diffide all’Autorità Competente (…)) considerati i rischi per l’incolumità fisica per chiunque si avvicini alla suddetta struttura”;

“La documentazione presentata nel video indicato dall’Autorità è posta in aree non accessibili né raggiungibili in sicurezza, in gran parte trattasi di documenti cartacei senza evidenze rispetto a dati personali. Le informazioni eventualmente leggibili non permettono di identificare direttamente gli interessati, oltre a risultare ovviamente non più attuali con potenziali impatti sugli interessati assolutamente modesti”.

Le responsabilità del titolare del trattamento

Come noto, il titolare del trattamento, facendo seguito al Considerando 39 al Regolamento, deve assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario procedendo, laddove non vi sia una specifica disposizione normativa che li determini e nel rispetto dei principi di legge, a individuare un termine di conservazione congruo per il raggiungimento delle finalità legittimamente perseguite. Inoltre è opportuno che il titolare nel trattare i dati personali garantisca un’adeguata sicurezza e riservatezza, anche al fine di impedirne l’accesso o l’utilizzo dei dati personali a soggetti non autorizzati e delle attrezzature impiegate per il trattamento.
Tale termine, che deve essere inoltre indicato sia nelle informazioni da rendere all’interessato ai sensi dell’art. 13 del Regolamento che nel Registro delle attività di trattamento individuato dal successivo articolo  30, deve tener conto della specifica disciplina di settore, e nel caso di specie, quindi anche della disciplina sulla conservazione della documentazione sanitaria.
I documenti oggetto delle riprese video  quindi avrebbero dovuto essere conservati per un periodo di tempo già decorso ed essere già smaltiti.
La necessità del loro smaltimento, fra l’altro, era indicata anche da quanto previsto dal Regolamento sulla conservazione della documentazione “c.d. Massimario di scarto” del quale si era dotato il titolare, nel cui ambito è riportato il documento “Selezione e scarto di documenti nelle aziende sanitarie”, che indica modalità e procedure di scarto per l’eliminazione definitiva dei documenti aziendali.

Le violazioni specifiche riscontrate

Alla luce di tali elementi il Garante ha quindi contestato al Titolare, viste le non corrette modalità di conservazione della documentazione sanitaria ritrovata nei locali della struttura, la violazione, a causa della propria reiterata condotta omissiva ritenuta di particolare gravità, dei seguenti articoli del Regolamento:
-5, paragrafo 1, lettere a) (principio di liceità, correttezza e trasparenza), e) (principio di limitazione della conservazione), ed f), (principio di integrità e riservatezza);
-32, per l’omessa adozione di misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.

Le conclusioni dell’Autorità Garante Privacy

Il Provvedimento adottato dall’Autorità, ad una attenta lettura, offre spunti più che interessanti per i titolari del trattamento per l’adozione di policy ed altri strumenti di accountability finalizzati ad evitare possibili violazioni di dati personali analoghe a quella oggetto di segnalazione e essere in grado di comprovare il rispetto dei principi previsti dall’articolo 5 del Regolamento.

Ciò, in particolare relativamente ad archivi in cui sono presenti documenti analogici risalenti ad un lungo periodo di tempo, ed anche quando i documenti conservati non siano quelli originali, confluiti nell’archivio storico o di deposito ( o nel caso di titolari del trattamento aziende sanitarie, nelle cartelle cliniche), ma mere loro copie, che, in base al rispetto del principio di minimizzazione di cui alla lettera c) del primo paragrafo dell’articolo 5 del Regolamento, non avrebbero dovuto essere stati prodotti.

Il titolare infatti, anche avvalendosi delle strutture interne a ciò deputate o di fornitori di servizi di conservazione archivistica e del supporto del Responsabile della Protezione Dati, qualora mantenga documentazione analogica sarebbe tenuto a verificarne periodicamente , al fine di procedere al periodico scarto di archivio, sia la corretta conservazione che la relativa limitazione al periodo minimo necessario, provvedendo poi a indicarlo nelle informazioni elaborate ai sensi degli articoli 13 e 14 del Regolamento.

Infine è opportuno rappresentare che il titolare al fine di poter dimostrare il rispetto del principio di limitazione della conservazione, della limitazione delle finalità, integrità e riservatezza dovrebbe avviare periodicamente delle verifiche circa la possibile presenza di documentazione in stato di abbandono o non presidiata che riporti dati personali e in particolare appartenenti a categorie particolari nei propri locali, così da adeguare il trattamento alla normativa vigente, anche attraverso istruzioni documentate ai propri  operatori in merito alla necessità di non mantenere copie, anche parziali, di documentazione già conferita all’archivio aziendale.

La necessità di garantire compliance, correttezza e trasparenza

Per garantire compliance, correttezza e trasparenza, è necessario comunque ricordare che i limiti ed i parametri della “data retention” adottata vanno sempre riportati dal Titolare sul Registro delle attività di trattamento, nel quale sarebbe molto utile anche annotare la data di effettiva distruzione dei dati, al fine di delimitare le responsabilità del Titolare.

In questo modo lo stesso potrebbe rendere evidente l’effettivo relativo termine dell’attività di conservazione di dati, modalità di trattamento che deve essere oggetto di costante controllo al fine di non ledere i diritti degli interessati.

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 4