Dati sanitari di minori inviati via email a più soggetti, il Garante non sanziona l’errore del dipendente
I provvedimenti del Garante offrivano in passato (e ancor più oggi) importanti spunti di riflessione e orientamenti pratici per comprendere percorsi argomentativi e motivazionali e, soprattutto – quel che più interessa gli operatori – le scelte relative all’applicazione delle sanzioni e alla quantificazione delle medesime.
Tra i provvedimenti più recenti, ne abbiamo selezionato uno che merita, a nostro avviso, alcune riflessioni dalle quali trarre rilevanti spunti operativi.
Si tratta della decisione del 9 gennaio scorso con la quale il Garante si è pronunciato in tema di violazione di dati personali (cosiddetta data breach) relativi alla salute dei minori.
Il caso riguarda l’invio di un'email in modalità “copia conoscenza” da parte di una dipendente della Provincia Autonoma di Trento agli indirizzi di posta elettronica di sedici genitori al fine di informarli che, in vista dell’inizio dell’anno scolastico, avrebbero dovuto adempiere all’obbligo di vaccinazione dei rispettivi figli ai sensi della normativa di settore.
Il provvedimento è interessante sotto diversi punti di vista.
Da un lato, è pacifico che l’invio cumulativo dell’email contenente dati sulla mancata vaccinazione dei minori configura una comunicazione (e quindi un trattamento) di dati personali relativi alla salute, consentendo la modalità “copia conoscenza” la condivisione reciproca, tra le famiglie destinatarie, di informazioni sullo stato di salute dei minori interessati.
Dall’altro, è estremamente significativo il comportamento della Provincia successivo alla scoperta dell’invio dell’email e le relative conseguenze nei rapporti con il Garante Privacy italiano.
Qualificando (correttamente) l’evento come una violazione di dati personali – peraltro appartenenti a quelle particolari categorie per le quali il GDPR richiede maggiori cautele e garanzie – la Provincia ha provveduto a
- notificare la violazione al Garante Privacy il giorno dopo la scoperta, in conformità e nei tempi previsti dal primo paragrafo dell’articolo 33 del GDPR, e
- comunicare tempestivamente l’avvenuta violazione e le relative scuse a ciascuna famiglia interessata.
A seguito della ricezione della notifica (31 agosto 2018), il Garante ha dato corso a un iter istruttorio finalizzato alla raccolta di informazioni mediante specifica richiesta inviata alla Provincia (28 gennaio 2019).
L’Autorità, tra le altre informazioni, chiedeva alla Provincia di indicare:
- la figura professionale – ovvero il dipendente della Provincia – che aveva inviato l’email in oggetto, nonché
- l’autorizzazione e le istruzioni per il trattamento di dati personali fornite dalla Provincia al dipendente ai sensi dell’articolo 29 del GDPR e 2-quaterdecies del Decreto Legislativo 196/2003 (“Codice Privacy”);
- le possibili cause della violazione;
- le “direttive generali” adottate dagli uffici competenti della Provincia finalizzate ad evitare il ripetersi di eventi simili alla violazione.
Tralasciando in questa sede l’analisi dettagliata dei riscontri della Provincia, è rilevante come quest’ultima, in qualità di titolare del trattamento, abbia indicato come causa della violazione “l’inavvertenza della dipendente dettata dall’urgenza di contattare le famiglie dei bambini «non in regola con l’obbligo vaccinale» […] in prossimità dell’avvio dell’anno scolastico”.
Il Garante sulla scorta delle risposte della Provincia alla richiesta di informazioni ha contestato a quest’ultima le violazioni di dati personali relativi alla salute dei minori interessati per:
- assenza di una base giuridica lecita che giustificasse la comunicazione condivisa di detti dati, nonché
- mancato rispetto del principio di “minimizzazione” del trattamento, che ben si sarebbe potuto soddisfare inviando email separate a ciascuna famiglia o quantomeno in modalità “copia nascosta”.
Tuttavia, nonostante l’Autorità garante abbia accertato la responsabilità della Provincia in merito alle suddette violazioni, tenuto conto:
- del fatto isolato e attribuibile alla condotta colposa di una dipendente del titolare del trattamento e in forza;
- della tempestiva notifica al Garante,
- della comunicazione agli interessati e
- della campagna di sensibilizzazione al personale intrapresa dalla Provincia in materia di protezione dei dati subito dopo le violazioni,
l’Autorità ha emesso un provvedimento di ammonimento nei confronti del titolare a conformare i trattamenti consistenti nella comunicazione via email di dati personali (soprattutto se sensibili) al GDPR, alla normativa nazionale e alle prescrizioni dell’autorità stessa, senza applicare sanzioni pecuniarie.
Il caso suesposto consente di trarre importanti conclusioni operative, che delineano best practices da seguire in ordine a:
- l’importanza di strutturare l’organizzazione del titolare del trattamento in modo tale che siano conosciuti e rispettati da tutti i dipendenti (o dai soggetti che trattato i dati) i principi base del GDPR, attraverso autorizzazioni, istruzioni, procedure, eventi formativi e, in generale, campagne di sensibilizzazione che diffondano una “cultura” della protezione dei dati, soprattutto se appartenenti a categorie particolari (quali i dati sulla salute di minori);
- la rilevanza di una procedura per una corretta e tempestiva gestione di violazioni di dati personali da parte del titolare e la conseguente notifica al garante e – eventuale – comunicazione agli interessati. Tale profilo ha un’importanza fondamentale in termini di “accountability” e potrebbe, in certi casi, incidere sul tipo di provvedimento adottato dal Garante (ammonimento o sanzione pecuniaria).
Provvedimento consultabile sul sito dell’Autorità Garante per la protezione dei dati personali cliccando questo link.