NEWS

Accesso illecito al Fascicolo Sanitario Elettronico: non sempre ne risponde l’azienda sanitaria

Nei primi mesi del 2021 un hacker si introduceva in MyCivis, il portale ufficiale della P.A. dell’Alto Adige, accedendo al servizio relativo al Fascicolo Sanitario Elettronico (FSE) e, sfruttando una vulnerabilità del sistema, violava i dati relativi ad un totale di cinque codici fiscali di alcuni assistiti. Il sistema allora in uso permetteva infatti, a seguito di un’autenticazione SPID valida e certificata, di iniettare nelle chiamate (API) codici fiscali di altri utenti, permettendo così di avere accesso a, e poi di recuperare, documenti di altri cittadini.

Fascicolo Sanitario Elettronico: le ASL devono rispettare il GDPR, ma anche le Province hanno le loro responsabilità

L’Azienda Sanitaria della Provincia di Bolzano trasmetteva al Garante per la protezione dei dati personali notifica di data breach, rappresentando comunque sin da subito di ritenere titolare del trattamento la Provincia Autonoma di Bolzano e ciò perché considerava l’episodio di violazione dei dati personali un evento afferente strettamente all’implementazione tecnica del FSE dell’Alto Adige e non al patrimonio sanitario di titolarità della medesima Azienda.

La Provincia invece argomentava che l’azienda sanitaria è strumentale della stessa Provincia e come tale dotata di personalità giuridica pubblica e di autonomia gestionale, e che l’ente provinciale, nel disporre la procedura tecnica di cui in argomento, non aveva mai agito come titolare del trattamento bensì come mero soggetto svolgente compiti di natura organizzativa e di supporto, anche economico, rispetto al progetto. Estendeva quindi il perimetro dell’applicabilità della normativa sulla protezione dati, nello specifico per l’identificazione della titolarità all’azienda sanitaria anche per i profili applicativi del FSE.

Entrambe le amministrazioni concordemente indicavano come coinvolti nel trattamento dei dati personali la Società Informatica Alto Adige quale responsabile del trattamento e Dedalus Italia quale sub-responsabile del trattamento, alle cui società era stato demandato la messa a punto del sistema informatico e del relativo aggiornamento tecnologico oltre alla relativa manutenzione; persisteva invero diatriba in merito al ruolo di titolare del trattamento e di conseguenza all’identificazione del soggetto passivo delle doglianze del Garante.

Nel Provvedimento del 23 marzo 2023 [9883749] il Garante delimitava l’ambito applicativo della insorta fattispecie all’art. 4 par. 1 n. 15 del Regolamento, che definisce come “dati relativi alla salute” i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute, nonché al considerando n. 35 che precisa come i dati relativi alla salute “comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria [...] un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari”.

Dopo di che indicava che le attività di trattamento con riferimento alle quali si era verificata la violazione rientravano nella sfera di titolarità della Provincia e non anche della Azienda Sanitaria, rilevando come la violazione non risultava essere stata determinata da un’errata identificazione dell’assistito al momento dell’erogazione delle prestazioni sanitarie presenti nel FSE, per le cui attività (queste sì) risultava titolare l’azienda sanitaria stessa, bensì da un non corretto funzionamento del sistema che consentiva l’accesso ai documenti contenuti nel FSE, sistema che ricadeva per l’appunto sotto la titolarità della Provincia.

La violazione, infatti, risultava essere stata determinata da una vulnerabilità dell’applicativo FSE al momento dell’autenticazione al portale MyCivis di cui la Provincia è titolare (vulnerabilità, come spiegato, consistente nel consentire a un soggetto ivi autenticatosi di visualizzare, selezionare e aprire uno o più documenti di un altro assistito). Risultava quindi da considerarsi titolare non solo perché aveva omesso di mettere in atto, sin dalla progettazione dei trattamenti effettuati nell’ambito del FSE, misure tecniche e organizzative adeguate, volte ad attuare in modo efficace i principi di protezione dei dati e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del Regolamento e tutelare i diritti degli interessati, ma anche per avere omesso di notificare al Garante la violazione dei dati personali occorsa.

Avv. Domenico Battaglia, Delegato Federprivacy nella provincia di Bolzano

(Nella foto: l'Avv. Domenico Battaglia, Delegato Federprivacy nella provincia di Bolzano)

Una prima riflessione riguarda l’elemento discriminante quando più soggetti aventi fini diversi operano in uno stesso contesto a fronte di una violazione dell’integrità dei dati. Per identificare correttamente chi vada considerato titolare del trattamento dati bisogna avere riguardo a chi funge come tale relativamente all’applicativo nel preciso momento della violazione: nel caso specifico, la “porta” di ingresso “scassinata” era il portale della PAB, superata la quale si trovava il “faldone” dei dati del FSE. In tali circostanze può essere anche utile avere riguardo alla documentazione progettuale del demandato software gestionale; nel caso di specie, il “Piano di progetto per la realizzazione del Fascicolo Sanitario Elettronico - Provincia Autonoma di Bolzano” evidenziava che “la titolarità e la programmazione delle attività di progetto FSSE-AA fosse in capo alla Ripartizione Salute della Provincia” e che “per quanto riguarda il controllo e il monitoraggio del progetto, così come per le altre iniziative IT, la competenza è dell’IT governance board della Provincia”.

Una seconda riflessione specifica per le P.A. è relativa alla titolarità dei dati quando si discorre di enti c.d. strumentali, indicando con detta terminologia gli enti dotati di personalità giuridica pubblica e di autonomia gestionale. Ebbene, personalità giuridica e autonomia gestionale non sono sinonimi di titolarità al trattamento dati, o almeno non lo sono sempre. La frammentazione dell’attività decisionale in una pluralità di soggetti decidenti non “atomizza” e distribuisce la titolarità del trattamento in capo ad altrettante entità decisionali. Neanche si deve sempre parlare in questi casi di contitolarità, dovendo necessariamente l’eventuale contitolarità del trattamento essere esplicitata, ai sensi dell’art. 26 GDPR, a mezzo di un accordo interno (c.d. accordo di contitolarità). E neanche l’ente strumentale deve necessariamente essere nominato titolare o contitolare del trattamento dati; nell’ipotesi in cui presti adeguate garanzie circa la protezione dei dati personali, esso può (semplicemente) essere nominato responsabile del trattamento.

Note Autore

Domenico Battaglia Domenico Battaglia

Avvocato del foro di Bolzano, socio membro Federprivacy e Delegato per la provincia di Bolzano. Membro dei gruppi di lavoro per la tutela della privacy nella gestione del personale, cybersecurity e studi professionali di Federprivacy. Docente a contratto presso l'Università di Padova. Data Protection Officer del Consiglio dell'Ordine degli Avvocati di Bolzano. - Email: [email protected]

Prev Regolamento DORA e NIS2: necessario valutare misure di sicurezza applicate dai fornitori a protezione dei dati
Next Data breach: esercitare il fattore umano prima della prova sul campo

Privacy Day Forum 2024, il trailer della giornata

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy