Refertazione on-line: il Garante ribadisce criteri di Privacy by Design
Con il provvedimento n. 620 del 17 ottobre 2024, l’Autorità Garante per la protezione dei dati personali, in seguito ad un reclamo, ha contestato la violazione del principio di integrità e riservatezza ad una società per aver mancato di gestire la sicurezza delle attività di trattamento in relazione all’invio di un referto online.
Il fatto oggetto di reclamo ha infatti riguardato l’invio di referti ad un indirizzo e-mail erroneo, “meramente allegati all’e-mail senza richiedere per la loro visione una password di accesso”.
Sebbene entro breve tempo (una decina di minuti), il titolare abbia provveduto ad avvisare l’erroneo destinatario ricevendo conferma che questi aveva cancellato il messaggio senza aprire lo stesso, facendo dunque presumere che non vi sia stata alcuna violazione di confidenzialità in concreto, ciò non è valso ad evitare la sanzione, ma certamente ha contribuito a determinarne il quantum in riduzione anche per effetto di una successiva adozione di una procedura dedicata e l’integrazione di ulteriori misure di sicurezze come misure di mitigazione.
All’interno dell’istruttoria il Garante Privacy ha ribadito che le “Linee guida in tema di referti on-line” del 19 novembre 2009 sono criteri di riferimento da dover considerare in ambito pubblico e privato per valutare l’adeguatezza delle misure di sicurezza dei trattamenti in questo ambito ai sensi dell’art. 32 GDPR stante la natura dei dati personali oggetto di trattamento.
La portata delle citate linee guida è pertanto prescrittiva per quanto riguarda la refertazione online, contemplando misure da adottare, garantire e comprovare secondo il principio di privacy by design. In ordine alla liceità della comunicazione tramite e-mail, sussiste infatti la necessità di acquisire un consenso preventivo e comprovarne tutte le caratteristiche di validità soprattutto per quanto riguarda la libertà e specificità dello stesso. Ad esempio, prevedendo che il consenso possa essere facoltativamente fornito in relazione alla singola accettazione o in modo permanente onde evitare “consent fatigue”. Il tutto facendo però sempre salva la possibilità di revoca, ovviamente. Per completezza, è chiaro che assolvere gli obblighi informativi deve chiarire inoltre all’interessato quali siano le alternative previste rispetto all’invio tramite e-mail del referto.
Per quanto riguarda le misure di sicurezza da applicare, viene prescritta l’esigenza di inviare il referto come allegato e non come parte del corpo del messaggio andando ad integrare quanto meno una protezione dell’allegato "con modalità idonee a impedire l’illecita o fortuita acquisizione delle informazioni trasmesse da parte di soggetti diversi da quello cui sono destinati". Inoltre, deve essere prevista una convalida degli indirizzi e-mail attraverso procedure di verifica per evitare l’invio a destinatari erronei.
È bene ricordare che tutte queste misure devono però essere parametrate al contesto e ai rischi in concreto, pertanto vanno intese come condizioni necessarie ma non sufficienti a garantire un livello adeguato di sicurezza e non svincolano il titolare del trattamento (e i responsabili cui eventualmente ricorre) dalla valutazione delle misure applicate.
Ancora una volta, privacy e sicurezza si confermano come tematiche naturalmente interconnesse. Soprattutto in ambiti “sensibili”, come quello sanitario.
