NEWS

Refertazione on-line: il Garante ribadisce criteri di Privacy by Design

Con il provvedimento n. 620 del 17 ottobre 2024, l’Autorità Garante per la protezione dei dati personali, in seguito ad un reclamo, ha contestato la violazione del principio di integrità e riservatezza ad una società per aver mancato di gestire la sicurezza delle attività di trattamento in relazione all’invio di un referto online.

Il fatto oggetto di reclamo ha infatti riguardato l’invio di referti ad un indirizzo e-mail erroneo, “meramente allegati all’e-mail senza richiedere per la loro visione una password di accesso”.

Sebbene entro breve tempo (una decina di minuti), il titolare abbia provveduto ad avvisare l’erroneo destinatario ricevendo conferma che questi aveva cancellato il messaggio senza aprire lo stesso, facendo dunque presumere che non vi sia stata alcuna violazione di confidenzialità in concreto, ciò non è valso ad evitare la sanzione, ma certamente ha contribuito a determinarne il quantum in riduzione anche per effetto di una successiva adozione di una procedura dedicata e l’integrazione di ulteriori misure di sicurezze come misure di mitigazione.

All’interno dell’istruttoria il Garante Privacy ha ribadito che le “Linee guida in tema di referti on-line” del 19 novembre 2009 sono criteri di riferimento da dover considerare in ambito pubblico e privato per valutare l’adeguatezza delle misure di sicurezza dei trattamenti in questo ambito ai sensi dell’art. 32 GDPR stante la natura dei dati personali oggetto di trattamento.

La portata delle citate linee guida è pertanto prescrittiva per quanto riguarda la refertazione online, contemplando misure da adottare, garantire e comprovare secondo il principio di privacy by design. In ordine alla liceità della comunicazione tramite e-mail, sussiste infatti la necessità di acquisire un consenso preventivo e comprovarne tutte le caratteristiche di validità soprattutto per quanto riguarda la libertà e specificità dello stesso. Ad esempio, prevedendo che il consenso possa essere facoltativamente fornito in relazione alla singola accettazione o in modo permanente onde evitare “consent fatigue”. Il tutto facendo però sempre salva la possibilità di revoca, ovviamente. Per completezza, è chiaro che assolvere gli obblighi informativi deve chiarire inoltre all’interessato quali siano le alternative previste rispetto all’invio tramite e-mail del referto.

Per quanto riguarda le misure di sicurezza da applicare, viene prescritta l’esigenza di inviare il referto come allegato e non come parte del corpo del messaggio andando ad integrare quanto meno una protezione dell’allegato "con modalità idonee a impedire l’illecita o fortuita acquisizione delle informazioni trasmesse da parte di soggetti diversi da quello cui sono destinati". Inoltre, deve essere prevista una convalida degli indirizzi e-mail attraverso procedure di verifica per evitare l’invio a destinatari erronei.

È bene ricordare che tutte queste misure devono però essere parametrate al contesto e ai rischi in concreto, pertanto vanno intese come condizioni necessarie ma non sufficienti a garantire un livello adeguato di sicurezza e non svincolano il titolare del trattamento (e i responsabili cui eventualmente ricorre) dalla valutazione delle misure applicate.

Ancora una volta, privacy e sicurezza si confermano come tematiche naturalmente interconnesse. Soprattutto in ambiti “sensibili”, come quello sanitario.

Note sull'Autore

Stefano Gazzella Stefano Gazzella

Delegato Federprivacy per la provincia di Gorizia. Consulente Privacy & ICT Law, Data Protection Officer. Privacy Officer certificato TÜV Italia. Web: www.gdpready.it 

Prev Violazione del profilo social, una sentenza riconosce agli utenti il diritto di ottenere il risarcimento del danno
Next L'Agenzia per la Cybersicurezza Nazionale pubblica le linee guida per il rafforzamento della protezione delle banche dati

Il furto d'identità con l'intelligenza artificiale

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy