Nel periodo in cui l'Italia ha cercato di ripartire dopo l'emergenza COVID molti italiani sono stati costretti a ricorrere a tamponi periodici per accertare la presenza del virus, effettuabili presso le farmacie abilitate.
In Friuli Venezia Giulia, in particolare, era disponibile il portale, utilizzato da alcune farmacie per agevolare i potenziali pazienti nella prenotazione dei tamponi COVID.
Il quadro della vicenda
Il portale si presentava liberamente accessibile, senza alcun meccanismo di autenticazione, e per la prenotazione venivano richiesti i seguenti dati:
- codice fiscale,
- nome e cognome,
- numero di telefono,
- email (opzionale).
Nel caso in cui il codice fiscale fosse già presente in archivio, il sistema completava, in automatico, i rimanenti dati, associandolo perciò a nome, cognome e numero di telefono.
Inoltre, attraverso la funzione “annulla prenotazione” il sistema, liberamente accessibile, consentiva di visualizzare in chiaro tutte le prenotazioni inserite da quel determinato soggetto.
Visitando il portale, inoltre, non si riesce a trovare alcuna informativa sul trattamento dei dati personali.
Il portale è stato progettato da una società terza, che ha sostanzialmente “scaricato” le responsabilità sulla Regione e sulle farmacie, che avrebbero avuto il compito di fornire, ad esempio, l'informativa privacy ai pazienti che prenotavano il tampone.
Quali norme sono state violate
Secondo l'articolo 9 del GDPR è vietato trattare dati personali relativi alla salute di una persona, salvo i seguenti casi:
(a) il soggetto ha prestato il consenso esplicito al trattamento di questi dati, per una o più finalità specifiche,
(b) il trattamento è necessario per assolvere obblighi e esercitare diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro, della sicurezza sociale e protezione sociale,
(c) il trattamento di questi dati è necessario per tutelare un interesse vitale dell'interessato o di un'altra persona fisica, nell'ipotesi in cui l'interessato si trovi nell'incapacità (fisica o giuridica) di prestare il proprio consenso,
(d) il trattamento è effettuato da una fondazione, associazione o altro organismo senza scopo di lucro,
(e) i dati sono stati resi pubblici in maniera manifesta dall'interessato,
(f) il trattamento è necessario per accertare, esercitare o difendere un diritto in giudizio,
(g) sussistono motivi di interesse pubblico,
(h) il trattamento si rende necessario per finalità di medicina preventiva o del lavoro, ovvero per valutare la capacità lavorativa del dipendente, per diagnosi, assistenza o terapia sanitaria o sociale,
(i) sussistono motivi di interesse pubblico nel settore della sanità pubblica,
(j) il trattamento è necessario ai fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o statistica.
I dati devono essere trattati nel rispetto dei principi generali sanciti dall'art. 5 del GDPR:
-
liceità, correttezza e trasparenza,
-
limitazione della finalità,
-
minimizzazione dei dati,
-
esattezza,
-
limitazione della conservazione,
-
integrità e riservatezza,
-
responsabilizzazione.
Inoltre, il titolare dei dati deve fornire all'interessato tutte le informazioni richieste dagli articoli 13 e 14 GDPR, con modalità chiare, accessibili e comprensibili.
L'Autorità Garante per la privacy aveva già segnalato i rischi legati all’uso del solo codice fiscale come metodo di autenticazione, ritenendolo vulnerabile e facilmente reperibile tramite fonti pubbliche o social network.
In via eccezionale, nel contesto pandemico, era stata prevista la possibilità di fornire informative semplificate o orali.
Leggi anche
L'esito della vicenda
Le 151 farmacie del Friuli Venezia Giulia che avevano utilizzato il sistema di prenotazione online dei tamponi sono andate esenti da responsabilità, poiché il Garante ha ritenuto che il responsabile del trattamento fosse la società che aveva progettato e gestito il portale.
Alla società è stata comminata una sanzione di € 10.000, tenendo conto della collaborazione durante l’istruttoria e delle misure correttive adottate successivamente.
Le farmacie sono risultate esenti da responsabilità, ma il caso ha evidenziato l'importanza della piena conformità privacy nella gestione di dati sanitari: la tutela della privacy deve essere sempre prioritaria.