e-Gov

I controlli del Garante sulle fughe di dati dei positivi al Covid-19: privacy a rischio!

Logo Diritto Informatica

L’attuale periodo storico ha fatto emergere come scenari, che prima sarebbero risultati assurdi, possano diventare, all’incorrere di determinate circostanze, una nuova quotidianità. È ciò che sta succedendo per l’emergenza Covid-19, che ha reso sempre più frequente la possibilità, per un numero elevatissimo di soggetti, di doversi sottoporre a trattamenti sanitari quali tamponi, test sierologici e altre analisi. Queste circostanze, che ormai sono diventate familiari a tutti noi, assumono connotati ancor più importanti se si tratta il problema da una prospettiva diversa, quella della privacy.

Infatti, cosa succederebbe se l’enorme quantità di dati raccolti in occasione di queste attività sfuggisse al controllo dei soggetti interessati e diventasse di pubblico dominio?

Quella che è qui formulata come ipotesi rappresenta la realtà di alcune piattaforme create per la comunicazione della positività al virus Covid-19, diventate negli ultimi giorni oggetto di forti critiche nonché di indagini da parte dell’Autorità Garante per la protezione dei dati personali.

Il caso di “Milano Cor”: quanto è facile conoscere la positività di un soggetto

Una prova di quanto meccanismi di questo tipo possano compromettere in maniera incisiva e permanente la privacy di un determinato soggetto è stata data dalla vicenda che ha visto coinvolto il portale Milano Cor, creato dall’Agenzia della tutela della salute milanese (ATS).

Il sistema, pensato in un’ottica di semplificazione e facile fruizione da parte dei cittadini, si è rivelato, al contrario, uno strumento che avrebbe potuto permettere, in possesso di poche informazioni, di violare irrimediabilmente la privacy dei soggetti presenti sul portale. Sarebbe bastato, infatti, essere a conoscenza di un numero di cellulare e di un codice fiscale per accedere tranquillamente al portale e desumere, in maniera molto intuitiva, la positività di un soggetto.

La criticità del sistema si è rivelata nella possibilità di inserire un qualsiasi numero di cellulare, appartenente a chiunque, per sapere se è presente o meno un account del titolare di quel numero sulla piattaforma: un’operazione per cui non serve assolutamente essere un hacker informatico esperto! Qui risiede l’enorme falla nel sistema: in sostanza, basterebbe essere in possesso di numero di cellulare e codice fiscale per sapere se qualcuno è registrato sulla piattaforma in questione.

Indagine del Garante privacy

L’istruttoria del Garante privacy muove i primi passi da alcune segnalazioni e reclami ricevute da utenti e associazioni. Il meccanismo utilizzato per l’acceso ai dati sulla positività, infatti, non sembrerebbe rispettare i requisiti che dovrebbero sottendere alla tutela e alla protezione di informazioni delicate quali i dati sanitari di un soggetto.

L’ATS ha adottato presto alcuni rimedi, innanzitutto creando una procedura di accesso basata sul possesso di credenziali personali, ma, nel frattempo, i soggetti il cui diritto alla riservatezza di tali informazioni è stato potenzialmente leso sono circa 3400, ovvero tutti i soggetti risultati positivi al Covud-19, i cui dati erano stati caricati piattaforma.  Nonostante le modifiche introdotte dall’ATS, quindi, resta il fatto che per un lasso di tempo considerevole il sistema avrebbe esposto ad un grave rischio di violazione della privacy un numero cospicuo di soggetti, circostanza per la quale il Garante non ha potuto esimersi dall’avviare un’istruttoria.

Il caso “Tampone in un click”

Analoga vicenda ha interessato la piattaforma della Regione Lombardia “Tampone in un click“, anch’essa venuta all’attenzione del Garante Privacy, questa volta grazie all’esposto di un’associazione che si occupa di tutela della privacy.

In questo caso, per effettuare l’accesso al servizio contenuto in una sezione del Fascicolo Sanitario Elettronico, e conseguentemente venire a conoscenza di un’eventuale positività al virus, sono necessarie tre informazioni: ancora codice fiscale e numero di cellulare, con l’aggiunta delle ultime cifre della tessera sanitaria. Anche a questa piattaforma, quindi, è stata contestata non solo la mancanza di una procedura di autenticazione a due fattori (strong authentication), ma anche l’assenza di sistemi che verifichino che i dati inseriti appartengano effettivamente a chi effettua l’accesso.

Anche in questo caso l’Autorità Garante ha aperto un’istruttoria, per analizzare le precise dinamiche del caso e valutare eventuali responsabilità in relazione al livello di tutela concretamente garantito dal sistema ai soggetti coinvolti.

Dati sanitari: cosa sono e quali tutele prevede il legislatore

La potenziale gravità di queste vicende sotto il profilo della violazione della privacy dei soggetti coinvolti risiede nella tutela non adeguata rispetto a una categoria di dati personali che, più di altre, può comportare pregiudizi e possibili effetti negativi, qualora sfuggisse alla sfera di controllo del soggetto a cui si riferisce. Quelli trattati nelle ipotesi sopra analizzate, infatti, sono dati sanitari, definiti ai sensi dell’articolo 4 GDPR come “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute”, definizione ulteriormente ampliata nel Considerando 35 del GDPR, dove viene precisato che sono considerabili tali anche “le informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica, compresi i dati genetici e i campioni biologici; e qualsiasi informazione riguardante, ad esempio, una malattia, una disabilità, il rischio di malattie, l’anamnesi medica, i trattamenti clinici o lo stato fisiologico o biomedico dell’interessato, indipendentemente dalla fonte, quale, ad esempio, un medico o altro operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro“.

Questa tipologia di dati viene ricompresa nella categoria dei dati particolari dall’articolo 9 GDPR, trattandosi di informazioni in grado di rivelare aspetti molto personali del soggetto, così come l’origine razziale e le opinioni politiche.

Data la particolare valenza di questi dati, il legislatore, sia europeo, che nazionale, ha predisposto in primis una sorta di divieto generale al trattamento di questi dati, seguito però, ovviamente, da una serie di eccezioni, rappresentate dalla manifestazione del consenso dell’interessato, dalla sussistenza di un pubblico interesse, dalla necessità di tutelare un interesse vitale, nonché per finalità di medicina preventiva, del lavoro e altri trattamenti sanitari.

L’impianto di tutele predisposto per la protezione di questa tipologia di dati si fonda su specifiche ragioni e, soprattutto, sulle possibili conseguenze negative per il soggetto interessato in caso di loro violazione. Si pensi, ad esempio, ai rischi di:

  • esposizione dei dati in questione alla conoscenza di soggetti terzi, non autorizzati, che potrebbero utilizzare in mala fede i dati acquisiti;
  • possibili risvolti negativi sul piano reputazionale, sia nella sfera privata che in quella professionale;
  • possibile esposizione ad attacchi mirati, volti all’acquisizione e all’utilizzo di questi dati per varie forme di ricatto, truffa o sostituzione di persona, tutte fattispecie perseguibili penalmente.

L’accertamento di una violazione di questi livelli di tutela fa quindi scaturire conseguenze importanti sul piano della responsabilità e conseguentemente su quello sanzionatorio: il GDPR sul punto prevede, all’articolo 83, sanzioni amministrative pecuniarie fino a 20 milioni di euro, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Cosa auspicare

Alla luce delle vicende menzionate e vista l’importanza di garantire un livello di tutela elevato per la categoria dei dati sanitari, è auspicabile una maggiore attenzione da parte delle istituzioni e degli organi preposti alla sicurezza di tali informazioni. È chiaro, infatti, che, fermo restando il legittimo trattamento da parte delle Autorità dei dati sanitari di soggetti sottoposti a determinati trattamenti sanitari, resta comunque l’obbligo di garantire sicurezza e protezione in tutte le fasi del trattamento, in particolare nel momento della loro comunicazione. Eventuali leggerezze, moltiplicate per l’alto numero dei soggetti coinvolti e l’ingente quantità di dati personali che possono risultare coinvolti, possono infatti determinare gravi violazioni, che saranno valutate, ed eventualmente anche pesantemente sanzionate, dall’Autorità Garante.