g-docweb-display Portlet

Trattamento non consentito di dati sanitari raccolti tramite apparecchiature diagnostiche - 10 aprile 2014 [3152119]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

Vedi anche newsletter del 30 maggio 2014

[doc. web n. 3152119]

Trattamento non consentito di dati sanitari raccolti tramite apparecchiature diagnostiche - 10 aprile 2014

Registro dei provvedimenti
n. 186 del 10 aprile 2014

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, del dott.ssa Giovanna Bianchi Clerici, della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

Visto il d.lg. 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito "Codice");

Vista la nota con la quale l´Azienda Ospedaliera Universitaria Federico II di Napoli ha informato questa Autorità di aver ricevuto una comunicazione da XY S.p.a., che fornisce alle strutture sanitarie servizi di manutenzione di macchine di diagnostica per immagini, nella quale la società riferiva di aver riscontrato, a seguito di un´indagine interna, che, attraverso i canali di connessione utilizzati per il controllo in remoto dei predetti dispositivi, erano stati trasferiti e registrati, su server situati negli Stati Uniti, dati personali "eccedenti le normali finalità di diagnostica e manutenzione" riferiti ai pazienti interessati, insieme ad altre informazioni relative alle prestazioni delle macchine (nota del 15 maggio 2012 successivamente integrata a più riprese e da ultimo il 28 novembre 2013);

Vista la documentazione in atti;

Viste le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore la dott.ssa Augusta Iannini;

PREMESSA

La XY S.p.a. (di seguito XY), è una società appartenente al Gruppo XX (di seguito Gruppo XX) che cura la produzione e la distribuzione di apparecchiature medicali e di diagnostica di precisione (quali macchine ecografiche, TAC; vascolari, ecc.). XY fornisce alle strutture sanitarie proprie clienti (principalmente ospedali e laboratori di diagnostica) anche servizi di manutenzione e di assistenza per apparecchiature di diagnostica per immagini. In tale quadro, la società, nel marzo del 2012, ha avviato contatti preliminari con questa Autorità e ha contestualmente comunicato alle strutture sanitarie coinvolte di aver riscontrato, a seguito di un´inchiesta interna, che, attraverso i canali di connessione utilizzati per il controllo in remoto dei predetti dispositivi, erano stati automaticamente trasferiti e registrati, su server del Gruppo XX situati negli Stati Uniti, dati personali "eccedenti le normali finalità di diagnostica e manutenzione" riferiti ai pazienti interessati, insieme ad altre informazioni relative alle prestazioni delle macchine.

Alla luce di quanto prospettato, l´Ufficio ha ritenuto necessario acquisire informazioni ulteriori presso l´Azienda Ospedaliera Universitaria Federico II di Napoli che nel frattempo aveva informato il Garante dell´accaduto (nota del 15 maggio 2012) e, a più riprese, presso la stessa XY. In particolare, sono state richieste informazioni con riferimento alla quantità e alla tipologia dei dati di pazienti impropriamente trasferiti verso la società; ai rapporti giuridici intercorrenti tra XY, l´Azienda Ospedaliera Universitaria e altri soggetti eventualmente coinvolti a vario titolo nell´accaduto; alle ragioni che avrebbero determinato l´incidente rilevato e agli accorgimenti assunti per porre rimedio all´evento e per evitare in futuro di ricevere ulteriori dati di pazienti in eccesso; ad eventuali trasferimenti automatici di dati verso la società nell´ambito delle ordinarie attività di manutenzione delle apparecchiature diagnostiche con particolare riferimento al formato dei dati, ai protocolli di comunicazione, agli strumenti di cifratura, alla frequenza e alle specifiche esigenze per le quali tali operazioni verrebbero, se del caso, di regola, effettuate.

Sulla base degli approfondimenti svolti, è stato riscontrato che l´accaduto ha interessato circa centottanta strutture sanitarie in Italia e più di un milione di pazienti. Secondo quanto dichiarato in atti, insieme ai dati riguardanti il funzionamento delle macchine, sono state oggetto di trasferimento, varie combinazioni di informazioni riferite a pazienti quali codici identificativi o iniziali di nome e cognome, età, sesso, peso, altezza, nonché taluni dati clinici dei medesimi pazienti. In particolare, la società ha precisato che la quasi totalità dei dati riferiti a pazienti "era contenuta in più ampi file di configurazione del sistema o all´interno dei database" ed "era rappresentata nella maggior parte dei casi da poche decine di righe di dati confuse in mezzo ad enormi quantità di ulteriori dati di configurazione, di servizio o di errore".

Dalle informazioni acquisite è emerso altresì che l´incidente è stato determinato dalla circostanza che "alcuni codici installati nei software" delle apparecchiature sanitarie "non erano stati adeguatamente programmati" per eliminare i dati personali dei pazienti in eccedenza. Una volta rilevato l´evento, i dati impropriamente raccolti sono stati successivamente trasferiti in un data center strategico affidato al controllo diretto della capogruppo -la XX Company- situato negli Stati Uniti. Secondo quanto accertato da un team di esperti di sicurezza informatica incaricato dal Gruppo XX per svolgere le necessarie verifiche sull´accaduto è emerso inoltre che hanno avuto accesso ai server in cui sono stati memorizzati i dati dei pazienti risultati superflui soltanto un limitato numero di personale addetto e debitamente autorizzato dal medesimo Gruppo.

Per ciò che concerne le misure adottate per prevenire in futuro altri incidenti della medesima specie, XY ha dichiarato di aver "immediatamente provveduto a prendere una serie di significative misure volte al rafforzamento della sicurezza dei dati personali dei pazienti ed alla limitazione del trasferimento ai soli files che non contengano dati personali dei pazienti che risultino superflui". In particolare, la società ha perfezionato le modalità tecniche di raccolta dei dati dalle macchine diagnostiche utilizzate dalle strutture sanitarie in modo da garantire la cessazione di flussi "automatici" di informazioni non necessarie. Nel dettaglio, è stato precisato che tali apparecchiature sono programmate in maniera tale da connettersi "periodicamente" ai sistemi di XY e inviare dati sul funzionamento delle macchine ai medesimi sistemi. In questo quadro, la società ha identificato i files che contengono i dati in eccesso e ha modificato le modalità per il recupero dei predetti files dalle macchine coinvolte nell´incidente in modo tale che il software sia in grado di individuarli e selezionarli impedendone la successiva trasmissione. Inoltre, sotto il profilo organizzativo, secondo quanto dichiarato da XY, sono state potenziate le procedure aziendali in materia di protezione dei dati. A questo riguardo, è stato in particolare attuato un programma di "Privacy by Design" in base al quale ciascuna operazione di trasferimento e di raccolta di dati dalle apparecchiature sanitarie deve superare una specifica procedura di approvazione interna volta a valutare una serie di profili tra cui quelli relativi alla privacy e alla sicurezza dei dati prima di essere implementata sull´apparecchiatura di riferimento.

In relazione all´utilizzo dei dati dei pazienti attualmente memorizzati nei server ubicati negli Stati Uniti, è stato dichiarato che tali informazioni saranno conservate dal Gruppo XX in ottemperanza agli obblighi previsti dalla legislazione nazionale applicabile che vieta di restituire o distruggere informazioni e documenti che risultino rilevanti a fini probatori e processuali. Il medesimo Gruppo provvederà quindi a cancellare le informazioni sull´accaduto nel momento in cui potrà ragionevolmente escludersi l´insorgere di ogni eventuale contestazione in sede giudiziale. Sempre sulla base di quanto dichiarato, sono state inoltre implementate specifiche misure di sicurezza per la custodia dei dati memorizzati sui medesimi server statunitensi, quali meccanismi di controllo fisico e logico degli accessi e l´utilizzo di firewall, sistemi di prevenzione degli intrusioni e di identificazione delle vulnerabilità.

Dagli approfondimenti effettuati è emerso tuttavia che, a prescindere dall´incidente di cui è stata data notizia a questa Autorità e alle strutture sanitarie coinvolte, le apparecchiature sanitarie per le quali XY fornisce servizi di manutenzione e assistenza sono programmate in modo da connettersi "periodicamente" e trasmettere "automaticamente" ai sistemi della società, in condizioni di ordinaria operatività e attraverso canali protetti, flussi di informazioni riferite ai pazienti "in formato cifrato o anonimizzato", ritenute necessarie per garantire il buon funzionamento e l´affidabilità dei macchinari e la prestazione dei relativi servizi. Nello specifico, secondo gli elementi raccolti nell´ambito degli approfondimenti effettuati dall´Ufficio a seguito dell´incidente segnalato, vengono acquisite dalle apparecchiature sanitarie, a seconda della tipologia di macchinario utilizzato, varie combinazioni di informazioni relative, ad esempio, al codice identificativo del paziente, al peso, all´altezza dell´interessato e ad informazioni riguardanti l´esame eseguito (ad es. data e ora dell´esame, dati dosimetrici). Al riguardo, occorre rilevare che XY ritiene che le predette informazioni non consentono di identificare i pazienti interessati. Prima di essere trasferito ai sistemi della società, il codice identificativo del paziente viene infatti sostituito da un valore univoco ottenuto mediante l´utilizzo di funzioni crittografiche di hashing ovvero con un indice denominato DBindex (ad es. per i macchinari utilizzati per cure vascolari); oppure da un altro indice (tag) di classificazione cronologica (ad es. per le apparecchiature di risonanza magnetica); o ancora cifrato mediante l´applicazione di chiavi asimmetriche (ad es. per le apparecchiature mammografiche). Questi dati, oggetto di periodico e automatico trasferimento a XY, vengono registrati su server del Gruppo XX situati negli Stati Uniti oppure, per quanto riguarda i macchinari mammografici e vascolari, ubicati in Francia.

Per ciò che concerne i periodi di conservazione dei dati, XY ha dichiarato che essi variano in base alla natura dei dati e alle esigenze per le quali vengono raccolti. A titolo esemplificativo è stato precisato che i dati che la società riceve in automatico dai macchinari vascolari sono conservati per un anno; laddove però questi indichino dei dosaggi d´esame che superano una determinata soglia sono oggetto di conservazione per tre anni.

Dalla documentazione in atti è emerso altresì che XY, per la prestazione alle strutture sanitarie di servizi di manutenzione e assistenza delle apparecchiature utilizza un modello contrattuale standard ("contratto standard"). In particolare, sulla base del "contratto standard" prodotto in atti, la società può avere accesso ai locali delle strutture sanitarie soltanto per svolgere in loco, tramite proprio personale tecnico qualificato, visite correttive e manutentive sulle macchine di diagnostica al fine di garantirne la corretta funzionalità. I restanti interventi tecnici sulle apparecchiature vengono effettuati da XY tramite assistenza telefonica oppure in remoto tramite una connessione digitale (VPN o ADSL) che le strutture sanitarie si impegnano a mettere a disposizione della società nello stesso luogo in cui sono ubicate le apparecchiature.

Più nel dettaglio, nel modello di contratto in atti, è indicato che "quale parte della Manutenzione programmata o della Manutenzione correttiva (la società) … può, tramite connessione broadband o attraverso internet network, connettersi remotamente all´Apparecchiatura e procedere ad interventi tecnici (inclusi lo scaricamento di software e il monitoraggio proattivo) alla condizioni … (del) Contratto" e che tale "servizio è automaticamente incluso nella Copertura contrattuale Base". Sulla base del medesimo atto, ogni intervento effettuato sui macchinari, viene "documentato in un rapporto tecnico di servizio" in cui sono "menzionati per ciascuna Apparecchiatura gli eventuali malfunzionamenti riscontrati e le azioni correttive effettuate per assicurare e/o ripristinare il funzionamento dell´Apparecchiatura". Per gli specifici profili riguardanti il trattamento delle informazioni relative ai pazienti, il contratto prevede l´eventualità che XY, "in corso di esecuzione delle proprie obbligazioni", possa "aver accesso" a "dati personali di pazienti", rispetto ai quali è tenuta, sempre in base al contratto, "ad osservare la normativa vigente in materia di protezione dei dati personali". In particolare, la società è obbligata a "tenere riservati" i predetti dati e ad utilizzarli "esclusivamente per la prestazione dei Servizi richiesti dal Cliente, secondo le specifiche istruzioni del Cliente o con l´autorizzazione (dello stesso) … nell´ambito di altri contratti conclusi con il Cliente".

In relazione al ruolo ricoperto da XY rispetto al trattamento dei dati personali, dall´esame della documentazione prodotta in atti dall´Azienda Ospedaliera Universitaria Federico II di Napoli con riferimento all´incidente segnalato, è stato accertato che essa viene designata con atto scritto quale "responsabile del trattamento" dalle strutture sanitarie che usufruiscono dei suoi servizi (cfr. artt. 29 e 30 del Codice). Ciò, proprio in considerazione dell´eventualità che l´esecuzione degli obblighi contrattualmente assunti possa comportare il trattamento, per conto delle strutture sanitarie committenti, di dati personali di pazienti (e di altri interessati) specie con riferimento allo svolgimento dei compiti di manutenzione in loco e in remoto delle apparecchiature, di risoluzione dei problemi e di prevenzione di blocchi e di guasti delle stesse.

OSSERVA

1. La natura dei dati

Dall´esame degli estratti dei files prodotti e dagli altri elementi acquisiti in atti, sia le informazioni impropriamente trasferite a XY a seguito dell´incidente segnalato (codice identificativo o iniziale di nome e cognome del paziente, età, sesso, peso, altezza e taluni dati clinici), sia quelle che la società riceve periodicamente, in modo automatico e in condizioni di ordinaria operatività delle apparecchiature (codice identificativo, peso e altezza dell´interessato, dati relativi all´esame eseguito) devono ritenersi "dati personali idonei a rivelare lo stato di salute" in quanto, a seconda della diversa tipologia di macchinario utilizzato, possono consistere in codici (non direttamente identificativi) dei pazienti interessati combinati con altre informazioni riferite ai singoli pazienti o riguardanti gli esami diagnostici eseguiti dagli stessi (v. art. 4, comma 1, lett. b) e d) del Codice).

L´utilizzo di funzioni crittografiche o di tecniche di cifratura, nonché di canali di trasmissione protetti per il trasferimento di tali dati ai sistemi della società costituiscono valide misure tecniche adottate in applicazione delle disposizioni vigenti a tutela della sicurezza dei dati sanitari trattati con strumenti elettronici (cfr. art. 34, comma 1, lett. h) del Codice). Ciononostante, esse non impediscono la possibilità di identificare le persone interessate dal momento che è comunque possibile isolare l´insieme delle informazioni riferite a ciascun individuo. Sebbene gli originari codici identificativi dei pazienti, prima di essere trasferiti ai sistemi di XY, siano sostituiti tramite l´utilizzo di sistemi di hashing e di altre tecniche di pseudonimizzazione, questi possono, a seconda della diversa tipologia di macchinario utilizzato, essere collegati ad altre informazioni sempre riferite ai medesimi singoli pazienti (peso, altezza, ecc.) o riguardanti gli specifici esami diagnostici effettuati da questi ultimi (data e ora dell´esame, dati dosimetrici, ecc.). Dalla combinazione dei valori delle informazioni associate ai predetti codici pseudonimizzati può essere possibile, in ogni caso, re-identificare gli interessati, sia pure indirettamente, mediante il collegamento con altre informazioni nella disponibilità della stessa XY (come ad esempio l´indicazione relativa alla struttura sanitaria presso la quale è in uso l´apparecchiatura da cui origina il flusso automatico di dati), di altre società del Gruppo XX o di terzi (cfr. art. 4, comma 1, lett. b) del Codice; considerando 26, direttiva 95/46/Ce; Gruppo Art. 29, Parere n. 4/2007 - WP 136 sulla definizione di dato personale).

Di conseguenza, la raccolta dei predetti dati da parte di XY e le altre operazioni di trattamento effettuate sui medesimi dati, e quindi anche il loro trasferimento in Paesi non appartenenti all´Unione europea, configurano un trattamento di dati personali sensibili al quale è applicabile la speciale disciplina prevista dal Codice in materia (art. 26 del Codice e autorizzazione del Garante n. 2/2013 al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale, Provv. n. 565 del 12 dicembre 2013, doc. web n. 2818529).

2. Le finalità del trattamento

Il trattamento dei dati sanitari, sia pure indirettamente identificativi, riferiti ai pazienti che presso le strutture sanitarie usufruiscono delle apparecchiature per le quali XY assicura servizi di manutenzione e di assistenza è consentito alla stessa società soltanto nei limiti in cui ciò sia necessario per lo svolgimento di tali attività svolte nell´interesse delle strutture sanitarie e, in particolare, strumentali a garantire le prestazioni di diagnosi e cura erogate dalle queste ultime ai propri pazienti (artt. 26, comma 1, e 76, comma 1, lett. a) del Codice). Nell´ambito di tali attività, come sopra rilevato, non può escludersi che la società possa venire a conoscenza e utilizzare, ove necessario, dati attinenti alla salute delle persone interessate purché tali dati e le operazioni poste in essere siano strettamente limitate a quelle di volta in volta indispensabili per soddisfare adeguatamente le esigenze connesse a garantire il buon funzionamento delle macchine diagnostiche in uso presso le stesse strutture sanitarie proprie clienti (artt. 3, 11, e punto 3 dell´autorizzazione generale n. 2/2013 cit.).

Non risulta invece adeguatamente giustificata e comprovata, allo stato degli atti, la circostanza (v. infra par. 4.3) che per assicurare utilmente i predetti servizi di manutenzione e di assistenza XY debba necessariamente raccogliere periodicamente e automaticamente dalle predette apparecchiature, con le modalità illustrate in atti, dati personali attinenti alla salute di singoli pazienti, sia pure non direttamente identificativi, ancorché registrati su server ubicati all´interno del territorio dell´Unione europea (; artt. 3, 11, 26, comma 1, del Codice e punto 3 dell´autorizzazione generale n. 2/2013 cit.). La memorizzazione dei medesimi dati su server situati negli Stati Uniti configura, inoltre, un trasferimento all´estero di dati personali verso un Paese il cui ordinamento non assicura un livello di tutela delle persone adeguato. Sulla base delle risultanze in atti detto trasferimento verso gli Stati Uniti deve ritenersi vietato (art. 45 del Codice) in quanto risulta essere stato effettuato al di fuori dei presupposti di cui agli artt. 43 e 44 del Codice.

Secondo gli elementi acquisiti, inoltre, i dati raccolti, periodicamente e con modalità automatiche, dalle macchine diagnostiche vengono utilizzati da XY, anche nell´interesse della stessa società, per scopi diversi da quelli specificatamente previsti dal contratto stipulato con le strutture sanitarie alle quali essa fornisce i propri servizi, seppure collegati con quelli originari, quali il miglioramento dell´affidabilità e della performance delle macchine e la verifica della qualità delle stesse. Sotto tale profilo, il flusso automatico e sistematico di dati personali attinenti alla salute dei pazienti posto in essere verso i sistemi di XY, ancorché questa venga designata dalle strutture sanitarie che si avvalgono dei suoi servizi quale "responsabile del trattamento", configura un trattamento di dati ulteriore rispetto a quello necessario per l´appropriato svolgimento dei compiti originariamente conferiti dalle stesse strutture secondo quanto indicato anche nel modello di contratto standard (cfr. art. 12.1 del "contratto standard" fornito in atti e artt. 28 e 29 del Codice).

Al riguardo, occorre evidenziare che, alla luce principio di finalità di cui all´art. 11, comma 1, lett. b) del Codice, XY non può utilizzare tali informazioni in altre operazioni di trattamento "in termini incompatibili" con le finalità per le quali i dati sono stati originariamente raccolti o registrati, né per scopi diversi dallo svolgimento dei servizi previsti nel contratto stipulato con le strutture sanitarie; soltanto le predette strutture, infatti, in qualità di "titolari del trattamento", possono determinare le finalità del trattamento insieme alle relative modalità, ivi compresi i profili della sicurezza (art. 28 del Codice).

In questo quadro occorre tenere presente che i dati oggetto di trattamento sono di particolare natura, in quanto attengono allo stato di salute e che, nel contesto sanitario in cui questi vengono raccolti, vigono particolari obblighi di confidenzialità di tali informazioni rispetto alle quali i pazienti interessati hanno ragionevoli aspettative di rigorosa riservatezza e di limitati eventuali utilizzi successivi. Vanno anche tenuti in considerazione gli effetti negativi che possono derivare alle persone interessate dall´ulteriore utilizzo delle informazioni sanitarie che li riguardano da parte di soggetti diversi dalle strutture sanitarie, titolari del trattamento, in un contesto differente da quello sanitario e dal loro trasferimento in un Paese che non offre adeguate garanzie sotto il profilo della protezione dei dati. Sulla base delle considerazioni che precedono, la raccolta automatica e sistematica di dati personali, anche sanitari, di pazienti effettuato da XY a scopo di miglioramento dell´affidabilità e della performance delle macchine e di verifica della qualità delle stesse non può ritenersi pertanto compatibile con gli scopi per i quali tali dati sono stati originariamente raccolti o registrati dalle strutture sanitarie (v. infra par. 4.2) in mancanza di uno specifico e autonomo consenso da parte dei pazienti e previa idonea informativa agli interessati, oppure di un altro requisito equipollente (artt. 13, 23 e 26 del Codice e Gruppo Art. 29, Opinion n. 3/2013 - WP 203 on purpose limitation).

3. Il ruolo dei soggetti coinvolti rispetto al trattamento dei dati

Dall´esame degli elementi in atti riguardanti i compiti svolti da XY, emerge che la società non effettua alcuna attività di raccolta dei dati sanitari direttamente presso gli interessati nell´ambito delle prestazioni diagnostiche erogate dalle strutture sanitarie mediante le apparecchiature per le quali la società fornisce servizi di manutenzione e assistenza. Cionondimeno, nell´ambito di tali attività, il modello di contratto prodotto in atti prevede che XY possa, di volta in volta, venire a conoscenza di dati personali, anche sanitari, dei pazienti i quali risultino necessari per assicurare la prestazione dei servizi contrattualmente previsti nei confronti delle strutture sanitarie proprie clienti.

Come sopra illustrato, il contratto standard non menziona, tuttavia, la necessità che, nel corso dell´ordinaria operatività delle apparecchiature diagnostiche, XY debba essere destinataria di un flusso automatico e sistematico di dati personali di pazienti in cura presso le strutture sanitarie che si avvalgono dei suoi servizi, sia pure non direttamente identificativi, per garantire il buon funzionamento delle macchine e svolgere i servizi di assistenza e manutenzione previsti dal contratto sottoscritto con le medesime strutture. Né viene fatto alcun accenno al trasferimento di questi dati in Paesi non appartenenti all´Unione europea.

Tali operazioni di trattamento sono pertanto imputabili alla sola XY poiché, sulla base della documentazione e delle dichiarazioni in atti, è la stessa società che risulta aver determinato gli elementi fondamentali del trattamento stesso, individuandone le relative finalità e modalità (in particolare, per ciò che concerne le tipologie di dati oggetto di trasferimento, le modalità del trasferimento, le finalità e le modalità del successivo utilizzo dei dati così raccolti, il periodo di conservazione, ecc.) in condizioni di autonomia rispetto alle strutture sanitarie e con limitata consapevolezza da parte di queste ultime. Con riferimento alle predette operazioni, pertanto, XY si configura quindi quale autonomo titolare del trattamento, avente responsabilità distinte rispetto alle medesime strutture (cfr. art. 28 del Codice e Gruppo Art. 29, Parere n. 1/2010 - WP 169 sui concetti di "responsabile del trattamento" e "incaricato del trattamento"). Al riguardo, si rileva che le operazioni in questione effettuate dalla società, in qualità di autonomo e distinto titolare, non possono ritenersi lecite, in quanto sono state poste in essere in assenza di idonei presupposti legittimanti il trattamento e, segnatamente, senza che sia stata previamente fornita l´informativa ai pazienti interessati e acquisito il loro specifico consenso (artt. 13, 23 e 26 del Codice). In relazione a tale trattamento, si rileva pertanto la sussistenza dei presupposti per avviare un autonomo procedimento volto a contestare a XY le violazioni delle disposizioni di cui agli artt. 13, e 26 e 45 del Codice, sanzionate dagli artt. 161 e 162, comma 2-bis, del medesimo Codice.

4. Le valutazioni dell´Autorità

4.1 L´incidente segnalato

L´incidente, di cui è stata data notizia a questa Autorità, consiste nell´improprio trasferimento su server del Gruppo XX, situati anche negli Stati Uniti, di dati personali idonei a rivelare lo stato di salute di pazienti non necessari per garantire la corretta funzionalità delle apparecchiature diagnostiche e la prestazione dei servizi di manutenzione previsti dai contratti sottoscritti con le strutture sanitarie da XY. Con specifico riferimento all´accaduto, si rileva che, allo stato degli elementi in atti, all´esito degli approfondimenti effettuati dall´Ufficio anche presso altre autorità di protezione dei dati destinatarie della medesima segnalazione, benché l´incidente abbia interessato un numero rilevante di pazienti e di strutture sanitarie, deve ritersi che esso abbia avuto un impatto limitato sulle persone interessate. Ciò, tenuto conto della circostanza che tali dati non sono stati oggetto di diffusione, perdita, abuso o furto (avendo avuto accesso ai predetti dati soltanto personale autorizzato del Gruppo XX) e avuto riguardo alle appropriate misure tecniche e organizzative adottate, nei termini dichiarati in atti, non appena constatato l´accaduto, per prevenire il ripetersi in futuro di ulteriori incidenti della medesima specie (art. 31 del Codice). In questo quadro, sono altresì meritevoli di considerazione le azioni intraprese per rafforzare la sicurezza dei dati che sono stati memorizzati sui server statunitensi, inclusi sistemi di controllo degli accessi ai locali dove sono ubicati. Alla luce di ciò, si evidenzia infine che la necessità di conservare i medesimi dati sui predetti server rimane giustificata, sempre che sussistano le esigenze probatorie e processuali rappresentate in atti, anche al fine di consentire agli stessi interessati di tutelare i propri diritti (art. 26, comma 4, lett. c) del Codice e punto 1.3., lett. a) dell´autorizzazione generale n. 2/2013 cit.; cfr. anche Gruppo Art. 29 - Working Document on pre-trial discovery for cross border civil litigation n. 1/2009). 

4.2 Il flusso sistematico di dati verso XY anche a fini di miglioramento dell´affidabilità e della performance delle macchine e di verifica della qualità delle stesse

Per quanto attiene, invece, alla raccolta sistematica e automatica -posta tuttora in essere da XY- di dati sanitari riferiti ai pazienti che presso le strutture sanitarie usufruiscono delle apparecchiature per le quali essa fornisce servizi di manutenzione e di assistenza, al loro trasferimento anche in Paesi non appartenenti all´Unione europea, nonché al loro utilizzo ulteriore, va dichiarata, per i profili sopra delineati (cfr. par. 2 e 3 del presente provvedimento), l´illiceità del trattamento che risulta essere tuttora effettuato dalla medesima società (artt. 3, 11, 26, comma 1, 45 e punto 3 dell´autorizzazione generale n. 2/2013 cit.).

Con riferimento a tali operazioni, l´Autorità ritiene pertanto, allo stato, di dover vietare a XY, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d) del Codice, in qualità di autonomo titolare, l´ulteriore trattamento non consentito delle predette informazioni, fin tanto che la società non adotti, ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice, quale misura necessaria per rendere conforme il trattamento alla disciplina sulla protezione dei dati personali, accorgimenti tecnici atti ad "anonimizzare" efficacemente le medesime informazioni in modo da non consentire con l´uso di mezzi ragionevoli la re-identificazione delle persone cui esse si riferiscono, neanche mediante il ricorso ad altre informazioni nella disponibilità della stessa società, di altre società del Gruppo XX ovvero di terzi (cfr. art. 4, comma 1, lett. n) e considerando 26 dir. 95/46/CE). Ciò, nel caso in cui, per il miglioramento dell´affidabilità e della performance delle macchine e di verifica della qualità delle stesse, sia necessario acquisire dati sanitari dei pazienti attraverso un trasferimento periodico ed automatico del tipo di quello finora illecitamente posto in essere.

Riguardo agli accorgimenti tecnici che consentirebbero, nel caso in esame, di "anonimizzare" efficacemente il flusso sistematico di dati posto in essere per i predetti scopi, si può far riferimento, ad esempio, alla previsione di valori discreti degli attributi in luogo di valori continui, o di intervalli di valori al posto dei valori puntuali, o ancora all´introduzione, ove possibile, di valori binari, quali vero/falso, al posto di attributi a valori multipli, che garantiscano la raccolta delle sole informazioni le cui combinazioni di valori degli attributi siano riferibili ad un numero di interessati pari o superiore a tre unità. A tal fine, si potrà procedere mediante la ridefinizione del numero di combinazioni di valori possibili degli attributi oggetto di trasferimento in modo tale da assicurare che nei dati ricevuti periodicamente dalla società non ci siano posizioni di pazienti che presentino combinazioni di valori degli attributi in numero inferiore alle tre unità, scartando pertanto quelle posizioni legate a combinazioni rare di valori di attributi che siano riferite a meno di tre pazienti.

Inoltre, al fine di assicurare che gli obblighi e le responsabilità derivanti dal processo di "anonimizzazione" dei dati sopra delineato siano ricondotti nell´alveo delle attività poste in essere da XY in qualità "responsabile del trattamento" (art. 29 del Codice) è necessario che la società renda noto alle strutture sanitarie che intendono avvalersi dei suoi servizi il trattamento in questione e le finalità perseguite. Tali elementi dovranno inoltre essere esplicitati nel modello di contratto standard sottoposto alla stipulazione delle strutture sanitarie (e nell´atto di designazione quale "responsabile del trattamento"). Ciò, fermi restando gli obblighi in capo alle strutture sanitarie, titolari del trattamento, di informare adeguatamente i soggetti interessati in relazione alle ulteriori operazioni di trattamento effettuate dalla XY per "anonimizzare" efficacemente i dati personali raccolti mediante le apparecchiature diagnostiche a fini di miglioramento della loro affidabilità e performance, nonché di verifica della qualità delle stesse (art. 13 e 28 del Codice).

4.3 Il trattamento di dati effettuato da XY nell´ordinario svolgimento dei servizi di manutenzione e assistenza

Qualora invece, come sora evidenziato, per specifici interventi tecnici, in loco e/o in remoto, posti in essere da XY nell´ambito delle ordinarie attività di manutenzione e di assistenza delle apparecchiature in uso presso le strutture sanitarie proprie clienti, si renda indispensabile l´accesso da parte della stessa società ai dati attinenti alla salute dei pazienti (sia pure indirettamente identificativi) per garantire il corretto funzionamento delle stesse, l´Autorità ritiene necessario prescrivere alla società, ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice, quali misure opportune per tutelare la riservatezza e il diritto alla protezione dei dati personali delle persone interessate, di:

- informare tempestivamente la struttura sanitaria presso la quale viene eseguito l´intervento tecnico posto in essere anche da remoto;

- documentare alla predetta struttura sanitaria, anche nell´ambito del rapporto tecnico di servizio previsto dal contratto stipulato con quest´ultima, le operazioni di trattamento (effettuate per eseguire l´intervento in loco o in remoto), che hanno avuto ad oggetto dati personali attinenti alla salute dei pazienti (anche qualora riguardino dati indirettamente identificativi), indicando le tipologie di dati coinvolti e le ragioni che hanno reso necessario trattare tali informazioni per assicurare e/o ripristinare il funzionamento dell´apparecchiatura;

- registrare le predette operazioni di trattamento (access log) con modalità tali da assicurarne la completezza, l´inalterabilità e la possibilità di verifica della loro integrità e metterle a disposizione della struttura sanitaria, su richiesta, avendo cura che tali registrazioni comprendano i riferimenti temporali e la descrizione dell´evento che le ha generate e siano conservate per un congruo periodo, non inferiore a sei mesi;

- rafforzare le tecniche di pseudonimizzazione utilizzate in modo da ridurre il rischio di re-identificare gli interessati dall´informazione relativa all´istante di tempo in cui uno specifico evento (ad es. esame diagnostico) è stato generato, adottando sistemi di riordino casuale degli eventi (shuffling), ovvero tecniche crittografiche basate sull´applicazione di chiavi variabili nel tempo anche mediante l´utilizzo, all´interno della chiave di codifica, di sequenze casuali di bit (c.d salt) non riconducibili in alcun modo al riferimento temporale dell´esame (ad es. data e ora), in modo da ridurre il rischio di risalire dai codici pseudonimizzati all´identità del paziente;

- effettuare il trasferimento all´estero di dati sanitari di pazienti (sia pure indirettamente identificativi) nel rispetto degli artt. 42-45 del Codice.

TUTTO CIO´ PREMESSO IL GARANTE

a) rilevata l´illiceità del trattamento effettuato da XY S.p.a., in qualità di autonomo di titolare, con riferimento alla raccolta periodica e automatica di dati personali sanitari (sia pure indirettamente identificativi) riferiti ai pazienti che presso le strutture sanitarie usufruiscono delle apparecchiature diagnostiche per le quali essa fornisce servizi di manutenzione e di assistenza, al loro trasferimento anche verso gli Stati Uniti, nonché all´utilizzo dei medesimi dati per scopi ulteriori (artt. 3, 11, 26, comma 1, 45 e punto 3 dell´autorizzazione generale n. 2 cit.), vieta a XY per il futuro, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d) del Codice, l´ulteriore trattamento non consentito di tali informazioni fin tanto che la società non adotti, ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice, quale misura necessaria per rendere il trattamento conforme alla disciplina sulla protezione dei dati personali, le misure e gli accorgimenti indicati nel punto 4.2 del presente provvedimento atti a non consentire con mezzi ragionevoli la re-identificazione dei pazienti interessati, neanche mediante il ricorso ad altre informazioni nella disponibilità della stessa società, di altre società del Gruppo XX o di terzi, nonché a assicurare che gli obblighi e le responsabilità derivanti dal processo di "anonimizzazione" dei dati siano ricondotti nell´alveo delle attività poste in essere da XY in qualità di "responsabile del trattamento;

b) qualora invece per specifici interventi tecnici posti in essere in loco e/o in remoto nell´ambito delle ordinarie attività di manutenzione e di assistenza delle apparecchiature in uso presso le strutture sanitarie, si renda indispensabile il trattamento da parte di XY di dati attinenti alla salute di pazienti (sia pure indirettamente identificativi) per garantire il corretto funzionamento delle stesse, prescrive alla medesima società, ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice, di adottare le misure opportune indicate nel punto 4.3 del presente provvedimento per tutelare la riservatezza e il diritto alla protezione dei dati personali delle persone interessate;

c) ai sensi dell´art. 157 del Codice, prescrive a XY di dare riscontro a questa Autorità delle misure assunte o che si intendono assumere circa l´avvenuta adozione delle prescrizioni di cui alle lettere a) e b) del presente provvedimento entro il 30 giugno 2014.

Il Garante, nel prescrivere XY, ai sensi dell´art. 157 del Codice, di comunicare entro il termine di cui alla lett. c) quali iniziative sono state intraprese o si intendono intraprendere al fine di dare attuazione al presente provvedimento, ricorda che l´inosservanza di provvedimenti del Garante adottati ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d) del Codice è punita dal Codice (art. 170). Si ricorda inoltre che il mancato riscontro alla richiesta ex art. 157 è punito con la sanzione amministrativa di cui all´art. 164 del Codice.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´Autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 10 aprile 2014

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia