g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Agenzia di Tutela della Salute della Città metropolitana di Milano - 13 maggio 2021 [9685332]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9685332]

Ordinanza ingiunzione nei confronti di Agenzia di Tutela della Salute della Città metropolitana di Milano - 13 maggio 2021

Registro dei provvedimenti
n. 268 del 13 maggio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del Garante n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

RELATORE prof. Pasquale Stazione;

PREMESSO

1. L’attività istruttoria.

A inizio novembre 2020, l’Ufficio ha appreso da notizie stampa e da alcune segnalazioni della circostanza che, attraverso il Portale “Milano COR”, raggiungibile all’indirizzo “https://milanocor.ats-milano.it/”, sarebbe stato possibile conoscere se un cittadino dell’area metropolitana milanese fosse, o fosse stato, positivo al Covid-19, semplicemente inserendo il codice fiscale e il numero di telefono mobile in una pagina del predetto Portale. In particolare, se il soggetto -a cui si riferivano i predetti dati- era, o era stato, positivo, il Portale rivelava che era già presente un account per tale soggetto (consigliando l’accesso tramite le credenziali e-mail e password); in caso contrario proponeva allo stesso la registrazione al servizio, rivelando così indirettamente lo stato di positività attuale o passato al Covid-19, in quanto il predetto servizio era dedicato solo ai soggetti rientranti in tale categoria di utenti.

Al riguardo, in data 3 novembre 2020, l’Ufficio ha effettuato un accertamento da remoto, le cui risultanze sono state verbalizzate in una relazione di servizio in atti, da cui è stato verificato quanto rappresentato nelle notizie stampa e nelle predette segnalazioni ed è stata accertata la disattivazione del servizio, con le modalità sopra descritte, nella tarda mattinata dello stesso 3 novembre 2020.

In relazione a quanto rilevato, sono state richieste informazioni all’Agenzia di Tutela della Salute (ATS) della Città metropolitana di Milano (di seguito Agenzia) (nota del 3.11.2020, prot. n. 41338), la quale ha fornito elementi di riscontro con la nota del 10 novembre 2020 (prot. n. 158410) inviando anche la valutazione d’impatto sulla protezione dei dati e il modello di “informativa”, redatto ai sensi degli artt. 13 e 14 del Regolamento, relativi al trattamento in esame. Nella predetta nota l’Agenzia ha in particolar modo rappresentato che:

“In situazione di estrema urgenza e con la necessità di reperire informazioni sui sintomi che servivano a stratificare la popolazione, al fine di consentire di mettere in sorveglianza attiva i soggetti a maggior rischio, e all'aumentare dei casi non inchiestati, il 18 ottobre è stato rilasciato uno sviluppo basato su sistemi informativi dell'inchiesta epidemiologica in cui il soggetto positivo veniva attivamente ingaggiato, tramite un SMS, e invitato a dare informazioni - che, almeno in parte, permettono di garantire le funzioni di tracciamento utili per finalità di sorveglianza pubblica - su un portale predisposto dalla scrivente ATS. Pertanto, è stato immediatamente predisposto un sistema di accesso basato sul codice fiscale del soggetto insieme al numero di telefono, da lui stesso comunicati, su cui perveniva I'SMS di invito ad aderire a questa nuova modalità di tracciamento. Contemporaneamente, è stato avviato lo studio per l'attivazione della procedura di chiave terza via sms finalizzata a migliorare la sicurezza dell'accesso. Lo sviluppo della chiave terza, infatti, necessita di tempi di programmazione, di sviluppo e di risorse non immediatamente disponibili per cui, attualmente, è in fase di test”;

− “Una volta identificato il soggetto positivo mediante la combinazione delle due chiavi a lui note (Codice Fiscale e Numero di telefono), l'utente provvedeva a creare un proprio profilo scegliendo autonomamente uno username ed una password associate al suo profilo. Le password inserite vengono conservate in modo cifrato. L'utente accede ad un profilo, in cui può inserire informazioni”;

− “era presente, nel primo rilascio del Portale, soltanto l'indicazione della data e del luogo del primo tampone effettuato dall'utente. Attualmente, nella versione che verrà rilasciata, tale indicazione non verrà più riportata”;

− “L'adesione dei cittadini è stata massiva e circa il 30% dei nuovi casi ha avuto accesso al Portale consentendo, inoltre, alla equipe che si occupa di inchieste epidemiologica di mirare le interviste verso i minori, i casi da scuola e i cluster più problematici di casi insorti in alcune comunità specifiche”;

− “In particolare, si riporta lo screen-shot della pagina "profilo" che contiene esclusivamente i dati inseriti dall'utente (username, codice fiscale, data di effettuazione del tampone e sede ma non il referto” (screen-shot in atti);

− “In relazione al caso in analisi, durante le consuete operazioni di monitoraggio del sistema e di analisi dei log dell'applicativo, è stato rilevato un numero di accessi elevato (circa 47000) provenienti dal medesimo utente ed indirizzo IP: tale evento si è verificato indicativamente tra le ore 8.00 e le 14:50 del giorno 2 novembre 2020. Di conseguenza è stata avviata l'analisi tecnica che ha portato a identificare l'IP attaccante e a procedere alla segnalazione al Network Provider Fastweb alle ore 18:45 del 2 novembre stesso per i provvedimenti del caso. Come da mail allegata, Fastweb si è attivata per le verifiche di rispettiva competenza”;

− “Rispetto a tale evento, ATS sta perfezionando la presentazione di denuncia alla Procura della Repubblica. Tale massiccio tentativo di accesso proveniva dallo stesso indirizzo IP ed era relativo allo stesso utente già registrato sul portale. Le informazioni riportate nel portale erano solo ed esclusivamente riferite al soggetto stesso e non ad altri soggetti ad esso correlate, peraltro, il soggetto specifico non aveva compilato né il questionario relativo ai sintomi, né aveva riportato eventuali informazioni riferite ai conviventi. Inoltre i dati contenuti nel portale sono soltanto quelli auto-inseriti dagli utenti. L'analisi dei log non ha evidenziato anomalie che hanno necessitato ulteriori approfondimenti. Pertanto, si è valutato che non si trattava di un Data Breach”;

− “Il giorno successivo 3/11, ATS ha avuto notizia di un video pubblicato su Youtube da cui si evidenziava la presenza di un errore applicativo relativo al messaggio di risposta ad una registrazione parziale, e pertanto ha deciso temporaneamente di sospendere la funzionalità di registrazione e di controllo. Tale evento ha comportato la sospensione cautelativa del portale a partire dal giorno 3 novembre e contemporaneamente ad avviare l'istruttoria per la segnalazione all'autorità competente”;

− “Il numero di interessati coinvolti dal trattamento in esame, distinguendo quelli già registrati al Portale da quelli potenzialmente destinatari dei suddetti servizi è così riportato: i casi coinvolti sono tutti i casi insorti in popolazione dal 10 ottobre (43.185); i casi registrati in totale inclusi sono 13.872; Il numero di interessati che hanno compilato il predetto "diario" è di 7.944”;

− “Il numero dei soggetti conviventi che sono stati segnalati attraverso le funzionalità previste nel predetto Portale è di nr. 13.596 e l'individuazione di tali soggetti rientra nelle best practices di tracing di ogni indagine epidemiologica. Relativamente ai soggetti conviventi gli interessati potevano inserire solo le informazioni qui di seguito riportate ma non dati/referti sanitari: nome, cognome, codice fiscale, cellulare, data di nascita e la data di contatto”;

− “i casi che si accreditavano al portale erano circa il 30% dei casi insorgenti al giorno, dunque 1000-1500 casi al giorno nell'ultima settimana”.

Con specifico riferimento alle misure adottate al fine di scongiurare che episodi come quello in esame possano ripetersi, l’Agenzia ha inoltre dichiarato che erano in via di adozione le seguenti misure:

− “il portale sarà ripristinato con l'attivazione di una terza chiave che verrà generata automaticamente, trasmessa mediante SMS al numero di telefono indicato dall'interessato al momento dell'effettuazione del proprio tampone. In particolare, il sistema funzionerà in tal modo: l'accesso al portale e quindi anche alla fase di registrazione sarà condizionato — oltre che all'indicazione del codice fiscale e del cellulare dichiarata anche alla conoscenza di un codice casuale composto da 6 cifre (codice alfanumerico) con validità di circa 5 minuti dal ricevimento del SMS (la determinazione esatta del tempo di validità del SMS dipenderà dall'esito dei testi per la corretta temporizzazione). Il codice casuale sarà trasmesso esclusivamente al cellulare indicato dall'interessato al momento del prelievo del tampone. Tale meccanismo sarà applicato sia agli utenti già registrati sia ai nuovi interessati, censiti con riferimento ai tamponi effettuati dal SSR”;

− “La soluzione sopra riportata prevede anche un controllo ulteriore consistente nell'inserimento a fronte di un codice fiscale, cellulare, chiave terza validi (con validità temporale) di un numero limitato di codici fiscali consultabili pari a una soglia definita, determinata sulla base di una valutazione in progress relativa al numero massimo di componenti del nucleo familiare che insistono su un unico numero telefonico (ad es., cellulare del genitore e figli conviventi). Superata la soglia, l'utente viene bloccato e dovrà inviare segnalazione a casella email dedicata”;

− “Miglioramento dei meccanismi di analisi dei LOG per la rilevazione tempestiva di eventuali anomalie”;

− “Miglioramento del processo di analisi delle soluzioni per la sicurezza informatica e per l'adozione di forme di protezione e di meccanismi mirati di prevenzione dagli attacchi esterni”;

− "Visualizzazione dell'Informativa al momento della registrazione al Portale”.

In relazione a quanto emerso dalla documentazione in atti, l’Ufficio ha notificato all’Agenzia, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981) (nota del 2 dicembre 2020, prot. n. 45911).

In particolare, l’Ufficio, nel prendere atto delle azioni poste in essere dall’Agenzia per superare le criticità emerse con riferimento alle modalità di accesso al Portale “Milano COR”, ha ritenuto che l’erogazione dei servizi descritti, attraverso il predetto Portale, sia avvenuta in maniera non conforme ai principi di “integrità e riservatezza” e di “protezione dei dati per impostazione predefinita” (artt. 5, par. 1, lett. f), e 25, par. 2, del Regolamento), in assenza di misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio presentato dal trattamento (art. 32 del Regolamento), in assenza di una preventiva valutazione di impatto sulla protezione dei dati e in maniera non conforme al principio di responsabilizzazione (artt. 5, par. 2, e 35 del Regolamento), nonché senza aver fornito agli interessati le informazioni previste dalla disciplina in materia di protezione dei dati personali (artt. 5, par. 1, lett. a), e 13 del Regolamento).

Con nota del 31 dicembre 2020, l’Agenzia ha fatto pervenire le proprie memorie difensive, in cui è stato ribadito quanto già indicato nella richiamata nota del 10 novembre 2020 e rappresentato, in particolare, che:

“Ai minori non è mai stata consentita l’accessibilità diretta al portale con proprio account e la raccolta di dati personali di minori poteva avvenire solo se segnalati come contatto dall’utente positivo già registrato all’interno del suo esclusivo profilo”;

“il dato relativo alla positività al Covid19 poteva in astratto essere desunto soltanto da chi fosse a conoscenza del funzionamento del portale (ATS e i propri incaricati opportunamente designati quali soggetti autorizzati al trattamento)”;

”Da quanto consta, non si è verificata alcuna violazione dei dati, in quanto l’inserimento di codice fiscale e numero di telefono nella home page del portale, determinava unicamente l’apertura di una finestra informativa priva di dati o di informazioni personali, salvo il fatto che, in astratto, conoscendo le caratteristiche tecniche del funzionamento del portale, con un’operazione logica articolata, si sarebbe potuto dedurre indirettamente lo stato di positività, pregressa o passata, in base al messaggio informativo rilasciato dal portale dopo l’immissione della combinazione di dati corretta”,

“Occorre rilevare che l’inserimento di un codice fiscale già esistente dava luogo al messaggio in precedenza richiamato. Tale caratteristica progettuale si era resa necessaria considerando che l’epidemia coinvolgeva interi nuclei familiari e si erano generati problemi nell’accessibilità al servizio qualora nel portale non fosse inserito lo stesso numero di utenza fornito al momento del tampone nel laboratorio di analisi. Si tratta, in ogni caso, di operazione articolata ed elaborata, circoscritta alla sola esperienza dell’utente segnalante, in quanto, diversamente, i sistemi di sicurezza adottati da ATS ed illustrati nella nota del 10 novembre 2020 avrebbero segnalato molteplici o anomali tentativi di accesso provenienti da un unico indirizzo IP”;

sulla base delle verifiche effettuate ritiene che “i tentativi di accesso illegittimo furono circoscritti al solo evento del 2 novembre 2020”;

“Le circostanze di cui sopra consentono allora di ritenere che, anche a voler ravvisare una violazione della disciplina di riferimento sotto il profilo dell’omessa adozione di misure idonee sin dalla progettazione del trattamento, l’entità della stessa debba ritenersi estremamente lieve, in quanto l’asserita violazione: -è stata circoscritta ad un arco temporale ristretto (due settimane); non ha determinato la violazione di dati personali; non ha causato danni agli interessati; è stata immediatamente risolta con intervento immediato, e indipendentemente dalla comunicazione del Garante del 3 novembre 2020”;

“ATS forniva l’informativa agli interessati richiesta dall’art. 13 del Regolamento, direttamente nella sezione dedicata all’informativa privacy del proprio sito Internet richiamato dal portale, rimasta inalterata sin dall’entrata in vigore del Regolamento (cfr. informativa allegata sub 5). L’informativa ivi contenuta è quella generale utilizzata da ATS, che, per come formulata, sembra idonea a ricomprendere anche i trattamenti effettuati nell’ambito del portale stesso nell’ambito dell’emergenza sanitaria causata dal Covid19. (…) La circostanza che non sia indicato espressamente l’art. 9 del Regolamento nel paragrafo non sembra sufficiente ad inficiare la correttezza dell’informativa in esame, posto che nessuna disposizione onera il titolare dall’obbligo di indicare i riferimenti agli articoli del Regolamento, essendo sufficiente che i contenuti dell’informativa consentano all’interessato di comprendere le informazioni richieste dalla norma, che nel caso di specie risultano fornite”;

“In ogni caso, giova rilevare che l’art. 17-bis, comma 5, del d.l. 17 marzo 2020, n. 18, prevede che le strutture pubbliche e private del Servizio Sanitario Nazionale “possono omettere l’informativa di cui all’articolo 13 del medesimo regolamento o fornire un’informativa semplificata, previa comunicazione orale agli interessati dalla limitazione”. La circostanza che il legislatore abbia dispensato le strutture sanitarie come ATS dall’obbligo di fornire l’informativa, consente senz’altro di ritenere superato l’addebito mosso ad ATS, che, facendo più di quanto fosse richiesto dalla norma, forniva per iscritto tramite il proprio sito Internet la comunicazione relativa al fatto che il trattamento si realizzava per finalità di programmazione territoriale sanitaria e socio sanitaria integrata a quella sociale, nonché per finalità di igiene e sanità pubblica. La mancata comunicazione orale della limitazione, peraltro impossibile nel caso di specie in cui il trattamento dei dati avviene on line, pur essendo prevista dalla norma, non riceve alcuna sanzione dal legislatore, costituendo una mera indicazione di natura programmatica. Né può ritenersi che la comunicazione orale della limitazione costituisca il presupposto per avvalersi dell’esenzione dall’obbligo di fornire l’informativa, in violazione del principio di tassatività e determinatezza delle sanzioni amministrative. Appare a chi scrive irragionevole ritenere che una norma eccezionale emanata durante un inedito stato di emergenza oneri la struttura sanitaria titolare del trattamento di informare l’interessato che non sarà fornita alcuna informativa, sotto pena di ritenere applicabile la disciplina derogata con annesse rilevantissime sanzioni.” (…) Un’interpretazione costituzionalmente orientata del predetto art. 17-bis, comma 5, non può che indurre a ritenere applicabile al caso di specie l’esonero dall’obbligo di fornire l’informativa disposto dalla citata norma, ritenendo altresì perfettamente legittima ed anzi lodevole la condotta dell’Agenzia, indipendentemente dal mancato richiamo orale della limitazione di cui al citato art. 17-bis (…). Deve in ogni caso rilevarsi che, dopo la prima comunicazione del Garante in data 3 novembre 2020, ATS recepiva il suggerimento fornito, predisponendo una distinta informativa destinata a disciplinare esclusivamente il trattamento sotteso all’utilizzo del portale”;

“Escludendo allora la sussistenza del dolo, posto che in atti non constano elementi che possano indurre a ritenere che la programmazione del portale fosse intenzionalmente deficitaria relativamente ai profili contestati, occorre comprendere se la presunta – e contestata - violazione in esame possa ascriversi all’Agenzia a titolo di colpa”;

“Sotto tale profilo questa difesa ritiene che, sebbene la presunta violazione tragga origine da una possibile lacuna nella programmazione del portale, il contesto di assoluta eccezionalità ed emergenza1 in cui ATS stava operando esclude la sussistenza dell’elemento della colpa richiesta dalle norme di riferimento ai fini della punibilità della condotta e quindi dell’irrogazione di eventuali sanzioni”;

ritiene “non punibile la condotta di ATS nel contesto specifico, posto che, anche a voler ravvisare l’integrazione di una violazione, la responsabilità del titolare di trattamento appare insussistente per forza maggiore”;

“La principale misura adottata per attenuare gli effetti della violazione per gli interessati è stata quella di sospendere il portale in data 3 novembre 2020, ripristinandone il funzionamento soltanto dopo l’integrazione delle misure di sicurezza e organizzative”;

“Come illustrato nella nota trasmessa il 10 novembre 2020, non appena ricevuta la prima comunicazione di questa Autorità, ATS realizzava una “terza chiave” di autenticazione per l’accesso al portale, integrando lo stesso con specifica informativa ai sensi dell’art. 13 del Regolamento”;

con riguardo “alla ravvisata violazione consistente nell’omessa adozione della valutazione di impatto nel primo periodo di operatività del portale in precedenza indicato (dal 18 ottobre 2020 al 3 novembre 2020)”, “l’attivazione del portale era occasionata dall’impellente necessità di far fronte all’improvvisa gestione dei pazienti affetti da Covid19. Il peculiare contesto emergenziale imponeva un’attivazione immediata, non compatibile con l’adozione, pur prudenziale, di una valutazione di impatto. Sembrano in ogni caso difettare i requisiti che impongono l’effettuazione della citata valutazione. Il portale era infatti destinato a contenere soltanto la registrazione di informazioni rivelatrici dello stato di positività, pregressa o presente, al Covid19, senza contenere referti, dati sanitari o altre informazioni che potessero “presentare un rischio elevato” per l’interessato (art. 35 del Regolamento). Il concetto di rischio elevato non si identifica necessariamente con la natura particolare del dato ai sensi dell’art. 9 del Regolamento. Il comma 3 del citato art. 35 esemplifica invero l’ipotesi in cui il trattamento di categorie particolari di dati sia effettuato su larga scala, ciò che non sembra potersi affermare nel caso di specie. In primo luogo, infatti, occorre considerare che il portale è stato attivato in un periodo (a partire dal 18 ottobre 2020), in cui non era possibile prevedere il numero di soggetti che avrebbe usufruito del portale stesso (numero che, come si è illustrato, si è rivelato per circa tre quarti inferiore ai soggetti effettivamente contagiati). In secondo luogo, il concetto di larga scala andrebbe rapportato al numero di abitanti dell’area metropolitana di Milano, che conta circa 3.500.000 individui. Alcune migliaia di utenti, casualmente dislocati in una Regione così popolosa, non dovrebbero integrare il requisito di larga scala richiesto dalla citata disposizione. […] Ad ogni buon conto, ATS provvedeva ugualmente ad effettuare la valutazione di impatto del 9 novembre 2020 non appena richiesta da questa Autorità”.

2. Esito dell’attività istruttoria.

Preso atto di quanto rappresentato dall’Agenzia nella documentazione in atti e nelle memorie difensive, si osserva che:

i dati personali devono essere “trattati in modo lecito corretto e trasparente” (principio di “liceità, correttezza e trasparenza”) e “in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (principio di “integrità e riservatezza”)” (art. 5, par. 1, lett. a) e f), del Regolamento);

ai sensi del Regolamento si considerano “dati relativi alla salute” i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute (art. 4, par. 1, n. 15, del Regolamento). Il considerando n. 35 del Regolamento precisa poi che i dati relativi alla salute “comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria”; “un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari”;

il Regolamento prevede poi che il titolare del trattamento metta in atto “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”, tenendo conto, tra l’altro, “della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” e che “nel valutare l’adeguato livello di sicurezza si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati” (art. 32 del Regolamento);

il titolare del trattamento deve, inoltre, rispettare il principio della “protezione dei dati per impostazione predefinita”, in base al quale deve “mette[re] in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento” con riferimento a “la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità”, garantendo, in particolare, “che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica” (art. 25, par. 2, del Regolamento).

le disposizioni d’urgenza adottate nel corso degli ultimi mesi prevedono degli interventi emergenziali che implicano il trattamento dei dati e che sono frutto di un delicato bilanciamento tra le esigenze di sanità pubblica e quelle relative alla protezione dei dati personali, in conformità a quanto dettato dal Regolamento per il perseguimento di motivi di interesse pubblico nei settori della sanità pubblica (cfr. art. 9, par. 1, lett. i)). Resta ovviamente fermo che il trattamento dei dati personali connesso alla gestione della predetta emergenza sanitaria deve svolgersi nel rispetto della disciplina vigente in materia di protezione dei dati personali e, in particolare, dei principi applicabili al trattamento, di cui agli artt. 5 e 25, par. 2, del Regolamento, in parte sopra richiamati;

la predetta normativa di urgenza non ha derogato le disposizioni in materia di protezione dei dati personali relative alla sicurezza del trattamento (art. 32 del Regolamento) e alla valutazione di impatto sulla protezione dei dati (art. 35 del Regolamento);

sulla base di quanto accertato, le misure inizialmente adottate, consentivano a chiunque di conoscere se un cittadino dell’area metropolitana milanese fosse, o fosse stato, positivo al Covid-19, semplicemente inserendo il suo codice fiscale e il relativo numero di telefono mobile in una pagina del predetto Portale. Se il soggetto -a cui si riferivano i predetti dati- fosse (o fosse stato) positivo, infatti il Portale rivelava che era già presente un account per tale soggetto (consigliando l’accesso tramite le credenziali email e password), ovvero proponeva allo stesso la registrazione al servizio. Nel caso in cui il soggetto non fosse (o fosse stato) positivo al Covid-19 era possibile procedere alla creazione dell’account. Ciò stante il servizio offerto attraverso il predetto Portale consentiva quindi di risalire allo stato di positività attuale o passato al Covid-19 di un soggetto (https://www.ats-milano.it/portale/In-primopiano/novusact/viewarticle/articleid/3445);

le modalità di accesso al predetto servizio sopra descritte, scelte dall’Agenzia per identificare gli utenti in fase di registrazione sino alla data del 3 novembre 2020, non sono risultate idonee a scongiurare il rischio che soggetti non autorizzati potessero facilmente conoscere lo stato di positività, anche pregresso, di alcune persone, semplicemente inserendo il loro codice fiscale e il numero di telefono mobile nel predetto Portale;

i sistemi di monitoraggio utilizzati dall’Agenzia consentivano di rilevare accessi non autorizzati solo a posteriori, risultando così inadeguati a impedire la verifica puntuale dello stato di positività (attuale o pregresso) di un soggetto semplicemente inserendo il codice fiscale e il numero di telefono dello stesso;

la mancata adozione di adeguate misure volte a garantire che, per impostazione predefinita, non fossero resi accessibili a un numero indefinito di persone dati personali degli interessati risultati positivi al Covid 19, si pone in contrasto con il principio della “protezione dei dati per impostazione predefinita” (art. 25, par. 2, del Regolamento);

diversamente da quanto ritenuto, la fattispecie in esame rientra tra quelle per le quali il titolare è tenuto ad effettuare, “prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali” (art. 35 del Regolamento). Ciò, in quanto, per il trattamento in esame, ricorrono certamente due dei criteri indicati dal Comitato Europeo per la protezione dei dati per individuare i casi in cui un trattamento debba formare oggetto di una valutazione di impatto. In particolare, si fa riferimento ai seguenti criteri: trattamento di “dati sensibili o aventi carattere altamente personale” e di “dati relativi ad interessati vulnerabili” tra i quali si annoverano i malati (cfr. Linee guida in materia di valutazione d'impatto sulla protezione dei dati e determinazione della possibilità che il trattamento "possa presentare un rischio elevato" ai fini del regolamento (UE) 2016/679 adottate il 4 aprile 2017, come modificate e adottate da ultimo il 4 ottobre 2017, e fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018 -WP 248 rev.01, III, lett. B, punti 4 e 7). Si ritiene, poi, che, con riferimento al caso di specie, possa essere, anche solo potenzialmente, soddisfatto il criterio relativo al “trattamento di dati su larga scala” considerato che, secondo quanto dichiarato dall’Agenzia, l’adesione al servizio è stata “massiva” e ha riguardato in sole due settimane migliaia di interessati (cfr. richiamate Linee guida, III, lett. B, punto 5);

secondo quanto previsto dal Regolamento, la predetta valutazione di impatto deve essere effettuata prima di procedere al trattamento dei dati personali e deve contenere proprio quelle misure per affrontare i rischi e per garantire la protezione dei dati personali, la cui adozione avrebbe sicuramente evitato l’evento;

al riguardo, l’Agenzia ha invece trasmesso una valutazione di impatto che risulta essere stata redatta solo in data 9 novembre 2020, ovvero successivamente all’attivazione del predetto servizio sul Portale “Milano COR” e quindi in difformità al principio di responsabilizzazione (artt. 5, par. 2, e 35 del Regolamento) e la stessa risulta peraltro priva dell’esame degli specifici rischi di acceso non autorizzato sopra descritti e riferibili alla fattispecie in esame;

non si ritiene che i fatti in esame si siano verificati per cause di forza maggiore, ovvero siano imputabili ad eventi straordinari o imprevedibili tali da escludere la responsabilità, piuttosto che gli stessi siano dovuti a una (colposa) mancata valutazione, espressamente richiesta dalla disciplina in materia di protezione dei dati personali, dei rischi del trattamento con la conseguente mancata adozione di misure atte a ridurre i predetti rischi. Tali misure sono state poste in essere dall’Agenzia solo successivamente “non appena ricevuta la prima comunicazione di questa Autorità” inserendo una “terza chiave” per l’accesso al portale. La rapidità e la semplicità con cui l’Agenzia ha risolto il problema evidenziato dall’Autorità dimostrano che i fatti in esame avrebbero potuto essere evitati dal titolare e che quindi non sono imputabili a cause di forza maggiore;

con specifico riferimento alle informazioni da rendere agli interessati ai sensi dell’art. 13 del Regolamento, il legislatore, nel contesto emergenziale in atto, ha previsto che i soggetti che operano nel predetto contesto, ivi comprese le strutture pubbliche e private del Servizio sanitario nazionale, possano “omettere di fornire l'informativa” di cui al predetto articolo 13 “o fornire un'informativa semplificata, previa comunicazione orale agli interessati dalla limitazione” (art. 17-bis, comma 5, D.L. 17/03/2020, n. 18). Ciò stante non può ritenersi che la disposizione citata possa considerarsi un’esenzione assoluta dall’obbligo di fornire le informazioni di cui agli artt. 13 e 14 del Regolamento, soprattutto nei casi, come quello di specie, dove l’attuazione di questo adempimento non costituisce un intralcio e non comporta un ritardo nell’erogazione di un servizio, seppure nel contesto dell’emergenza. Al riguardo, giova rappresentare che, per tutti i trattamenti autorizzati dall’Autorità nel contesto emergenziale, è stato previsto che siano comunque fornite all’interessato le predette informazioni anche se con modalità semplificate (cfr, ex multis, provvedimenti adottati con riferimento al trattamento dei dati effettuato nell’ambito del sistema di allerta Covid 19- App Immuni- provvedimenti del 1.6.2020 e del 25.2.2021). Con specifico riferimento al caso di specie, si rileva che non sono evidenti peculiari complessità o necessità di azioni e risorse straordinarie nella pubblicazione delle informazioni indicate nel Regolamento sul predetto Portale;

nel rilevare che l’Agenzia, secondo quanto indicato in atti, non ha comunicato agli interessati l’intenzione di avvalersi della possibilità offerta dal citato art. 17-bis del D.L. 17/03/2020, n. 18, in merito alle informazioni da rendere all’interessato, neanche al momento dell’esecuzione del tampone, si osserva che il modello denominato “Informativa sul trattamento dei dati personali di ATS Milano nel portale Milano Cor” redatto dall’Agenzia ai sensi degli artt. 13 e 14 del Regolamento, in uso sino al mese di dicembre 2020, non risulta conforme a quanto richiesto dalla disciplina in materia di protezione dei dati personali. In particolare, contrariamente a quanto sostenuto dall’Agenzia, il titolare del trattamento deve indicare, tra le informazioni da rendere all’interessato, anche “la base giuridica del trattamento” (art. 13, par. 1, lett. c), del Regolamento). Il testo del modello di informativa in atti non forniva inoltre indicazioni puntuali in merito allo specifico trattamento effettuato e alle finalità perseguite (artt. 9 e 13 del Regolamento e artt. 2-sexies, 77 e ss. del Codice).

3. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni, si rileva l’illiceità del trattamento di dati personali effettuato dall’ATS della Città metropolitana di Milano, nei termini di cui in motivazione, in violazione degli artt. 5, par.1, lett. a) e f), e par. 2, 13, 25, 32 e 35 del Regolamento.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che l’Agenzia ha modificato le modalità di accesso al predetto Portale e che è stato redatto un nuovo modello attraverso il quale rendere le informazioni agli interessati di cui all’art. 13 del Regolamento prima del conferimento dei dati personali da parte degli stessi, in cui sono indicate le finalità perseguite e le basi giuridiche del trattamento non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

Si rappresenta tuttavia che il nuovo modello di informativa adottato dall’Agenzia presente sul Portale Milano COR (https://milanocor.ats-milano.it/freedownload/privacy) non indica in modo chiaro la figura del responsabile del trattamento e l’ambito dell’eventuale trasferimento di dati verso Paesi terzi.

4. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, par. 1, lett. a) e f), e par. 2, 13, 25, 32 e 35 del Regolamento, causata dalla condotta posta in essere dall’ATS della Città metropolitana di Milano, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 4 e 5, del Regolamento.

Si consideri che il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i), e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 85, par. 2, del Regolamento in relazione ai quali si osserva che:

la gravità della violazione commessa risulta elevata e il danno subito dagli interessati si ritiene di livello non basso ma medio (art. 83, par. 2, lett. a), del Regolamento);

l’Autorità ha preso conoscenza dell’evento a seguito di notizie stampa e di segnalazioni (art. 83, par. 2, lett. h), del Regolamento);

il trattamento effettuato dall’Agenzia riguarda dati idonei a rilevare informazioni sulla salute di un numero significativo di interessati (art. 83, par. 2, lett. a) e g), del Regolamento);

l’Agenzia ha fin da subito dimostrato un elevato grado di cooperazione adoperandosi al fine di introdurre, anche nella concomitanza del contesto emergenziale- misure idonee a superare i rilievi manifestati dall’Ufficio con l’atto di avvio del procedimento sanzionatorio (art. 83, par. 2, lett. c), d) e f), del Regolamento);

prima che l’Agenzia introducesse delle nuove modalità di accesso al predetto Portale, le precedenti modalità, sopra evidenziate, sono state utilizzate solo per un ristretto arco temporale (due settimane) (art. 83, par. 2, lett. a) e c), del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a), del Regolamento, nella misura di 80.000 (ottantamila) per la violazione degli 5, par. 1, lett. a) e f), e par. 2, 13, 25, 32 e 35 Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e dall’art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dalla Agenzia di Tutela della Salute della Città metropolitana di Milano per la violazione degli artt. 5, par. 1, lett. a) e f), e par. 2, 13, 25, 32 e 35 del Regolamento nei termini di cui in motivazione.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i), e 83 del Regolamento, nonché dell’art. 166 del Codice, all’Agenzia di Tutela della Salute della Città metropolitana di Milano, codice fiscale 09320520969, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 80.000 (ottantamila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento, secondo le modalità indicate in allegato, entro 30 giorni dalla notifica in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

alla predetta Agenzia, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 80.000 (ottantamila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante;

ai sensi dell’art. 157 del Codice di fornire entro 30 giorni dalla data di comunicazione del presente provvedimento chiarimenti in merito al soggetto designato responsabile del trattamento e all’ambito dell’eventuale trasferimento di dati verso Paesi terzi indicati nel modello di informativa presente sul Portale Milano COR (https://milanocor.ats-milano.it/freedownload/privacy);

l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 13 maggio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei