g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Associazione Covid-Healer ODV - 20 ottobre 2022 [9831081]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9831081]

Ordinanza ingiunzione nei confronti di Associazione Covid-Healer ODV - 20 ottobre 2022

Registro dei provvedimenti
n. 336 del 20 ottobre 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore l’avv. Guido Scorza;

PREMESSO

1. Introduzione: l’applicazione Covid Healer

Questa Autorità è venuta a conoscenza, mediante elementi rinvenibili al seguente link, https://www.insicurezzadigitale.com/covid19-cure-domiciliari-e-app-sospette-attenzione/, che l’Associazione Covid-Healer - ODV (di seguito l’ “Associazione”) ha realizzato l’Applicazione denominata “Covid Healer” (di seguito anche solo la “App”), qualificandosi quale titolare del trattamento dei dati personali degli utenti e dei professionisti sanitari che la utilizzano, nonché soggetto al quale spettano tutti i diritti inerenti la stessa (cfr. “Termini d'uso e informativa sulla privacy” disponibili in https://covidhealer.org/termini-duso-e-privacy-policy/).

Più precisamente, il predetto documento recante “Termini d'uso e informativa sulla privacy” evidenzia che l’Associazione, in qualità di titolare del trattamento, in relazione all’”Utente Paziente” (il soggetto, persona fisica che mediante l’App richiede consulenza e/o assistenza sanitaria per la cura della patologia di cui è affetto), tratta “i dati che l’Utente fornisce spontaneamente in fase di registrazione e di creazione dell’account o anche successivamente quali, a mero titolo esemplificativo, nome e cognome, data di nascita, numero di telefono, indirizzo di residenza, indirizzo e-mail o altri” nonché “i dati relativi alla propria salute che l’Utente fornisce spontaneamente in fase di registrazione e di creazione dell’account o anche successivamente quali, a mero titolo esemplificativo, pressione, glicemia, allergie, intolleranze, presenza di particolari patologie o assunzione di determinati farmaci o altri”.

Inoltre, nel medesimo documento, viene specificato che l’Associazione, in qualità di titolare, tratta anche i dati personali dell’Utente Professionista Sanitario, ossia “il soggetto persona fisica che mediante l’App, senza fini di lucro e quindi per finalità estranee e slegate alla sua attività professionale, fornisce al Paziente consulenza e/o assistenza sanitaria per la cura della patologia di cui quest’ultimo è affetto”.

2. L’attività istruttoria

Con nota del XX, l’Associazione ha fornito riscontro alla richiesta di informazioni dell’Ufficio (nota del XX, prot. n. XX), in ordine agli aspetti di protezione dei dati personali riguardanti gli utenti (sia pazienti che professionisti sanitari) che utilizzano l’Applicazione C-Healer.

L’Associazione in particolare ha rappresentato che:

- l’App C-Healer ha lo scopo “di agevolare il contatto tra il paziente e il personale medico” che (…) “abbia deciso di collaborare con la stessa [Associazione] e prestare volontariamente e gratuitamente assistenza agli Utenti-Pazienti che ne avessero bisogno”, tenuto conto “degli effetti che la pandemia Covid-19 ha avuto non solo sulla popolazione, ma anche sull’accessibilità ai servizi e alle strutture sanitarie”;

- “Una volta individuato il Professionista-Sanitario e garantito, pertanto, un collegamento tra questo e l’Utente-Paziente, l’Associazione lascia al Professionista-Sanitario (già Titolare autonomo del trattamento in ambito GDPR) la responsabilità esclusiva e la necessaria autonomia per fornire agli Utenti-Pazienti gli interventi e le prestazioni sociosanitari ritenuti opportuni”;

- “i dati trattati attraverso l’utilizzo dell’Applicazione C-Healer sono relativi a soggetti interessati qualificabili quali Utenti-Pazienti e Utenti-Professionisti Sanitari-Medici”;

- il Professionista Sanitario-Medico “opera, in relazione alle attività di cura e monitoraggio dei Pazienti-Utenti, quale Titolare Autonomo, assumendosi obblighi e responsabilità connesse al ruolo ricoperto; l’Accordo predisposto dall’Associazione che individua il Professionista Sanitario Titolare autonomo, è attualmente in fase di formalizzazione”;

- l’Associazione “assume il ruolo di Titolare Autonomo esclusivamente per le finalità di mera organizzazione di attività finalizzate alla risoluzione di problemi della salute dovuti al Coronavirus SARSCoV-2 e per le connesse attività di raccolta fondi, nonché di agevolazione della comunicazione tra l’Utente-Paziente interessato e l’Utente-Professionista Sanitario (già Titolare autonomo ex GDPR)”;

- “le finalità del trattamento perseguite attraverso l’utilizzo dell’App e relative agli utenti possono ricapitolarsi come segue:

a) permettere la registrazione all’Applicazione e, quindi, consentire il funzionamento della stessa e l’accesso ai servizi offerti per il tramite di tale strumento;

b) effettuare la manutenzione e l’assistenza tecnica necessarie ad assicurare il corretto funzionamento dell’App e dei servizi ad essa connessi, inclusa ogni implementazione anche per eventuali e nuove funzionalità;

c) dare riscontro alle richieste dell’Utente e a coloro che hanno, spontaneamente, inviato i propri dati personali;

d) adempiere agli obblighi previsti dalle leggi vigenti, dai regolamenti o dalla normativa comunitaria, o soddisfare richieste provenienti dalle Autorità;

e) raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come gli stessi utilizzino l’App;

f) permettere al Titolare di esercitare i propri diritti in ogni sede e reprimere eventuali comportamenti illeciti connessi all’utilizzo dell’App o ai servizi offerti tramite la stessa”;

- le basi giuridiche del trattamento sono state, tra le altre, individuate:

“per il trattamento dei dati non particolari, nell’esecuzione di un contratto e di misure pre-contrattuali, senza controprestazione economica, di cui alla lettera b), del par. 1, dell’art. 6 del GDPR;

per il trattamento, invece, dei dati particolari (incluso il loro trasferimento ai medici aderenti all’App), nel consenso prestato dall’interessato, ai sensi della lettera a), del par. 2, dell’art. 9 del GDPR”;

Con specifico riferimento all’acquisizione del consenso degli Utenti pazienti, l’Associazione ha dichiarato che:

“Il sistema operativo sviluppato tramite l’App permette di tenere traccia dell’avvenuto rilascio del consenso in relazione alle finalità indicate nel documento informativo messo a disposizione dal Titolare” e “del momento in cui tale consenso viene rilasciato”;

“quando l’Utente procede con la richiesta di adesione all’App attraverso l’avvio della procedura di creazione di un nuovo Account, il sistema richiede, oltre all’inserimento di alcuni iniziali dati personali (ossia: nome, cognome, indirizzo mail e una password personale), la presa visione e la contestuale accettazione dei termini d’uso dell’Applicazione e la presa visione e accettazione dell’informativa privacy”;

dopo l’avvenuta conferma dell’indirizzo email attraverso lo specifico link inviato all’Utente, quest’ultimo “potrà accedere alla fase successiva della registrazione, inserendo gli ulteriori dati richiesti (quali, a titolo esemplificativo: immagine dell’Utente, data di nascita, genere, indirizzo) e allegando la documentazione utile a permettere all’Associazione di effettuare le necessarie verifiche sull’identità dell’Utente stesso”, di cui verrebbe tenuta traccia nelle modalità descritte, nella richiamata nota di riscontro del XX;

a seguire, “la richiesta di registrazione viene presa in carico dall’Associazione, per il tramite di soggetti specificamente individuati (nominati “Autorizzati” al trattamento), che procederanno all’approvazione dell’iscrizione qualora siano rispettate tutte le condizioni richieste”;

“il sistema invierà alla mail indicata dall’Interessato un alert con cui all’Utente viene chiesto di inviare, a mezzo mail all’indirizzo registrazione@covidhealer.org, copia del modulo relativo al rilascio del consenso (rinvenibile al seguente link Consenso_informato-1.pdf (covidhealer.org)), debitamente compilato in ogni sua parte e sottoscritto dall’Interessato”.

L’Associazione ha inoltre evidenziato che la necessità di acquisire il documento d’identità del soggetto che intende registrarsi alla App deriva in particolare non solo da esigenze di sicurezza, ma anche per evitare che si iscrivano soggetti realmente non intenzionati ad usufruire dei servizi offerti, ovvero “scongiurare la registrazione all’Applicazione da parte di soggetti diversi da quelli che poi andranno a chiedere e ottenere l’assistenza medica da parte dei Professionisti Sanitari (…) la cui conservazione, però, sarà temporalmente limitata alle sole attività di controllo e verifica dell’effettiva esistenza del Paziente e, in ogni caso, non sarà eccedente la giornata della verifica”.

In relazione all’adempimento degli obblighi informativi, di cui agli artt. 13 e 14 del Regolamento, l’Associazione ha rappresentato che l’informativa viene fornita agli interessati in occasione della registrazione all’App.

L’Associazione ha inoltre sinteticamente illustrato le misure di sicurezza implementate. In particolare, i dati sarebbero archiviati in-Cloud utilizzando unicamente i servizi messi a disposizione da Google, in UE o nel SEE, che non comportano trasferimenti, archiviazioni o trattamenti di dati al di fuori del suddetto territorio.

Per quanto riguarda lo svolgimento della valutazione d’impatto ai sensi e per gli effetti dell’art. 35 del Regolamento, l’Associazione ha dichiarato che:

- “sono in corso le attività volte alla sua predisposizione seppure al momento non sarebbe stata rilevata la sussistenza di alti o elevati rischi per i diritti e le libertà degli Interessati anche in considerazione delle misure di sicurezza implementate”;

- “A tale riguardo, si ritiene opportuno richiamare quanto, peraltro, riportato in merito dalle Linee Guida WP 248 rev. 01 del WP29 le quali ribadiscono come in caso di assenza di elevati rischi per le libertà e i diritti degli Interessati, il Titolare possa decidere di non svolgere la Valutazione di Impatto (cfr. pag. 13)”;

- “ad oggi, non possa ritenersi configurato neppure il requisito della “larga scala”, almeno con riferimento ai dati particolari che, sulla base del numero di Utenti-Pazienti attualmente assegnati in cura ai Professionisti Sanitari, non risulta essere superiore alle 500 unità”.

L’Associazione infine ha prodotto in atti un Registro delle attività di trattamento recante la data del 17 gennaio 2022, successivamente modificato e allegato alla nota del XX.

Sulla base degli elementi acquisiti nell'ambito dell'istruttoria preliminare, l’Ufficio, con atto del XX (prot. n. XX), notificato in pari data mediante posta elettronica certificata, che qui deve intendersi integralmente riprodotto, ha avviato, ai sensi dell’art. 166, comma 5, del Codice, con riferimento alle specifiche situazioni di illiceità in esso richiamate, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2 del Regolamento, nei confronti dell’Associazione invitandola a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, l. n. 689 del 24 novembre 1981).

Con il predetto atto l’Ufficio ha rilevato che l’Associazione ha effettuato un trattamento dei dati sulla salute in assenza di una idonea base giuridica in violazione degli artt. 5, par. 1 lett. a), 6, 7 e 9 del Regolamento. Inoltre, tenuto conto delle richiamate titolarità del trattamento dell’Associazione e dei professionisti sanitari e non essendo stata effettuata alcuna designazione a responsabile del trattamento, ai sensi dell’art. 28 del Regolamento, l’Ufficio ha accertato che l’Associazione ha effettuato una comunicazione di dati sulla salute dei pazienti ai predetti professionisti in assenza di idoneo presupposto giuridico e quindi in violazione degli artt. 5, par. 1 lett. a) e 9 del Regolamento. L’Ufficio.

Con specifico riferimento al modello di informativa fornito dall’Associazione è stato accertato dall’Ufficio che esso viola i principi di correttezza e trasparenza dei dati (artt. 5, par. 1, lett. a), 12 e 13, del Regolamento). Da ultimo, l’Ufficio ha rilevato la violazione dell’art. 30 del Regolamento, in quanto il registro dei trattamenti prodotto in atti è risultato carente di talune delle informazioni minime che esso deve contenere ai sensi del richiamato art. 30, par. 1 del Regolamento e inoltre redatto dopo che il trattamento ha avuto inizio. È stata, altresì, contestata la violazione dell’art. 35 del Regolamento tenuto conto che, sulla base degli elementi acquisiti a seguito dell’attività istruttoria, nonché delle successive valutazioni svolte, è risultato accertato che la fattispecie in esame rientra tra quelle per le quali il titolare è tenuto ad effettuare, “prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali”.

3.  Le memorie difensive

Con nota del XX, l’Associazione C-Healer ha fatto pervenire le proprie memorie difensive, chiedendo altresì di essere audita, ai sensi dell’art. 166, comma 5 del Codice, nelle quali, è stato in via generale rappresentato che:

“l’intento dell’Associazione è sempre stato quello di perseguire la propria mission di supporto e assistenza ai soggetti colpiti dalle conseguenze della crisi pandemica nell’ambito di una oggettiva situazione emergenziale, rispettando le normative”;

“per comprovare la serietà del progetto (…) l’avvio della fase preliminare del presente procedimento istruttorio ha determinato l’Associazione a bloccare qualsivoglia operatività dell’App, avviando, contestualmente, un graduale e progressivo processo di adeguamento e miglioramento”;
Con specifico riferimento alle contestazioni mosse dall’Ufficio nell’atto di avvio del procedimento sanzionatorio ai sensi dell’art. 166 comma 5 del Codice, l’Associazione ha evidenziato quanto segue.

3.1 Sull’individuazione dei ruoli privacy

In relazione a tale profilo l’Associazione ha dichiarato che:

“dopo aver gestito la fase di iscrizione dell’Utente-Paziente all’Applicazione e aver garantito la corretta registrazione dello stesso e la creazione del proprio profilo Utente, lascia al Professionista Sanitario la responsabilità esclusiva e la necessaria autonomia atta a fornire agli Utenti-Pazienti gli interventi e le prestazioni sociosanitari ritenuti opportuni per adempiere alla mission perseguita”;

“non v’è dubbio sulla qualificazione dello stesso quale Autonomo Titolare del trattamento: ogni Medico, infatti, in relazione alle attività di cura e monitoraggio prestate nei confronti dei Pazienti-Utenti, si assume obblighi e responsabilità connesse al ruolo ricoperto, con le conseguenze che da ciò derivano non solo in punto di responsabilità medica (tema di cui non si ritiene necessario approfondire oltre in questa sede) ma anche in relazione al trattamento dei dati sanitari degli stessi Utenti-Pazienti”;

“il singolo Medico fornirà all’Utente - nel momento in cui entrerà per la prima volta in contatto con il Paziente affidatogli - una propria informativa ex art. 13 GDPR con la quale renderà tali soggetti informati circa le modalità e le finalità di trattamento dallo stesso perseguite. Di tale adempimento C-Healer informerà gli Utenti-Pazienti già all’interno delle proprie informative ex art. 13, adeguatamente revisionate e implementate durante il processo di adeguamento avviato dal Titolare in pendenza del presente procedimento (si rinvia al contenuto dell’apposita informativa ex art. 13 nella versione aggiornata ivi messa a disposizione di codesta Spettabile Autorità e di cui si dirà più ampiamente nel proseguo – cfr. Doc. 2 - Informativa ex art. 13 Utenti Pazienti (aggiornata))”;

“Si legge infatti, nella testé richiamata informativa (…) come il Professionista Sanitario, una volta avvenuta l’assegnazione del Paziente, diventa e opera quale Autonomo Titolare del Trattamento”;

“lo stesso Accordo che i Medici sottoscrivono con l’Associazione (…) ribadisce l’onere di ogni Professionista di farsi carico di individuare in maniera puntuale finalità, modalità e mezzi di trattamento dei dati personali dei pazienti che agli stessi saranno assegnati”

“(…) non v’è dubbio che il ruolo di questo strumento tecnologico sviluppato da C-Healer non possa che essere quello di mero strumento di contatto tra le due tipologie di soggetti Utenti dello stesso: Pazienti, da un lato e Medici, dall’altro”;

“una volta effettuata l’assegnazione del singolo Paziente al Medico, quest’ultimo quale professionista sanitario, soggetto provvisto dei requisiti di legge per esercitare l’attività di cura assistenza, assume la qualifica di Titolare Autonomo in relazione ai dati personali trattati per tali finalità, nominando contestualmente l’Associazione Responsabile del trattamento ex art. 28 GDPR, limitatamente alla fornitura della piattaforma come strumento utilizzato dal Medico per svolgere l’attività di cura e assistenza con maggiore tempestività ed efficienza”;

“L’Associazione, infatti, in questo secondo “segmento", agendo come mero Responsabile del trattamento, si limiterà a fungere da “banca dati” delle informazioni raccolte e a fornire il servizio di “gestione ed utilizzo dell’applicazione creata per consentire la cura dei pazienti/utenti” e secondo la tempistica di cui all’accordo con il Medico, procederà alla cancellazione di tutte le informazioni, anche sensibili e particolari, relative ai singoli Pazienti”.

3.2 Sulle basi giuridiche del trattamento

L’Associazione ha ribadito che:

“per quanto riguarda le (…) finalità connesse alla registrazione all’Applicazione e alla possibilità di consentire il funzionamento della stessa, nonché l’accesso ai servizi offerti per il tramite di tale strumento (…), le basi giuridiche sono state individuate (…):

- per il trattamento dei dati non particolari, nell’esecuzione di un contratto e di misure pre-contrattuali, senza controprestazione economica, di cui alla lettera b), del par. 1, dell’art. 6 del GDPR;
- per il trattamento, invece, dei dati particolari (incluso il loro trasferimento ai Medici aderenti all’App),

nel consenso prestato dall’interessato, ai sensi della lettera a), del par. 2, dell’art. 9 del GDPR”;

“l’informativa originariamente predisposta dall’Associazione e resa disponibile in una preliminare fase direttamente sull’App ha subito un processo di miglioramento e modifica durante l’attività di adeguamento avviata, medio tempore, da C-Healer. In conseguenza di tali modifiche, l’Associazione ha, così, predisposto una nuova informativa ex art. 13 GDPR rivolta agli Utenti-Pazienti che si accingono a richiedere l’iscrizione e la contestuale creazione di un profilo tramite la propria App”;

“Dalla lettura di tale documento nella sua versione aggiornata – che si tiene a precisare non è ancora disponibile per i soggetti interessati, per effetto dell’attuale status di blocco/sospensione dell’Applicazione – emerge pacificamente che i singoli Utenti-Pazienti potranno, in maniera oltremodo chiara, conoscere le finalità e le basi giuridiche alla base dei singoli trattamenti posti in essere da Covid-Healer, quale Titolare dei trattamenti e, allo stesso tempo, venire a conoscenza della possibilità che l’Associazione trasferisca i propri dati personali a soggetti terzi (leggasi i Professionisti Sanitari) solo ed esclusivamente a seguito del rilascio del proprio consenso, affinché questi ultimi possano – a propria volta in qualità di Titolari Autonomi del trattamento – effettuare quelle specifiche attività di trattamento connesse ai servizi di cura ed assistenza richiesti”;

“nella nuova versione dell’informativa ex art.13 GDPR rilasciata agli Utenti-Pazienti, questi ultimi verranno posti a conoscenza del fatto che ogni Medico, una volta presa in carica la singola posizione dell’Utente allo stesso affidato, si incaricherà di fornire a ciascuno di essi “le informazioni del caso ai sensi dell’art. 13 del GDPR, anche relativamente ai tempi di conservazione, nonché subentrando a Covid Healer – ODV, anche per la gestione delle richieste e delle comunicazioni dell’Utente”.

In relazione al consenso quale valida base giuridica del trattamento dei dati personali degli utenti pazienti l’Associazione ha rappresentato che:

“Non v’è dubbio, (…), sulla legittimità di tale base giuridica ritenuta percorribile dallo stesso GDPR che, all’art. 9, par. 2, lett. a) individua proprio nel “consenso degli interessati” una delle ragioni legittimanti il trattamento di “dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona”; e della “corretta implementazione di un sistema di raccolta del consenso che risulti conforme alle prescrizioni normative”;

“Proprio per garantire tale ultimo requisito, l’Associazione ha migliorato e implementato i propri processi di raccolta dei consensi degli interessati, giungendo a separare, in maniera puntuale, il momento in cui l’Utente-Paziente fornisce il proprio consenso al caricamento dei propri dati personali all’App da quello in cui lo stesso Utente conferisce la propria autorizzazione alla trasmissione di tali dati a un soggetto terzo (il Professionista Sanitario), affinché quest’ultimo possa fornire il proprio supporto e le proprie prestazioni di cura e assistenza (si rinvia per ulteriori dettagli relativi alle modalità di raccolta del consenso implementate dalla Associazione durante il processo di adeguamento avviato dalla stessa (…)”;

“Di tali elementi, l’Associazione tiene evidenza attraverso una procedura di tracciamento dei log connessi alle attività e/o accessi effettuati sull’App per il tramite dei servizi offerti dal proprio fornitore di servizi Cloud”;

“l’Associazione - nell’ambito del processo di graduale adeguamento e miglioramento della propria struttura privacy – sta valutando l’implementazione di un sistema che permetterà alla stessa di tenere altresì traccia dell’avvenuto rilascio dei consensi da parte degli Utenti Interessati. Il sistema, pertanto, verrebbe implementato con un meccanismo in grado di permettere l’invio automatico al Paziente di una mail con la conferma dell’avvenuta registrazione e dei consensi rilasciati”;

“l’Associazione ha sviluppato un nuovo sistema di raccolta e gestione dei consensi privacy relativamente ai trattamenti dei dati personali degli Utenti-Pazienti”;

“Terminata tale preliminare fase, il sistema genererà due nuove richieste di consenso, connesse alle finalità richiamate nell’informativa ex art. 13 del GDPR. Più nel dettaglio, l’App chiederà all’Utente-Paziente di fornire il proprio consenso in relazione a:

Caricamento delle informazioni sullo stato di salute e del quadro clinico dell’utente-paziente sull’App C-Healer, in modalità pseudonimizzata, conseguente alla richiesta di assistenza da parte dell’Interessato e, più in generale, agevolazione del dialogo tra lo stesso (Utente Paziente richiedente) e l’Utente Professionista Sanitario - Medico accettante, fino relativo abbinamento di tali due soggetti;

-Comunicazione dei dati personali degli Utenti Pazienti, inclusi quelli relativi alla salute, agli Utenti Professionisti Sanitari registrati sull’App, affinché possano dare il proprio supporto e le proprie prestazioni, comportanti la connessa archiviazione (tali Utenti Professionisti, come detto sopra, dalla ricezione in poi o comunque dall’abbinamento, tratteranno i dati in qualità di autonomi titolari);

I consensi, eventualmente rilasciati, dall’Utente-Paziente con riferimento a tali due specifiche finalità di trattamento – e di cui l’Associazione terrà traccia nel rispetto di quanto sopra meglio dettagliato - permetteranno all’Associazione di operare nel rispetto e in conformità delle finalità perseguite”;

“Nel caso in cui, (…) un Utente-Paziente decidesse di non prestare il proprio consenso in relazione a una o entrambe le finalità di cui sopra, l’utilizzo dell’Applicazione resterà limitato alla mera registrazione e/o alla sola finalità per cui è stato prestato il consenso. Ciò in ragione del fatto che senza gli specifici consensi, l’Associazione non potrà rispettivamente né caricare i dati personali particolari dell’Utente-Paziente sull’App né, a maggior ragione, trasferire gli stessi a un soggetto terzo quale il Professionista Sanitario”;

“Per quanto riguarda, (…) il trattamento dei dati personali degli Utenti-Professionisti Sanitari, l’Associazione, proprio al fine di rendere maggiormente intellegibile e trasparente la propria posizione nei confronti di tutti i soggetti interessati, ha separato tali informazioni creando un documento informativo ad hoc che, nel rispetto di quanto prescritto dall’art. 13 del GDPR, permetta in maniera semplice e chiara di individuare le diverse tipologie, le finalità e le connesse basi giuridiche relative ai trattamenti dei dati personali dei Professionisti Sanitari;

“ogni Utente-Paziente avrà la possibilità di esercitare il proprio diritto di revoca in relazione ai consensi conferiti (nel rispetto di quanto espressamente previsto dagli articoli 6, par. 3 e 4) contattando l’Associazione agli indirizzi indicati all’interno dell’Informativa stessa (tra cui, si avrà modo di notare, vi è anche l’indirizzo di contatto del Responsabile per la Protezione dei Dati Personali, nelle more adeguatamente individuato ed incaricato)”.

3.3. Sull’informativa agli interessati e sui diritti degli interessati

In relazione all’informazioni da rendere agli interessati, l’Associazione ha chiarito che “le due tipologie di soggetti interessati-Utenti (Pazienti, da un lato e Professionisti Sanitari, dall’altro) riceveranno, dal momento in cui verrà riavviata l’operatività dell’App, la nuova versione dell’informativa, a loro specificamente dedicata, ai sensi e per gli effetti dell’art. 13 del GDPR. L’esigenza di differenziare ulteriormente le informazioni messe a disposizione degli Utenti si è resa evidente nel più ampio processo di adeguamento del sistema privacy avviato dall’Associazione durante la fase iniziale dell’attuale procedimento istruttorio. Con riferimento alle modalità con cui sono stati espressi i richiami ai diritti esercitabili da parte degli Interessati in relazione ai trattamenti posti in essere dall’Associazione quest’ultima ha evidenziato “come quanto contenuto all’interno dell’informativa resa nota agli Utenti (e contestata da codesta Autorità) riportasse in maniera letterale il contenuto delle norme del GDPR. Ciò avveniva anche per quanto concerne la profilazione (…) salvo, poi, nella parte di dettaglio (…), chiarire in maniera netta come tali presunte attività di marketing e profilazione, nella realtà, non vengano in alcun modo poste in essere da parte di quest’ultima. Per dovere di chiarezza e trasparenza, peraltro, nelle nuove versioni aggiornate delle due informative l’Associazione ha del tutto eliminato tale riferimento”.

Con riguardo all’esatta indicazione dei tempi di conservazione dei dati personali in relazione alle specifiche finalità di trattamento, l’Associazione ha chiarito che “nelle nuove informative, (…) per ogni singola finalità di trattamento, oltre alla puntuale indicazione della base giuridica a fondamento, viene individuato un dettagliato e più specifico periodo di conservazione dei dati personali trattati, indicando uno o più termini di conservazione degli stessi in relazione agli specifici trattamenti connessi alle singole finalità in discussione”.

3.4 Sulla valutazione d’Impatto

A tale riguardo l’Associazione ha confermato che “nell’ambito del già sopra più volte richiamato, processo di adeguamento alla normativa privacy avviato dall’Associazione nelle more del presente procedimento istruttorio/sanzionatorio (la stessa) sta terminando le attività connesse alla predisposizione di tale documento”, pur non avendo “rilevato la sussistenza di alti o elevati rischi per i diritti e le libertà degli Utenti-interessati” e ritenendo, in ragione delle misure di sicurezza implementate “più che adeguato il livello di sicurezza raggiunto e basso il rischio connesso ai trattamenti svolti, che comunque non coinvolge un numero di utenti rientranti nell’alveo della “larga scala”.

3.5 Sul registro delle attività di trattamento

A tale riguardo l’Associazione ha chiarito che “nel secondo dei tre fogli di lavoro (denominato: “Registro dei Trattamenti”) da cui il documento è composto sono presenti tutti gli elementi asseritamente ritenuti assenti: - categorie dei destinatari dei dati (art. 30, par. 1, lett. d), cfr. colonne U, V e W); - finalità perseguite (art. 30, par. 1, lett. a), cfr. colonna A); - basi giuridiche del trattamento, cfr. colonna Q; - termini di conservazione dei dati (art. 30, par. 1, lett. f), cfr. colonna X)”.

Tale documento ha subito poi un aggiornamento “nell’ambito del complessivo piano di implementazione e adeguamento avviato nelle more del presente procedimento istruttorio/sanzionatorio” allegato alle memorie difensive.

4.  L’audizione svolta presso il Garante

In data XX, si è svolta l’audizione nel corso della quale l’Associazione -nel riservarsi di produrre ulteriore documentazione- ad integrazione di quanto già in atti ha dichiarato che:

“A seguito dell’intervento istruttorio del Garante, l’applicazione è stata sospesa avendo [l’Associazione] intenzione di riprendere l’utilizzo della stessa solo quando sarà pienamente conforme alla disciplina della protezione dei dati personali, interesse fondamentale dell’Associazione e che probabilmente nella fase iniziale di sviluppo dell’app non è stata oggetto di sufficientemente attenzione da parte dei legali all’epoca interessati dall’Associazione stessa. Si precisa inoltre che l’app è stata attiva per poco più di un mese, coinvolgendo circa 20 medici”;

“il progetto non ha finalità di lucro e che (…) ha l’interesse a migliorare lo stesso anche dal punto vista relativo alla protezione dei dati personali e che a tale scopo ha affidato ad altri legali la cura degli aspetti privacy, ciò a dimostrazione della [propria] buona fede”;

“l’accesso all’applicazione è gratuita e l’intervento dei medici viene effettuato pro bono”;

“non sono pervenute segnalazioni o lamentele in ordine al trattamento dei dati effettuato attraverso l’app”.

L’Associazione infine nel manifestare “la propria massima collaborazione” ha chiesto l’archiviazione del procedimento amministrativo e, in subordine, “pur senza riconoscere la fondatezza delle contestazioni, l’applicazione di una sanzione nella minore entità possibile considerato che l’Associazione è una onlus e che si sostiene con donazioni liberali”.

5. La documentazione integrativa prodotta

Con nota del XX, l’Associazione ha prodotto documentazione integrativa in particolare ribadendo di aver “avviato un progressivo processo di adeguamento della propria struttura e del proprio Sistema di Gestione Privacy alla normativa vigente, anche in relazione alle specifiche esigenze emerse dal primo, breve, periodo di funzionamento dell’App (si rammenta, circa un mese e mezzo, dal 24 dicembre 2021 al 5 febbraio 2022, momento in cui la funzionalità e l’operatività della App sono state interrotte)”. Ciò ha portato a un’ulteriore attività di integrazione e revisione della documentazione già prodotta in atti.

A tale riguardo, l’Associazione ha trasmesso lo “Schema di Accordo Covid-Healer – Medico/Professionista Sanitario” in cui sono definiti “in maniera puntuale obblighi e responsabilità del singolo Medico in relazione ai trattamenti dei dati personali effettuati e con riferimento all’utilizzo dell’App sviluppata da Covid-Healer” e “il ruolo in termini privacy di ciascuna di esse. In particolare, “l’Associazione assume il ruolo di Titolare Autonomo “esclusivamente per le finalità di promozione del servizio, di organizzazione e promozione di attività finalizzate alla risoluzione di problemi della salute dovuti al coronavirus SARS-CoV-2 e le connesse attività di raccolta fondi, nonché di agevolazione della collaborazione e il dialogo tra l’Interessato richiedente e il Medico accettante, anche per il tramite della raccolta delle richieste di iscrizione da parte degli utenti”, mentre, per quanto relativo alla “gestione e utilizzo dell’applicazione creata per consentire la cura dei pazienti-/utenti da parte dei Medici”, la stessa Covid-Healer, riceverà la nomina quale responsabile esterno dei trattamenti (ai sensi e per gli effetti dell’art. 28 GDPR). “Il singolo Medico/Professionista Sanitario assume il ruolo di Titolare Autonomo per quanto connesso a tutti i trattamenti finalizzati “alla gestione delle richieste di assistenza dell’utente-paziente attraverso le opportune indicazioni e il necessario supporto, ivi incluse, altresì, le attività di archiviazione e modifica dei dati degli interessati”.

In relazione ai ruoli privacy, l’Associazione ha altresì prodotto in atti la “Nomina di Covid-Healer quale Responsabile esterno del trattamento ai sensi dell’art. 28 del GDPR”.

Le azioni intraprese dall’Associazione hanno altresì comportato ulteriori modifiche all’informativa privacy da rendere agli Utenti – Pazienti al momento della creazione dell’account sull’App e al registro dei trattamenti, le cui copie aggiornate sono state acquisite agli atti del procedimento. L’Associazione ha infine rappresentato che “per facilitare e agevolare l’attività dei singoli Professionisti Sanitari, si è impegnata a fornir[gli] il supporto necessario alla predisposizione di una bozza di Informativa ex art. 14 del GDPR che gli stessi Medici dovranno adattare e rendere ai pazienti una volta avvenuto l’abbinamento e la presa in carico degli stessi. [Ferma restando], in ogni caso, la facoltà di ogni singolo Professionista Sanitario di non accettare la bozza di Informativa messa a disposizione da Covid-Healer e scegliere di utilizzarne una predisposta e adattata personalmente dagli stessi”.

6. L’esito della attività istruttoria: le violazioni accertate

L’attività istruttoria e il procedimento avviato dall’Ufficio, ai sensi dell’art. 166, comma 5, del Codice, hanno riguardato il trattamento dei dati personali effettuato dall’Associazione attraverso l’applicazione mobile C-Healer, che si pone l’obiettivo di mettere in contatto gli Utenti Pazienti e gli Utenti Professionisti Sanitari -per consentire ai Pazienti che manifestino i sintomi del Covid-19 di poter richiedere assistenza da remoto ad un Utente Professionista Sanitario.

A tale riguardo, preso atto di quanto rappresentato dall’Associazione nella documentazione in atti e nelle memorie difensive, in relazione ai predetti trattamenti si osserva quanto segue.

6.1. Il principio di liceità del trattamento dei dati personali (art. 5, par. 1, lett. a), 6, 7 e 9 del Regolamento)

In prima battuta l’Ufficio ha contestato la violazione dell’art. 5, par. 1, lett. a) del Regolamento, il quale prevede il rispetto del principio di liceità, in base al quale ogni trattamento di dati personali deve fondarsi su uno specifico presupposto giuridico.

Nel caso in cui la condizione di liceità sia rappresentata dal consenso, esso deve essere prestato attraverso un atto positivo con il quale l’interessato manifesta una volontà libera, specifica, informata e inequivocabile relativa al trattamento dei dati personali che lo riguardano. Qualora il trattamento è volto a perseguire una pluralità di finalità il consenso deve essere prestato per ciascuna di tali finalità (Considerando 32, 42 e 43, artt. 5, 6, par. 1, lett. a) e 7 del Regolamento e Linee guida 5/2020 sul consenso ai sensi del Regolamento (UE) 2016/679, adottate dal Comitato europeo per la protezione dei dati personali, il 4 maggio 2020; sent. C-673/17, del 1° ottobre 2019 e C-61/19, dell’11 novembre 2020).

Con specifico riferimento alle particolari categorie di dati, tra cui rientrano i dati sulla salute, l’art. 9 del Regolamento sancisce un generale divieto al trattamento di tali dati a meno che non ricorra una delle specifiche esenzioni a tale divieto tra le quali è previsto il consenso dell’interessato. Tale consenso, tenuto conto della natura di tali dati, particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, deve essere anche esplicito (art. 9, par. 2 lett. a) del Regolamento e par. 4 delle Linee guida 5/2020 sul consenso ai sensi del Regolamento (UE) 2016/679, adottate dal Comitato europeo per la protezione dei dati personali il 4 maggio 2020).

La disciplina in materia di protezione dei dati personali prevede inoltre –in ambito sanitario- che le informazioni sullo stato di salute possano essere comunicate solo all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso previa delega scritta di quest’ultimo (art. 9 Regolamento e art. 83 d.lgs. n. 196 del 30 giugno 2003 (Codice in materia di protezione dei dati personali – di seguito, il “Codice”).

Nel caso di specie, dalla documentazione in atti risulta accertata la violazione del principio di liceità del trattamento, in quanto all’epoca dei fatti l’Associazione, in relazione ai dati dei pazienti, per taluni trattamenti (indicati al punto 2 dell’Informativa ante modifiche apportate nel corso del procedimento) essa si è qualificata come titolare del trattamento (art. 24 del Regolamento). In relazione alle prestazioni medico sanitarie rese dai professionisti sanitari, il titolare del trattamento è stato identificato negli stessi professionisti sanitari (cfr. nota di riscontro alla richiesta di informazioni dell’Autorità, del XX). Tenuto conto delle richiamate asserite titolarità del trattamento dell’Associazione e dei professionisti sanitari e non essendo stata effettuata alcuna designazione a responsabile del trattamento tra tali soggetti, ai sensi dell’art. 28 del Regolamento, risulta accertato che sia la raccolta dei dati dei pazienti da parte dell’Associazione che la successiva comunicazione di tali dati sulla salute ai predetti professionisti è avvenuta in assenza di idoneo presupposto giuridico e quindi in violazione degli artt. 5, par. 1 lett. a) e 9 del Regolamento.

A tale riguardo, infatti, non può ritenersi una valida base giuridica, né per la raccolta, né tantomeno per la comunicazione di tali dati, il consenso prestato dai pazienti, cui fa riferimento l’Associazione nella documentazione in atti. Ciò in quanto tale consenso non è indicato nella sezione relativa alle basi giuridiche del trattamento dell’informativa privacy resa agli interessati, nella versione precedente alle modifiche apportate nel corso del procedimento.

Dalla documentazione in atti emerge che il consenso richiesto ai pazienti non sarebbe comunque conforme ai requisiti previsti dalla disciplina in materia di protezione dei dati personali, in quanto l’interessato che intendeva scaricare l’App C-Healer, oltre ad inserire alcuni iniziali dati personali (ossia: nome, cognome, indirizzo mail e una password personale), si trovava costretto, con un unico tasto di accettazione, anche a prendere visione e ad accettare tout court sia i termini d’uso dell’Applicazione che l’informativa privacy. La circostanza che sia stato richiesto un unico atto dispositivo da parte dell’interessato determina il mancato rispetto del requisito della specificità del consenso; ciò a maggior ragione se si considera che il trattamento riguarda dati sulla salute, rispetto ai quali, il consenso oltre ad essere specifico deve altresì essere esplicito (art. 9, par. 2, lett. a) del Regolamento). Sul punto, le richiamate Linee Guida 5/2020 sul consenso, chiariscono due aspetti rilevanti in relazione alla fattispecie in esame. Da una parte, che “con “azione positiva inequivocabile” si intende che l’interessato deve aver intrapreso un’azione deliberata per acconsentire al trattamento specifico”, dall’altra che “Il titolare del trattamento deve (…)  fare attenzione al fatto che il consenso non può essere ottenuto tramite la stessa azione con cui si accetta un contratto o le condizioni generali di servizio. L’accettazione globale delle condizioni generali di contratto/servizio non può essere considerata come un’azione positiva inequivocabile ai fini del consenso all’uso dei dati personali” (cfr. punti 77 e 83). Tanto premesso risulta accertata la violazione dei requisiti richiesti dalla normativa in materia di protezione dei dati ed in particolare quelli relativi alla necessità che il consenso al trattamento dei dati sulla salute sia specifico, informato ed esplicito (artt. 5, par. 1 lett. a), 6, 7 e 9 del Regolamento).

L’evidenza delle richiamate violazioni emerge anche con riferimento alla circostanza che l’Associazione nel corso del procedimento ha messo in atto una serie di misure correttive proprio al fine di rendere i trattamenti conformi al quadro normativo in materia di protezione dei dati personali. In particolare, ci si riferisce alle azioni intraprese e descritte nella nota del XX. L’Associazione, infatti, ha previsto puntuali interventi correttivi proprio relativamente ai requisiti relativi ad una manifestazione del consenso specifica, informata e prevedendo che il sistema genererà due nuove richieste di consenso connesse alle finalità richiamate nel nuovo testo dell’informativa. Il primo consenso riguarderà il “Caricamento delle informazioni sullo stato di salute e del quadro clinico dell’utente-paziente sull’App C-Healer, in modalità pseudonimizzata, conseguente alla richiesta di assistenza da parte dell’Interessato e, più in generale, agevolazione del dialogo tra lo stesso (Utente Paziente richiedente) e l’Utente Professionista Sanitario - Medico accettante, fino relativo abbinamento di tali due soggetti.”; il secondo la “Comunicazione dei dati personali degli Utenti Pazienti, inclusi quelli relativi alla salute, agli Utenti Professionisti Sanitari registrati sull’App, affinché possano dare il proprio supporto e le proprie prestazioni, comportanti la connessa archiviazione (tali Utenti Professionisti, come detto sopra, dalla ricezione in poi o comunque dall’abbinamento, tratteranno i dati in qualità di autonomi titolari)”.
L’Associazione ha inoltre chiarito di aver previsto di essere designata responsabile del trattamento dai Professionisti sanitari ai sensi dell’art. 28 del Regolamento con riferimento ai trattamenti dagli stessi effettuati per finalità di cura e di gestione del rapporto con il paziente, inviando lo schema tipo di contratto di nomina, in cui sono definiti gli obblighi e le responsabilità delle parti rispetto ai ruoli assunti nel corso delle diverse fasi del trattamento (cfr. par. 5).

6.2 Il principio di trasparenza e le informazioni da rendere agli interessati (artt. 5, par. 1, lett. a), 12 e 13 del Regolamento)

I dati personali devono essere trattati nel rispetto del principio di trasparenza (art. 5, par. 1 lett. a) del Regolamenti), fornendo preventivamente agli interessati -in caso di dati raccolti direttamente presso di essi- le informazioni di cui all’art. 13 del Regolamento. Tale principio impone che le informazioni agli interessati relative al trattamento dei dati personali siano rese in una forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro (cons. 39, 58 e art. 12 del Regolamento).

In tale quadro, l’obbligo di fornire agli interessati le informazioni in forma “concisa e trasparente” implica che il titolare del trattamento presenti le informazioni in maniera efficace e succinta, al fine di evitare un subissamento informativo. Esse dovrebbero essere “nettamente differenziate dalle altre informazioni che non riguardano la vita privata, quali clausole contrattuali o condizioni generali d’uso” e dovrebbero essere “concrete e certe, non dovrebbero essere formulate in termini astratti o ambigui né lasciare spazio a interpretazioni multiple” (cfr. punti 8 e 12, delle Linee guida sulla trasparenza ai sensi del regolamento 2016/679, adottate dal Gruppo Articolo 29, il 29 novembre 2017, versione emendata adottata l’11 aprile 2018 e paragrafo e paragrafo 3.7 ).

Nel contesto delle applicazioni che sono in grado di raccogliere grandi quantità di dati dal dispositivo (ad esempio dati memorizzati dall'utente e dati provenienti dai dispositivi mobili utilizzati per accedere all’app), l'utente finale ha il diritto di sapere che tipo di dati personali sono oggetto di trattamento, per quali finalità si intendono utilizzare e sulla base di quali presupposti giuridici. La disponibilità di queste informazioni è infatti imprescindibile per richiedere il consenso al trattamento dei dati personali dell’utente, che può infatti ritenersi valido solo se l'interessato è stato previamente informato in merito agli elementi chiave del trattamento dei dati e quindi reso consapevole delle scelte in materia di trattamento dati che sta effettuando attraverso la manifestazione del consenso. Inoltre, il titolare è tenuto a comunicare agli interessati con un linguaggio semplice e chiaro se i dati potranno essere riutilizzati da terzi e in tal caso per quali scopi. Indicazioni generiche presenti nella documentazione dell’Associazione come "innovazione del prodotto" sono da ritenersi inadeguate per informare gli utenti (cfr. paragrafo 3.7 del Parere 02/2013, sulle applicazioni per dispositivi intelligenti adottato il 27 febbraio 2013).

In ossequio al principio di trasparenza devono quindi risultare chiare, prima che il trattamento abbia inizio, sia le finalità che le corrispondenti basi giuridiche del trattamento.

Al riguardo, si evidenzia in particolare che l’informativa, nella versione precedente alle modifiche apportate dall’Associazione, non menzionava i diversi trattamenti e i diversi ruoli assunti dall’Associazione e dai professionisti sanitari in relazione al trattamento dei dati personali dei pazienti e non indicava il presupposto giuridico in base al quale l’Associazione comunicava i dati dei pazienti ai suddetti professionisti sanitari.

Con riferimento alle basi giuridiche del trattamento, l’informativa originaria inoltre riportava una pluralità di indicazioni tra loro molto eterogenee e non specificatamente correlate alle finalità perseguite. Erano infatti indicate le seguenti basi giuridiche del trattamento “art. 6, par. 1, lett. a), b), c), d), ed e) del GDPR” senza specificare per ognuna di esse a quali trattamenti fossero riferite.

A ciò si aggiunga che, nonostante il trattamento, come dichiarato dalla stessa Associazione, abbia ad oggetto anche dati relativi alla salute (es. pressione, glicemia, allergie, intolleranze, presenza di particolari patologie o assunzione di determinati farmaci), non era indicata la corretta base giuridica per il trattamento di tali dati e per la loro comunicazione ai professionisti sanitari che prenderanno in cura i pazienti, non essendo mai riportata l’indicazione dell’art. 9 del Regolamento concernente le condizioni di liceità del trattamento di categorie particolari di dati sanitari.

Si è inoltre rilevata una contraddizione in ordine alla facoltatività/obbligatorietà del conferimento dei dati sulla salute degli interessati. Mentre nell’informativa originaria in atti e nella richiamata nota di riscontro alla richiesta di informazione dell’Autorità, l’Associazione dichiara che tali informazioni sono fornite spontaneamente in fase di registrazione, di creazione dell’account o anche successivamente, nel documento in atti denominato “Termini d'uso e informativa sulla privacy”, invece, la fornitura dei dati è descritta come obbligatoria (cfr. punto 4).

Elementi contraddittori emergono anche con riferimento all’esercizio dei diritti riconosciuti agli interessati dal Regolamento, che in ambito sanitario sono esercitabili con alcune limitazioni di cui non si tiene conto nei richiamati documenti informativi. A ciò si aggiunga che nell’informativa originaria era inoltre indicato il diritto di opposizione “in ogni caso quando il trattamento avvenga per finalità di marketing diretto, inclusa la profilazione connessa a tale marketing”, ma di tali trattamenti non v’era menzione nella sezione relativa alle finalità del trattamento. Sul punto si rileva poi che, nella sezione relativa alle “Modalità del trattamento” dell’informativa originaria, veniva detto esattamente il contrario ovvero che “Non sono previsti processi decisionali automatizzati, inclusa la profilazione”.

Ulteriore contraddittorietà si evince con riferimento alla circostanza che nell’informativa originaria era previsto che l’interessato potesse “revocare in qualsiasi momento l’eventuale consenso prestato per specifiche finalità, inoltrando richiesta al Titolare”, sebbene, come sopra evidenziato, nel processo di download della App non fosse richiesto alcun consenso rispetto alle specifiche finalità del trattamento perseguite dal titolare.

Si rappresenta inoltre che in ordine ai tempi di conservazione dei dati e al trasferimento dei dati verso un paese terzo o a un'organizzazione internazionale, quanto indicato nell’informativa originaria peccava per eccessiva genericità. L’ambito del trasferimento dei dati e il periodo di conservazione degli stessi devono infatti essere puntualmente individuati con riferimento alle diverse tipologie di dati trattati e alle distinte attività di trattamento indicate nell’informativa.

Infine, la prima versione dell’informativa esaminata non recava l’indicazione dei dati di contatto del responsabile della protezione dei dati come invece richiesto dal Regolamento.

Tutto ciò premesso, risulta accertato che il modello di informativa fornito dall’Associazione agli interessati pazienti che intendano usufruire dei servizi offerti da quest’ultima attraverso la App C-Healer viola i principi di correttezza e trasparenza di cui agli artt. 5, par. 1, lett. a) 12 e 13 del Regolamento).

Con riferimento ai profili di violazione sopra descritti l’Associazione nel corso del procedimento ha posto in essere una serie di misure correttive volte a conformare il trattamento alle disposizioni normative applicabili. A tale riguardo si rinvia a quanto descritto nei precedenti paragrafi ed in particolare, alle azioni descritte ai precedenti punti 3.3. e 5.

6.3 La valutazione d’impatto (art. 35 del Regolamento)

Sulla base dei non condivisibili presupposti secondo cui i trattamenti in questione non comportassero la sussistenza di alti o elevati rischi per i diritti e le libertà degli utenti-interessati e non potesse ritenersi configurato neppure il requisito della “larga scala”, in quanto il numero di utenti-pazienti ab origine assegnati in cura ai professionisti sanitari, non risultava essere superiore alle 500 unità, l’Associazione non ha svolto rispetto ai trattamenti in esame alcuna valutazione di impatto.

Tuttavia, alla luce della natura dei dati trattati e della potenziale numerosità dei soggetti interessati, si ritiene che il trattamento in esame rientri nei casi in cui il titolare del trattamento non possa prescindere da una preventiva valutazione d’impatto sulla protezione dei dati, ai sensi dell’art. 35 del Regolamento e dei criteri individuati dal Gruppo art. 29 nelle Linee guida concernenti “Linee guida in materia di valutazione d'impatto sulla protezione dei dati e determinazione della possibilità che il trattamento "possa presentare un rischio elevato" ai fini del regolamento (UE) 2016/679, adottate il 4 aprile 2017 come modificate e adottate da ultimo il 4 ottobre 2017.

In particolare, come già rappresentato dall’Autorità in analoghe istruttorie, la fattispecie in esame rientra tra quelle per le quali il titolare è tenuto ad effettuare, “prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali” (art. 35 del Regolamento). Ciò, in quanto, per il trattamento in esame, ricorrono certamente due dei criteri indicati dal Comitato Europeo per la protezione dei dati per individuare i casi in cui un trattamento debba formare oggetto di una valutazione di impatto. In particolare, si fa riferimento ai seguenti criteri: “dati sensibili o aventi carattere altamente personale”, “dati relativi ad interessati vulnerabili” tra i quali si annoverano i pazienti (cfr. 4 Linee guida in materia di valutazione d'impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del regolamento (UE) 2016/679 adottate il 4 aprile 2017, come modificate e adottate da ultimo il 4 ottobre 2017 -WP 248 rev.01, III, lett. B, punti 4 e 7). Con riferimento al caso di specie, possono essere, inoltre, potenzialmente soddisfatti anche i seguenti criteri: “trattamento di dati su larga scala”, e “uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative” (cfr. richiamate Linee guida, III, lett. B, punti 5 e 8) (cfr. provvedimenti del 12 marzo 2020, del 21 aprile 2021 e del 13 maggio 2021).

Pur prendendo atto che l’Associazione ha rappresentato che “stanno terminando le attività connesse alla predisposizione della predetta valutazione d’impatto”, la stessa, in qualità di titolare dei dati oggetto di trattamento, avrebbe dovuto, prima di iniziare le operazioni di trattamento, condurre la valutazione di impatto ai sensi dell’art. 35 del Regolamento.

6.4 Il registro delle attività di trattamento (art. 30 del Regolamento)

Seppure nel corso del procedimento l’Associazione abbia dimostrato che il registro delle attività di trattamento conteneva tutti gli elementi di cui all’art. 30 del Regolamento, si rappresenta che lo stesso, riportando ab origine la data del 17 gennaio 2021, rende evidente come sia stato predisposto dall’Associazione solo dopo che il trattamento ha avuto inizio, e quindi tardivamente e pertanto in violazione dell’art. 30 del Regolamento. La tenuta del registro costituisce infatti, un elemento essenziale per il governo dei trattamenti e per l’efficace individuazione di quelli a maggior rischio. L’Associazione era tenuta, anche in omaggio al principio di responsabilizzazione, che permea il rinnovato quadro normativo in materia di protezione dei dati personali (art. 5, par. 2 del Regolamento) all’adozione del predetto registro contestualmente all’inizio delle operazioni trattamento in quanto la deroga alla tenuta del registro prevista dal Regolamento non opera in presenza anche di uno solo degli elementi indicati dall’art. 30, par. 5 (trattamento che presenta un rischio per i diritti e le libertà per l’interessato, trattamento non occasionale, trattamento che includa categorie particolari di dati di cui all’art. 9 o dati relativi a condanne penali e a reati), che sono, senza dubbio, presenti nella fattispecie in esame (cfr. provvedimento del 17 dicembre 2020, doc. web n. 9529527).

7. Conclusioni

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice˗ gli elementi forniti dal titolare del trattamento nella memoria difensiva, seppure meritevoli di considerazione, non consentono di superare gran parte dei rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni si rileva l’illiceità del trattamento di dati personali effettuato dall’Associazione in violazione degli articoli 5, par. 1 lett. a), 6, 7, 9, 12, 13, 30 e 35 del Regolamento. La violazione delle predette disposizioni rende, altresì, applicabile la sanzione amministrativa prevista dall’art. 83, par. 4 e 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo.
In tale quadro, considerato, in ogni caso, che la condotta ha esaurito i suoi effetti e che sono state adottate specifiche misure per conformare il trattamento in esame alla disciplina vigente in materia di protezione dei dati personali, non ricorrono allo stato i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamenti.

8. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, par. 1 lett. a), 6, 7, 9, 12, 13, 30 e 35 del Regolamento, causata dalla condotta posta in essere dall’Associazione C-Healer è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 4, lett. a) e 5, lett. a) e b) del Regolamento.

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2 e, del Regolamento in relazione ai quali si osserva che:

1. il trattamento effettuato ha riguardato informazioni idonee a rilevare lo stato di salute, di circa 550 interessati (art. 4, par. 1, n. 15 del Regolamento e art. 83, par. 2, lett. a) e g) del Regolamento);

2. il titolare del trattamento è una associazione di volontariato senza scopo di lucro e senza alcuna finalità commerciale, industriale o politica, come chiaramente rinvenibile dal proprio Statuto e Atto Costitutivo, il cui rendiconto gestionale, relativo all’anno 2021, è in sostanziale pareggio ed ha effettuato il trattamento in questione in un momento particolarmente critico al fine di  fornire consulenza e/o assistenza sanitaria ai pazienti affetti da Covid-19 sulla base del loro consenso (art. 83, par. 2, lett. k) del Regolamento);

3. a seguito dell’avvio dell’istruttoria da parte dell’Ufficio, l’Associazione ha disposto l’immediata interruzione dell’operatività dell’App, tutt’ora sospesa, la quale pertanto è rimasta attiva solo per poco più di un mese (dal 24 dicembre 2021 al 5 febbraio 2022), ciò al fine di attenuare le potenziali conseguenze negative nei confronti degli interessati (art. 83, par. 2, lett. c) del Regolamento);

4. l’Associazione ha posto in essere molteplici misure volte a conformare il trattamento dei dati personali al quadro normativo vigente in materia di protezione dei dati personali (art. 83, par. 2, lett. c) del Regolamento);

5. non risultano, precedenti violazioni pertinenti commesse dal titolare del trattamento né sono stati precedentemente disposti provvedimenti di cui all’art. 58 del Regolamento (art. 83, par. 2, lett. e) del Regolamento);

6. l’Associazione ha collaborato pienamente con l’Autorità nel corso dell’istruttoria e del presente procedimento (art. 83, par. 2, lett. f) del Regolamento);

7. non sono pervenuti reclami ai sensi dell’art. 77 del Regolamento, al Garante sull'accaduto.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, nella misura di € 5.00,00 (cinquecento) per la violazione degli artt. 5, par. 1 lett. a), b) e f), 6, 7, 9, 12, 13 e 27 del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1 e 3, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dall’Associazione Covid-Healer ODV, con sede in Bolzano, Viale Stazione n. 7(C.F. e P. IVA 03130830213), la violazione degli dell’artt. 5, par. 1 lett. a), 6, 7, 9, 12, 13, 30 e 35 del Regolamento nei termini di cui in motivazione.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, all’Associazione Covid-Healer di pagare la somma di euro 5.00,00 (cinquecento) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

All’Associazione Covid-Healer di pagare la somma di euro € 5.00,00 (cinquecento) -in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice-, secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 20 ottobre 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL VICE SEGRETARIO GENERALE
Filippi


Vedi anche (10)