Sanzioni violazioni privacy, nuova GDPR e ispezioni Garante nel 2014
Il trattamento dei dati personali e sensibili come quelli sanitari è un’attività a rischio. In caso di violazione della normativa il responsabile del trattamento incorre in sanzioni amministrative, civili, e in alcuni Stati anche penali. I responsabili del trattamento sono figure diverse a seconda della modalita’ di diffusione dell’app/servizio. Nel caso delle mHealth apps distribuite sui marketplace, il responsabile spesso è l’amministratore delegato (o CEO) dell’azienda che le produce e distribuisce.
Le sanzioni attualmente irrogabili
La direttiva europea attualmente in vigore per la tutela dei dati personali (Dir. 95/46/CE) definisce solamente in modo generico gli obblighi del responsabile del trattamento e non individua delle sanzioni specifiche. In questo modo il diritto europeo lascia ai legislatori nazionali la decisione su quali tipologie di sanzioni (di tipo amministrativo, penale, civile) irrogare in caso di violazione. In Italia in caso di violazioni il responsabile potrebbe incorrere in una sanzione amministrativa irrogata dal Garante per la privacy nazionale o da un giudice, e dovrà all’interessato un risarcimento se non riesce a dimostrare che il danno non gli è imputabile (ossia dovrà dimostrare di aver adottato tutte le misure necessarie per prevenirlo, anche secondo la Corte di Cassazione italiana). A ogni modo, le autorità possono irrogare sanzioni anche nel caso in cui accerti vi sia stata una violazione accidentale che comporti la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l’accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio accessibile al pubblico.
In caso di violazioni di sicurezza, non esiste attualmente l’obbligo di notificazione verso gli utenti. Solo i soggetti che realizzano prevalentemente una trasmissione di segnali su reti di comunicazioni elettroniche dovranno rispondere della violazione di questo obbligo dinnanzi all’Autorità nazionale.
The Ultimate Guide on GDPR and HIPAA compliance
La proposta della nuova legge General Data Protection Regulation - GDPR
Nella nuova General Data Protection Regulation (GDPR) ovvero legge sulla data protection europea in via di approvazione (entro il 2015), gli obblighi del responsabile del trattamento sono individuati specificamente (art. 22). In caso di trattamento illecito dei dati, le Autorità Garanti nazionali potranno imporre sanzioni amministrative che possono arrivare sino al 2% del fatturato mondiale annuo dell’impresa.
L’ammontare della sanzione sarà proporzionato ad una serie di criteri:
- natura, gravità e durata della violazione;
- carattere intenzionale o meno della violazione;
- grado di responsabilità del legale rappresentante dell’ente e numero di sanzioni che egli ha ricevuto in passato;
- presenza o meno di misure di sicurezza tecniche e organizzative;
- grado di cooperazione con l’Autorità per porre rimedio alla violazione.
Le sanzioni potranno arrivare fino a 500.000 € o all’1% del fatturato annuo lordo mondiale dell’impresa, e verranno imposte a chi tiene una delle seguenti condotte
- non consente l’accesso o la rettifica delle informazioni da parte degli interessati o non fornisce le informazioni richieste in modo completo e trasparente;
- non rispetta il “diritto all’oblio” o alla cancellazione, non predispone meccanismi per il rispetto dei termini di risposta alle richieste dell’interessato o non determina le co-responsabilità con terze parti per la condivisone dei dati;
- non mantiene la documentazione appropriata;
- non fornisce copia dei dati in formato elettronico o impedisce di trasmettere i dati personali a terzi;
- non osserva le norme sulla libertà di espressione o sul trattamento dati nei rapporti di lavoro o le condizioni per il trattamento con finalità storiche, statistiche e di ricerca.
Chi si renderà invece colpevole di una delle seguenti violazioni, potrà essere sanzionato fino a 1.000.000 € o al 2% del fatturato annuo mondiale:
- acquisizione di dati personali senza una base giuridica adeguata o senza consenso;
- trattamento di particolari categorie di dati (per esempio, dati sanitari o che riguardano la sottoposizione dell’individuo a condanne) in violazione delle norme che disciplinano quella particolare tipologia di trattamento;
- mancato rispetto delle condizioni relative alle misure basate sulla profilazione;
- non adozione di policy per la gestione interna dei dati o non individuazione di un responsabile (o un suo rappresentante) del trattamento;
- processare dati con modalità evidentemente non adatte;
- mancata notificazione tempestiva ed integrale all’autorità di vigilanza e all’interessato di una violazione dei dati personali;
- utilizzo illecito di un sigillo o marchio di protezione dei dati;
- trasferimento di dati verso Paesi terzi o organizzazione dello stesso in mancanza di una decisione di adeguatezza, di garanzie o senza previsione del trasferimento stesso in una deroga;
- non conformazione ad un ordine o divieto dell’autorità;
- non conformazione alle norme sul segreto professionale.
Un’indubbia novità del Regolamento che ha creato un ampio dibattito è la notifica in caso di data breach all’Autorità nazionale di controllo senza ritardo. Il responsabile deve necessariamente comunicare all’Autorità la natura della violazione, le conseguenze della stessa e le misure proposte e adottate per arginare il danno. Dovrà inoltre notificare anche l’interessato solo nel caso in cui la violazione possa causare un danno alla sua vita privata o vi sia il rischio di pregiudizio per i dati.
L’applicazione della normativa in Italia
L’attività ispettiva delle Autorità nazionali solitamente è pianificata semestralmente, per individuare i trattamenti di dati oggetto di accertamento, ed a questa attività si aggiunge quella di controllo avviata da segnalazioni e reclami pervenuti da parte di associazioni, enti e singoli cittadini. In Italia, il Garante ha comunicato che le sanzioni amministrative contestate nel 2014 sono state 577. Esse riguardano soprattutto casi di omessa o inidonea informativa, trattamento illecito di dati, mancate comunicazioni di data breach al Garante ed agli utenti.
Questo significa che se il nuovo GPDR fosse in vigore, i soggetti sottoposti ad accertamento sarebbero responsabili soprattutto delle violazioni più gravi.
Ben 39 segnalazioni sono state inviate all'autorità giudiziaria per comportamenti penalmente rilevanti.
Questi dati dimostrano come i gestori dei dati personali non abbiano ancora compreso i principi fondamentali della tutela dei dati stessi, oppure non riescano o non sappiano come implementare le misure richieste dalla normativa europea e nazionale in merito, considerazione resa ancor più grave nell’ipotesi in cui vengano trattati dati sensibili, soprattutto sanitari.
Di contro, gli Italiani sembrano entusiasti dell’mHealth: il 78,6% dei commenti in merito è positivo, secondo diversi studi pubblicati recentemente. Se il gradimento del “sistema” è così alto, con l’aumento delnumero di utenti si avra’ un aumento del rischio di eventi incresciosi come quello avvenuto a Bologna, dove è stato riscontrato che un milione di dossier sanitari elettronici era stato creato senza il consenso informato dei pazienti (l’Ospedale Sant’Orsola Malpighi ha ricevuto una sanzione amministrativa) o quello di Martina Franca (BR) di qualche anno fa, quando è stata irrogata quella che sembra essere la multa più alta ad un’Azienda Sanitaria italiana (trentamila euro).
Di fronte all’aumento delle sanzioni previsto nella proposta di Regolamento, chiunque tratti dati personali in modo automatico (e gli sviluppatori rientrano a pieno titolo nella categoria) dovrà dotarsi di sistemi di policy e di sicurezza tali da limitare il rischio di intrusioni o modifiche ai dati stessi.
Secondo le ultime notizie, gli attacchi informatici sono entrati nella top five dei maggiori rischi che le aziende (soprattutto quelle più piccole) devono affrontare ogni giorno.
Queste notizie dovrebbero far crescere la consapevolezza dei titolari del trattamento sulla sicurezza dei dati e della loro comunicazione.