GDPR, arrivano le prime sanzioni. Il caso portoghese

La Commissione nazionale di protezione dei dati (CNPD) portoghese ha sanzionato per un importo di 400.000 euro l’Ospedale Barreiro-Montijo – vicino a Lisbona – per le politiche di accesso alle cartelle cliniche dei pazienti da parte del personale tecnico e medico.

L’ispezione, giunta a seguito di segnalazione dello stesso Ordine dei Medici, ha portato alla multa che è stata comminata sulla base delle disposizioni del GDPR. L’Ospedale può ancora fare appello alla corte per contestare la delibera del CNPD.

La delibera, firmata l’11 ottobre, afferma come almeno nove professionisti, operanti nel settore dei servizi sociali, avessero accesso a dati che, invece, dovevano essere riservati ai medici. Il CNPD ha inoltre rilevato che 985 medici risultavano possedere account attivi per poter consultare le cartelle cliniche dei pazienti nonostante il personale del Barreiro-Montijo conti solo 296 medici.

L’ospedale oggetto di ispezione non disponeva di regole interne per la creazione di account né di policy che regolassero diversi livelli di accesso alle informazioni cliniche. Il metodo di autenticazione scelto non teneva conto dei dati di identificazione che collegavano i diversi professionisti all’ospedale, evidenziando una importante carenza di misure tecniche ed organizzative adeguate al trattamento come richiamate dall’art. 24 del Regolamento UE 2016/679.

Tre le violazioni contestate

Tre quindi le trasgressioni contestate:

• violazione del principio di integrità e riservatezza, secondo cui i dati personali devono trattarsi in maniera da garantire un’adeguata sicurezza, compresa la protezione – mediante misure tecniche e organizzative adeguate – da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali;
• violazione del principio di minimizzazione, per cui i dati personali sono adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
• incapacità del Titolare del trattamento dei dati di garantire la riservatezza e l’integrità degli stessi.

Per la violazione di tali principi, disciplinati all’art. 5 della richiamata normativa, il Regolamento Europeo prevede sanzioni amministrative pecuniarie fino a 20 000 000 Euro, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Nel caso di speciele prime due infrazioni sono state punite con una multa di 150 mila euro ciascuna, mentre la terza con 100 mila euro.

Il CNPD ha tenuto conto della disponibilità dell’Ospedale di correggere i vari errori nella gestione di accesso e repository clinico, ma ha considerato “elevata” la responsabilità del centro nella violazione delle restrizioni sui livelli di accesso dei professionisti ai dati personali dei clienti. Questo perché, in modo consenziente, ha permesso di associare il gruppo funzionale di “dottore” anche chi dovrebbe essere accreditato solo con un profilo “tecnico”.

Inoltre, il Barreiro-Montijo, non ha preso misure necessarie al fine di garantire che gli account dei medici non più membri del personale, venissero eliminati.

L’Autorità portoghese afferma che sia “impossibile sostenere che qualunque assistente sociale possa accedere all’intera cartella clinica di un paziente”; così come risulta inaccettabile che esistano “credenziali di accesso che permettono a qualsiasi medico, di qualunque specialità, e di qualunque grado di accedere in qualsiasi momento ai dati dei clienti di un centro ospedaliero”.

Durante il processo avviato dal CNPD, l’amministrazione dell’Ospedale ha contestato la competenza del CNPD sulla questione ai sensi dell’art. 55 del Regolamento UE 2016/679, dal momento che la proposta di legge che adegua il regolamento europeo alla legislazione nazionale è ancora in fase di stesura e discussione nell’assemblea della Repubblica.

La difesa dell’Ospedale ha inoltre ricordato che la gerarchia dei profili utente e i criteri di accesso forniti sono impostati da terze parti (presumibilmente da Serviços Partilhados do Ministério da Saúde (SPM), che è responsabile dei sistemi tecnologici degli ospedali pubblici). Oltre agli accordi di riservatezza che coinvolgono tutti i professionisti, il centro sanitario sostiene che gli strumenti computerizzati disponibili non consentirebbero di definire chi accede a quali dati nei diversi scenari.

Di fronte a questi argomenti, il CNPD ha ricordato che mantiene la funzione di controllo conferita dalla legge precedente al Regolamento europeo (e nulla dovrebbe cambiare anche al termine dell’iter di adeguamento nazionale al GDPR), e sottolinea come l’Ospedale Barreiro abbia ammesso di essere a conoscenza del “sistema” in uso, ma come questo non l’abbia scoraggiato dal continuare a concedere privilegi di accesso indebiti a un gruppo di professionisti che mai dovrebbero avere indiscriminata disponibilità dei dati clinici del paziente. Oltre alla mancata adozione di misure di propria iniziativa, quindi, l’imputato non ha neppure segnalato questo aspetto da correggere presso gli SPMS.