Con l’ordinanza n. 74 del 2 marzo 2023 il Garante privacy ha sanzionato la ASL di Bari a seguito di una segnalazione in cui è stato rilevato che sul sito internet dell’Ente sono stati pubblicati documenti recanti apprezzamenti espressi dagli assistiti, senza che fossero opportunamente oscurati i loro dati sensibili.
Infatti, nella sezione “Parlano bene di noi” del sito era possibile accedere a centinaia di file con scansioni di documenti di elogio costituiti da moduli, da e- mail e da lettere che contenevano, oltre ai dati anagrafici e di contatto degli assistiti, anche numerose informazioni relative al loro stato di salute. I dati anagrafici contenuti nei documenti erano stati coperti in modo approssimativo con il tratto di un pennarello nero oppure con il bianchetto e ciò non impediva di leggere le parti oscurate.
Il Garante, in primo luogo, ha ribadito che, ai sensi del GDPR si considerano “dati relativi alla salute” i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute (art. 4, par. 1, n. 15, GDPR). I dati relativi alla salute “comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria” (considerando 35 GDPR).
Le informazioni sullo stato di salute non possono essere diffuse e possono essere comunicate a un soggetto diverso dall’interessato solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso, previa delega scritta di quest’ultimo (artt. 2 septies, comma 8 e art. 166, comma 2, del Codice e art. 9 GDPR).
La ASL di Bari, dunque, ha tenuto una condotta illecita laddove ha pubblicato i dati sensibili degli assistiti che, nonostante fossero stati utilizzati il pennarello nero e il bianchetto, erano ugualmente visibili.
Infatti, la procedura di cancellazione manuale con pennarello o con bianchetto non può essere definita idonea a rendere anonime le informazioni personali degli interessati; ciò, in quanto tale procedura è per sua natura imprecisa e non definitiva e consente di fatto la visibilità dei nomi, cognomi e dati di contatto dei pazienti.
Il Garante precisa che come ha rilevato in precedenti provvedimenti (cfr. al riguardo provvedimenti del 17.9.2020 doc. web n. 9479364 e n. 9479382) “l’uso del pennarello nero o del bianchetto, non può neppure definirsi una procedura di “pseudonimizzazione” -giusta la definizione di cui all’art. 4, par. 1, n. 4 del GDPR – anche laddove eseguita in modo efficace, essendo piuttosto una semplice procedura manuale di oscuramento delle generalità degli interessati”
L’art.4 par 1 n.4 del GDPR, infatti, stabilisce che la pseudonimizzazione che è una delle misure di sicurezza, è “il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile”. La pseudonimizzazione, quindi, impedisce di identificare un individuo attraverso i suoi dati, in mancanza di altri elementi aggiuntivi, attraverso un’alterazione temporanea e reversibile del dato. In altri termini all’individuo cui si riferisce il dato è associato temporaneamente uno pseudonimo che non ne consente l’identificazione se non a soggetti autorizzati.
Essa va distinta dall’anonimizzazione che, invece, è un procedimento irreversibile e si verifica quando i dati non sono in alcun modo riferibili ad una persona specifica, la cui identità è proprio cancellata in via definitiva.
Quindi, mentre un dato pseudonimizzato potrebbe essere comunque associato ad un utente, un dato anonimo non è in alcun modo associabile.
La pseudonimizzazione si attua attraverso una serie di tecniche indicate anche dall’ENISA –l’agenzia per la cybersecurity nell’Unione Europea –nel report Data Pseudonymisation: Advanced Techniques and Use Cases che consentono di mantenere visibili a determinati utenti, solo una parte di tutte le informazioni e di oscurarne altre che vanno opportunamente conservate. Sulla base del ruolo dell’utente, dunque, si stabilisce quali informazioni mostrare e quali tenere nascoste e cifrare in modo che, anche se un soggetto non autorizzato dovesse riuscire ad entrare nel sistema, non vi accederebbe comunque.
Nel caso esaminato dal Garante appare evidente che le iniziative assunte dalla ASL di Bari siano state del tutto inadeguate in quanto si è data la possibilità a tutti gli utenti del sito internet di accedere ai dati sanitari dei pazienti e a quelli anagrafici che il bianchetto e il pennarello non sono stati in grado di oscurare
Pertanto, la ASL di Bari che ha provveduto a rimuovere i documenti, è stata condannata a pagare la somma di euro 50.000 a titolo di sanzione amministrativa pecuniaria per le violazioni commesse.