Con il provvedimento n. 620 del 17 ottobre 2024, l’Autorità Garante per la protezione dei dati personali, in seguito ad un reclamo, ha contestato la violazione del principio di integrità e riservatezza ad una società per la mancata sicurezza delle attività di trattamento dei dati personali contenuti in un referto trasmesso in allegato a una e-mail senza password di accesso per la visione, peraltro pervenuta a un indirizzo erroneo.
Nel corso dell’istruttoria il Garante Privacy ha ribadito che le “Linee guida in tema di referti on-line” del 19 novembre 2009 sono criteri di riferimento da dover considerare in ambito pubblico e privato per valutare l’adeguatezza delle misure di sicurezza dei trattamenti in questo ambito ai sensi dell’art. 32 GDPR stante la natura dei dati personali oggetto di trattamento.
La portata delle citate linee guida è pertanto prescrittiva per quanto riguarda la refertazione online, contemplando misure da adottare, garantire e comprovare secondo il principio di privacy by design. In ordine alla liceità della comunicazione tramite e-mail, sussiste infatti la necessità di acquisire un consenso preventivo e comprovarne tutte le caratteristiche di validità soprattutto per quanto riguarda la libertà e specificità dello stesso.
Ad esempio, prevedendo che il consenso possa essere facoltativamente fornito in relazione alla singola accettazione o in modo permanente onde evitare “consent fatigue”. Il tutto facendo però sempre salva la possibilità di revoca, ovviamente. Per completezza, è chiaro che assolvere gli obblighi informativi deve chiarire inoltre all’interessato quali siano le alternative previste rispetto all’invio tramite e-mail del referto.
Per quanto riguarda le misure di sicurezza da applicare, viene prescritta l’esigenza di inviare il referto come allegato e non come parte del corpo del messaggio andando ad integrare quanto meno una protezione dell’allegato “con modalità idonee a impedire l’illecita o fortuita acquisizione delle informazioni trasmesse da parte di soggetti diversi da quello cui sono destinati”.
Inoltre, deve essere prevista una convalida degli indirizzi e-mail attraverso procedure di verifica per evitare l’invio a destinatari erronei. È bene ricordare che tutte queste misure devono però essere parametrate al contesto e ai rischi in concreto, pertanto, vanno intese come condizioni necessarie ma non sufficienti a garantire un livello adeguato di sicurezza e non svincolano il titolare del trattamento (e i responsabili cui eventualmente ricorre) dalla valutazione delle misure applicate. Ancora una volta, privacy e sicurezza si confermano come tematiche naturalmente interconnesse. Soprattutto in ambiti “sensibili”, come quello sanitario.
SIULP: Sindacato Italiano Unitario dei Lavoratori della Polizia