Garante per la protezione
    dei dati personali


Vedi anche newsletter del 30 maggio2014

Trattamento non consentito di datisanitari raccolti tramite apparecchiature diagnostiche

PROVVEDIMENTO DEL 10 APRILE 2014

Registro dei provvedimenti
 n. 186 del 10 aprile 2014

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

Nellariunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vicepresidente, del dott.ssa Giovanna BianchiClerici, della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia,segretario XXnerale;

Vistoil d.lg. 30 giugno 2003, n. 196, recante il Codice in materia di protezione deidati personali (di seguito "Codice");

Vistala nota con la quale l'Azienda Ospedaliera Universitaria Federico II di Napoliha informato questa Autorità di aver ricevuto una comunicazione da XY S.p.a.,che fornisce alle strutture sanitarie servizi di manutenzione di macchine didiagnostica per immagini, nella quale la società riferiva di aver riscontrato,a seguito di un'indagine interna, che, attraverso i canali di connessioneutilizzati per il controllo in remoto dei predetti dispositivi, erano statitrasferiti e registrati, su server situati negli Stati Uniti, dati personali"eccedenti le normali finalità di diagnostica e manutenzione"riferiti ai pazienti interessati, insieme ad altre informazioni relative alleprestazioni delle macchine (nota del 15 maggio 2012 successivamente integrata apiù riprese e da ultimo il 28 novembre 2013);

Vistala documentazione in atti;

Vistele osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000;

Relatorela dott.ssa Augusta Iannini;

PREMESSA

LaXY S.p.a. (di seguito XY), è una società appartenente al Gruppo XX (di seguitoGruppo XX) che cura la produzione e la distribuzione di apparecchiaturemedicali e di diagnostica di precisione (quali macchine ecografiche, TAC;vascolari, ecc.). XY fornisce alle strutture sanitarie proprie clienti(principalmente ospedali e laboratori di diagnostica) anche servizi dimanutenzione e di assistenza per apparecchiature di diagnostica per immagini.In tale quadro, la società, nel marzo del 2012, ha avviato contatti preliminaricon questa Autorità e ha contestualmente comunicato alle strutture sanitariecoinvolte di aver riscontrato, a seguito di un'inchiesta interna, che,attraverso i canali di connessione utilizzati per il controllo in remoto deipredetti dispositivi, erano stati automaticamente trasferiti e registrati, suserver del Gruppo XX situati negli Stati Uniti, dati personali "eccedentile normali finalità di diagnostica e manutenzione" riferiti ai pazientiinteressati, insieme ad altre informazioni relative alle prestazioni dellemacchine.

Allaluce di quanto prospettato, l'Ufficio ha ritenuto necessario acquisireinformazioni ulteriori presso l'Azienda Ospedaliera Universitaria Federico IIdi Napoli che nel frattempo aveva informato il Garante dell'accaduto (nota del15 maggio 2012) e, a più riprese, presso la stessa XY. In particolare, sonostate richieste informazioni con riferimento alla quantità e alla tipologia deidati di pazienti impropriamente trasferiti verso la società; ai rapportigiuridici intercorrenti tra XY, l'Azienda Ospedaliera Universitaria e altrisogXXtti eventualmente coinvolti a vario titolo nell'accaduto; alle ragioni cheavrebbero determinato l'incidente rilevato e agli accorgimenti assunti perporre rimedio all'evento e per evitare in futuro di ricevere ulteriori dati dipazienti in eccesso; ad eventuali trasferimenti automatici di dati verso lasocietà nell'ambito delle ordinarie attività di manutenzione delleapparecchiature diagnostiche con particolare riferimento al formato dei dati,ai protocolli di comunicazione, agli strumenti di cifratura, alla frequenza ealle specifiche esiXXnze per le quali tali operazioni verrebbero, se del caso,di regola, effettuate.

Sullabase degli approfondimenti svolti, è stato riscontrato che l'accaduto hainteressato circa centottanta strutture sanitarie in Italia e più di un milionedi pazienti. Secondo quanto dichiarato in atti, insieme ai dati riguardanti ilfunzionamento delle macchine, sono state ogXXtto di trasferimento, variecombinazioni di informazioni riferite a pazienti quali codici identificativi oiniziali di nome e cognome, età, sesso, peso, altezza, nonché taluni daticlinici dei medesimi pazienti. In particolare, la società ha precisato che laquasi totalità dei dati riferiti a pazienti "era contenuta in più ampifile di configurazione del sistema o all'interno dei database" ed"era rappresentata nella maggior parte dei casi da poche decine di righedi dati confuse in mezzo ad enormi quantità di ulteriori dati diconfigurazione, di servizio o di errore".

Dalleinformazioni acquisite è emerso altresì che l'incidente è stato determinatodalla circostanza che "alcuni codici installati nei software" delleapparecchiature sanitarie "non erano stati adeguatamente programmati"per eliminare i dati personali dei pazienti in eccedenza. Una volta rilevatol'evento, i dati impropriamente raccolti sono stati successivamente trasferitiin un data center strategico affidato al controllo diretto della capogruppo -laXX Company- situato negli Stati Uniti. Secondo quanto accertato da un team diesperti di sicurezza informatica incaricato dal Gruppo XX per svolXXre lenecessarie verifiche sull'accaduto è emerso inoltre che hanno avuto accesso aiserver in cui sono stati memorizzati i dati dei pazienti risultati superfluisoltanto un limitato numero di personale addetto e debitamente autorizzato dalmedesimo Gruppo.

Perciò che concerne le misure adottate per prevenire in futuro altri incidentidella medesima specie, XY ha dichiarato di aver "immediatamente provvedutoa prendere una serie di significative misure volte al rafforzamento dellasicurezza dei dati personali dei pazienti ed alla limitazione del trasferimentoai soli files che non contengano dati personali dei pazienti che risultinosuperflui". In particolare, la società ha perfezionato le modalitàtecniche di raccolta dei dati dalle macchine diagnostiche utilizzate dallestrutture sanitarie in modo da garantire la cessazione di flussi"automatici" di informazioni non necessarie. Nel dettaglio, è statoprecisato che tali apparecchiature sono programmate in maniera tale daconnettersi "periodicamente" ai sistemi di XY e inviare dati sulfunzionamento delle macchine ai medesimi sistemi. In questo quadro, la societàha identificato i files che contengono i dati in eccesso e ha modificato lemodalità per il recupero dei predetti files dalle macchine coinvoltenell'incidente in modo tale che il software sia in grado di individuarli eselezionarli impedendone la successiva trasmissione. Inoltre, sotto il profiloorganizzativo, secondo quanto dichiarato da XY, sono state potenziate leprocedure aziendali in materia di protezione dei dati. A questo riguardo, èstato in particolare attuato un programma di "Privacy by Design" inbase al quale ciascuna operazione di trasferimento e di raccolta di dati dalleapparecchiature sanitarie deve superare una specifica procedura di approvazioneinterna volta a valutare una serie di profili tra cui quelli relativi allaprivacy e alla sicurezza dei dati prima di essere implementatasull'apparecchiatura di riferimento.

Inrelazione all'utilizzo dei dati dei pazienti attualmente memorizzati nei serverubicati negli Stati Uniti, è stato dichiarato che tali informazioni sarannoconservate dal Gruppo XX in ottemperanza agli obblighi previsti dallalegislazione nazionale applicabile che vieta di restituire o distrugXXreinformazioni e documenti che risultino rilevanti a fini probatori eprocessuali. Il medesimo Gruppo provvederà quindi a cancellare le informazionisull'accaduto nel momento in cui potrà ragionevolmente escludersi l'insorXXredi ogni eventuale contestazione in sede giudiziale. Sempre sulla base di quantodichiarato, sono state inoltre implementate specifiche misure di sicurezza perla custodia dei dati memorizzati sui medesimi server statunitensi, qualimeccanismi di controllo fisico e logico degli accessi e l'utilizzo di firewall,sistemi di prevenzione degli intrusioni e di identificazione delle vulnerabilità.

Dagliapprofondimenti effettuati è emerso tuttavia che, a prescindere dall'incidentedi cui è stata data notizia a questa Autorità e alle strutture sanitariecoinvolte, le apparecchiature sanitarie per le quali XY fornisce servizi dimanutenzione e assistenza sono programmate in modo da connettersi"periodicamente" e trasmettere "automaticamente" ai sistemidella società, in condizioni di ordinaria operatività e attraverso canaliprotetti, flussi di informazioni riferite ai pazienti "in formato cifratoo anonimizzato", ritenute necessarie per garantire il buon funzionamento el'affidabilità dei macchinari e la prestazione dei relativi servizi. Nellospecifico, secondo gli elementi raccolti nell'ambito degli approfondimentieffettuati dall'Ufficio a seguito dell'incidente segnalato, vengono acquisitedalle apparecchiature sanitarie, a seconda della tipologia di macchinarioutilizzato, varie combinazioni di informazioni relative, ad esempio, al codiceidentificativo del paziente, al peso, all'altezza dell'interessato e adinformazioni riguardanti l'esame eseguito (ad es. data e ora dell'esame, datidosimetrici). Al riguardo, occorre rilevare che XY ritiene che le predetteinformazioni non consentono di identificare i pazienti interessati. Prima diessere trasferito ai sistemi della società, il codice identificativo delpaziente viene infatti sostituito da un valore univoco ottenuto mediantel'utilizzo di funzioni crittografiche di hashing ovvero con un indicedenominato DBindex (ad es. per i macchinari utilizzati per cure vascolari);oppure da un altro indice (tag) di classificazione cronologica (ad es. per leapparecchiature di risonanza magnetica); o ancora cifrato mediantel'applicazione di chiavi asimmetriche (ad es. per le apparecchiaturemammografiche). Questi dati, ogXXtto di periodico e automatico trasferimento aXY, vengono registrati su server del Gruppo XX situati negli Stati Unitioppure, per quanto riguarda i macchinari mammografici e vascolari, ubicati inFrancia.

Perciò che concerne i periodi di conservazione dei dati, XY ha dichiarato che essivariano in base alla natura dei dati e alle esiXXnze per le quali vengonoraccolti. A titolo esemplificativo è stato precisato che i dati che la societàriceve in automatico dai macchinari vascolari sono conservati per un anno;laddove però questi indichino dei dosaggi d'esame che superano una determinatasoglia sono ogXXtto di conservazione per tre anni.

Dalladocumentazione in atti è emerso altresì che XY, per la prestazione allestrutture sanitarie di servizi di manutenzione e assistenza delleapparecchiature utilizza un modello contrattuale standard ("contrattostandard"). In particolare, sulla base del "contratto standard"prodotto in atti, la società può avere accesso ai locali delle strutturesanitarie soltanto per svolXXre in loco, tramite proprio personale tecnicoqualificato, visite correttive e manutentive sulle macchine di diagnostica alfine di garantirne la corretta funzionalità. I restanti interventi tecnicisulle apparecchiature vengono effettuati da XY tramite assistenza telefonicaoppure in remoto tramite una connessione digitale (VPN o ADSL) che le strutturesanitarie si impegnano a mettere a disposizione della società nello stessoluogo in cui sono ubicate le apparecchiature.

Piùnel dettaglio, nel modello di contratto in atti, è indicato che "quale partedella Manutenzione programmata o della Manutenzione correttiva (la società) Špuò, tramite connessione broadband o attraverso internet network, connettersiremotamente all'Apparecchiatura e procedere ad interventi tecnici (inclusi loscaricamento di software e il monitoraggio proattivo) alla condizioni Š (del)Contratto" e che tale "servizio è automaticamente incluso nellaCopertura contrattuale Base". Sulla base del medesimo atto, ogniintervento effettuato sui macchinari, viene "documentato in un rapportotecnico di servizio" in cui sono "menzionati per ciascunaApparecchiatura gli eventuali malfunzionamenti riscontrati e le azionicorrettive effettuate per assicurare e/o ripristinare il funzionamentodell'Apparecchiatura". Per gli specifici profili riguardanti iltrattamento delle informazioni relative ai pazienti, il contratto prevedel'eventualità che XY, "in corso di esecuzione delle proprieobbligazioni", possa "aver accesso" a "dati personali dipazienti", rispetto ai quali è tenuta, sempre in base al contratto,"ad osservare la normativa viXXnte in materia di protezione dei datipersonali". In particolare, la società è obbligata a "tenereriservati" i predetti dati e ad utilizzarli "esclusivamente per laprestazione dei Servizi richiesti dal Cliente, secondo le specifiche istruzionidel Cliente o con l'autorizzazione (dello stesso) Š nell'ambito di altricontratti conclusi con il Cliente".

Inrelazione al ruolo ricoperto da XY rispetto al trattamento dei dati personali,dall'esame della documentazione prodotta in atti dall'Azienda OspedalieraUniversitaria Federico II di Napoli con riferimento all'incidente segnalato, èstato accertato che essa viene designata con atto scritto quale"responsabile del trattamento" dalle strutture sanitarie che usufruisconodei suoi servizi (cfr. artt. 29 e 30 del Codice). Ciò, proprio inconsiderazione dell'eventualità che l'esecuzione degli obblighicontrattualmente assunti possa comportare il trattamento, per conto dellestrutture sanitarie committenti, di dati personali di pazienti (e di altriinteressati) specie con riferimento allo svolgimento dei compiti dimanutenzione in loco e in remoto delle apparecchiature, di risoluzione deiproblemi e di prevenzione di blocchi e di guasti delle stesse.

OSSERVA

1. La natura dei dati

Dall'esamedegli estratti dei files prodotti e dagli altri elementi acquisiti in atti, siale informazioni impropriamente trasferite a XY a seguito dell'incidentesegnalato (codice identificativo o iniziale di nome e cognome del paziente, età,sesso, peso, altezza e taluni dati clinici), sia quelle che la società riceveperiodicamente, in modo automatico e in condizioni di ordinaria operativitàdelle apparecchiature (codice identificativo, peso e altezza dell'interessato,dati relativi all'esame eseguito) devono ritenersi "dati personali idoneia rivelare lo stato di salute" in quanto, a seconda della diversatipologia di macchinario utilizzato, possono consistere in codici (nondirettamente identificativi) dei pazienti interessati combinati con altreinformazioni riferite ai singoli pazienti o riguardanti gli esami diagnosticieseguiti dagli stessi (v. art. 4, comma 1, lett. b) e d) del Codice).

L'utilizzodi funzioni crittografiche o di tecniche di cifratura, nonché di canali ditrasmissione protetti per il trasferimento di tali dati ai sistemi della societàcostituiscono valide misure tecniche adottate in applicazione delledisposizioni viXXnti a tutela della sicurezza dei dati sanitari trattati construmenti elettronici (cfr. art. 34, comma 1, lett. h) del Codice).Ciononostante, esse non impediscono la possibilità di identificare le personeinteressate dal momento che è comunque possibile isolare l'insieme delleinformazioni riferite a ciascun individuo. Sebbene gli originari codiciidentificativi dei pazienti, prima di essere trasferiti ai sistemi di XY, sianosostituiti tramite l'utilizzo di sistemi di hashing e di altre tecniche dipseudonimizzazione, questi possono, a seconda della diversa tipologia dimacchinario utilizzato, essere collegati ad altre informazioni sempre riferiteai medesimi singoli pazienti (peso, altezza, ecc.) o riguardanti gli specificiesami diagnostici effettuati da questi ultimi (data e ora dell'esame, datidosimetrici, ecc.). Dalla combinazione dei valori delle informazioni associateai predetti codici pseudonimizzati può essere possibile, in ogni caso,re-identificare gli interessati, sia pure indirettamente, mediante ilcollegamento con altre informazioni nella disponibilità della stessa XY (comead esempio l'indicazione relativa alla struttura sanitaria presso la quale è inuso l'apparecchiatura da cui origina il flusso automatico di dati), di altresocietà del Gruppo XX o di terzi (cfr. art. 4, comma 1, lett. b) del Codice;considerando 26, direttiva 95/46/Ce; Gruppo Art. 29, Parere n. 4/2007 - WP 136sulla definizione di dato personale).

Diconseguenza, la raccolta dei predetti dati da parte di XY e le altre operazionidi trattamento effettuate sui medesimi dati, e quindi anche il lorotrasferimento in Paesi non appartenenti all'Unione europea, configurano untrattamento di dati personali sensibili al quale è applicabile la specialedisciplina prevista dal Codice in materia (art. 26 del Codice e autorizzazionedel Garante n. 2/2013 al trattamento dei dati idonei a rivelare lo stato disalute e la vita sessuale, Provv. n. 565 del 12 dicembre 2013).

2. Le finalità del trattamento

Iltrattamento dei dati sanitari, sia pure indirettamente identificativi, riferitiai pazienti che presso le strutture sanitarie usufruiscono delleapparecchiature per le quali XY assicura servizi di manutenzione e diassistenza è consentito alla stessa società soltanto nei limiti in cui ciò sianecessario per lo svolgimento di tali attività svolte nell'interesse dellestrutture sanitarie e, in particolare, strumentali a garantire le prestazionidi diagnosi e cura erogate dalle queste ultime ai propri pazienti (artt. 26,comma 1, e 76, comma 1, lett. a) del Codice). Nell'ambito di tali attività,come sopra rilevato, non può escludersi che la società possa venire aconoscenza e utilizzare, ove necessario, dati attinenti alla salute dellepersone interessate purché tali dati e le operazioni poste in essere sianostrettamente limitate a quelle di volta in volta indispensabili per soddisfareadeguatamente le esiXXnze connesse a garantire il buon funzionamento dellemacchine diagnostiche in uso presso le stesse strutture sanitarie proprieclienti (artt. 3, 11, e punto 3 dell'autorizzazione XXnerale n. 2/2013 cit.).

Nonrisulta invece adeguatamente giustificata e comprovata, allo stato degli atti,la circostanza (v. infra par. 4.3) che per assicurare utilmente i predettiservizi di manutenzione e di assistenza XY debba necessariamente raccogliereperiodicamente e automaticamente dalle predette apparecchiature, con le modalitàillustrate in atti, dati personali attinenti alla salute di singoli pazienti,sia pure non direttamente identificativi, ancorché registrati su server ubicatiall'interno del territorio dell'Unione europea (; artt. 3, 11, 26, comma 1, delCodice e punto 3 dell'autorizzazione XXnerale n. 2/2013 cit.). Lamemorizzazione dei medesimi dati su server situati negli Stati Uniti configura,inoltre, un trasferimento all'estero di dati personali verso un Paese il cuiordinamento non assicura un livello di tutela delle persone adeguato. Sullabase delle risultanze in atti detto trasferimento verso gli Stati Uniti deveritenersi vietato (art. 45 del Codice) in quanto risulta essere statoeffettuato al di fuori dei presupposti di cui agli artt. 43 e 44 del Codice.

Secondogli elementi acquisiti, inoltre, i dati raccolti, periodicamente e con modalitàautomatiche, dalle macchine diagnostiche vengono utilizzati da XY, anchenell'interesse della stessa società, per scopi diversi da quellispecificatamente previsti dal contratto stipulato con le strutture sanitariealle quali essa fornisce i propri servizi, seppure collegati con quellioriginari, quali il miglioramento dell'affidabilità e della performance dellemacchine e la verifica della qualità delle stesse. Sotto tale profilo, ilflusso automatico e sistematico di dati personali attinenti alla salute deipazienti posto in essere verso i sistemi di XY, ancorché questa venga designatadalle strutture sanitarie che si avvalgono dei suoi servizi quale"responsabile del trattamento", configura un trattamento di datiulteriore rispetto a quello necessario per l'appropriato svolgimento deicompiti originariamente conferiti dalle stesse strutture secondo quantoindicato anche nel modello di contratto standard (cfr. art. 12.1 del"contratto standard" fornito in atti e artt. 28 e 29 del Codice).

Alriguardo, occorre evidenziare che, alla luce principio di finalità di cuiall'art. 11, comma 1, lett. b) del Codice, XY non può utilizzare taliinformazioni in altre operazioni di trattamento "in terminiincompatibili" con le finalità per le quali i dati sono statioriginariamente raccolti o registrati, né per scopi diversi dallo svolgimentodei servizi previsti nel contratto stipulato con le strutture sanitarie;soltanto le predette strutture, infatti, in qualità di "titolari deltrattamento", possono determinare le finalità del trattamento insieme allerelative modalità, ivi compresi i profili della sicurezza (art. 28 del Codice).

Inquesto quadro occorre tenere presente che i dati ogXXtto di trattamento sono diparticolare natura, in quanto attengono allo stato di salute e che, nelcontesto sanitario in cui questi vengono raccolti, vigono particolari obblighidi confidenzialità di tali informazioni rispetto alle quali i pazientiinteressati hanno ragionevoli aspettative di rigorosa riservatezza e dilimitati eventuali utilizzi successivi. Vanno anche tenuti in considerazionegli effetti negativi che possono derivare alle persone interessatedall'ulteriore utilizzo delle informazioni sanitarie che li riguardano da partedi sogXXtti diversi dalle strutture sanitarie, titolari del trattamento, in uncontesto differente da quello sanitario e dal loro trasferimento in un Paeseche non offre adeguate garanzie sotto il profilo della protezione dei dati.Sulla base delle considerazioni che precedono, la raccolta automatica esistematica di dati personali, anche sanitari, di pazienti effettuato da XY ascopo di miglioramento dell'affidabilità e della performance delle macchine edi verifica della qualità delle stesse non può ritenersi pertanto compatibilecon gli scopi per i quali tali dati sono stati originariamente raccolti oregistrati dalle strutture sanitarie (v. infra par. 4.2) in mancanza di unospecifico e autonomo consenso da parte dei pazienti e previa idonea informativaagli interessati, oppure di un altro requisito equipollente (artt. 13, 23 e 26del Codice e Gruppo Art. 29, Opinion n. 3/2013 - WP 203 on purpose limitation).

3. Il ruolo dei sogXXtti coinvolti rispetto altrattamento dei dati

Dall'esamedegli elementi in atti riguardanti i compiti svolti da XY, emerXX che la societànon effettua alcuna attività di raccolta dei dati sanitari direttamente pressogli interessati nell'ambito delle prestazioni diagnostiche erogate dallestrutture sanitarie mediante le apparecchiature per le quali la societàfornisce servizi di manutenzione e assistenza. Cionondimeno, nell'ambito ditali attività, il modello di contratto prodotto in atti prevede che XY possa,di volta in volta, venire a conoscenza di dati personali, anche sanitari, deipazienti i quali risultino necessari per assicurare la prestazione dei servizicontrattualmente previsti nei confronti delle strutture sanitarie proprieclienti.

Comesopra illustrato, il contratto standard non menziona, tuttavia, la necessitàche, nel corso dell'ordinaria operatività delle apparecchiature diagnostiche,XY debba essere destinataria di un flusso automatico e sistematico di datipersonali di pazienti in cura presso le strutture sanitarie che si avvalgonodei suoi servizi, sia pure non direttamente identificativi, per garantire ilbuon funzionamento delle macchine e svolXXre i servizi di assistenza emanutenzione previsti dal contratto sottoscritto con le medesime strutture. Néviene fatto alcun accenno al trasferimento di questi dati in Paesi nonappartenenti all'Unione europea.

Talioperazioni di trattamento sono pertanto imputabili alla sola XY poiché, sullabase della documentazione e delle dichiarazioni in atti, è la stessa societàche risulta aver determinato gli elementi fondamentali del trattamento stesso,individuandone le relative finalità e modalità (in particolare, per ciò checoncerne le tipologie di dati ogXXtto di trasferimento, le modalità deltrasferimento, le finalità e le modalità del successivo utilizzo dei dati cosìraccolti, il periodo di conservazione, ecc.) in condizioni di autonomiarispetto alle strutture sanitarie e con limitata consapevolezza da parte diqueste ultime. Con riferimento alle predette operazioni, pertanto, XY siconfigura quindi quale autonomo titolare del trattamento, avente responsabilitàdistinte rispetto alle medesime strutture (cfr. art. 28 del Codice e GruppoArt. 29, Parere n. 1/2010 - WP 169 sui concetti di "responsabile deltrattamento" e "incaricato del trattamento"). Al riguardo, sirileva che le operazioni in questione effettuate dalla società, in qualità diautonomo e distinto titolare, non possono ritenersi lecite, in quanto sonostate poste in essere in assenza di idonei presupposti legittimanti iltrattamento e, segnatamente, senza che sia stata previamente fornita l'informativaai pazienti interessati e acquisito il loro specifico consenso (artt. 13, 23 e26 del Codice). In relazione a tale trattamento, si rileva pertanto lasussistenza dei presupposti per avviare un autonomo procedimento volto acontestare a XY le violazioni delle disposizioni di cui agli artt. 13, e 26 e45 del Codice, sanzionate dagli artt. 161 e 162, comma 2-bis, del medesimoCodice.

4. Le valutazioni dell'Autorità

4.1L'incidente segnalato

L'incidente,di cui è stata data notizia a questa Autorità, consiste nell'impropriotrasferimento su server del Gruppo XX, situati anche negli Stati Uniti, di datipersonali idonei a rivelare lo stato di salute di pazienti non necessari pergarantire la corretta funzionalità delle apparecchiature diagnostiche e laprestazione dei servizi di manutenzione previsti dai contratti sottoscritti conle strutture sanitarie da XY. Con specifico riferimento all'accaduto, si rilevache, allo stato degli elementi in atti, all'esito degli approfondimentieffettuati dall'Ufficio anche presso altre autorità di protezione dei datidestinatarie della medesima segnalazione, benché l'incidente abbia interessatoun numero rilevante di pazienti e di strutture sanitarie, deve ritersi che essoabbia avuto un impatto limitato sulle persone interessate. Ciò, tenuto contodella circostanza che tali dati non sono stati ogXXtto di diffusione, perdita,abuso o furto (avendo avuto accesso ai predetti dati soltanto personaleautorizzato del Gruppo XX) e avuto riguardo alle appropriate misure tecniche eorganizzative adottate, nei termini dichiarati in atti, non appena constatatol'accaduto, per prevenire il ripetersi in futuro di ulteriori incidenti dellamedesima specie (art. 31 del Codice). In questo quadro, sono altresì meritevolidi considerazione le azioni intraprese per rafforzare la sicurezza dei dati chesono stati memorizzati sui server statunitensi, inclusi sistemi di controllodegli accessi ai locali dove sono ubicati. Alla luce di ciò, si evidenziainfine che la necessità di conservare i medesimi dati sui predetti serverrimane giustificata, sempre che sussistano le esiXXnze probatorie e processualirappresentate in atti, anche al fine di consentire agli stessi interessati ditutelare i propri diritti (art. 26, comma 4, lett. c) del Codice e punto 1.3.,lett. a) dell'autorizzazione XXnerale n. 2/2013 cit.; cfr. anche Gruppo Art. 29- Working Document on pre-trial discovery for cross border civil litigation n.1/2009). 

4.2 Ilflusso sistematico di dati verso XY anche a fini di miglioramentodell'affidabilità e della performance delle macchine e di verifica della qualitàdelle stesse

Perquanto attiene, invece, alla raccolta sistematica e automatica -posta tuttorain essere da XY- di dati sanitari riferiti ai pazienti che presso le strutturesanitarie usufruiscono delle apparecchiature per le quali essa fornisce servizidi manutenzione e di assistenza, al loro trasferimento anche in Paesi nonappartenenti all'Unione europea, nonché al loro utilizzo ulteriore, vadichiarata, per i profili sopra delineati (cfr. par. 2 e 3 del presenteprovvedimento), l'illiceità del trattamento che risulta essere tuttoraeffettuato dalla medesima società (artt. 3, 11, 26, comma 1, 45 e punto 3dell'autorizzazione XXnerale n. 2/2013 cit.).

Conriferimento a tali operazioni, l'Autorità ritiene pertanto, allo stato, didover vietare a XY, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1,lett. d) del Codice, in qualità di autonomo titolare, l'ulteriore trattamentonon consentito delle predette informazioni, fin tanto che la società nonadotti, ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c),del Codice, quale misura necessaria per rendere conforme il trattamento alladisciplina sulla protezione dei dati personali, accorgimenti tecnici atti ad"anonimizzare" efficacemente le medesime informazioni in modo da nonconsentire con l'uso di mezzi ragionevoli la re-identificazione delle personecui esse si riferiscono, neanche mediante il ricorso ad altre informazioninella disponibilità della stessa società, di altre società del Gruppo XX ovverodi terzi (cfr. art. 4, comma 1, lett. n) e considerando 26 dir. 95/46/CE). Ciò,nel caso in cui, per il miglioramento dell'affidabilità e della performancedelle macchine e di verifica della qualità delle stesse, sia necessarioacquisire dati sanitari dei pazienti attraverso un trasferimento periodico edautomatico del tipo di quello finora illecitamente posto in essere.

Riguardoagli accorgimenti tecnici che consentirebbero, nel caso in esame, di"anonimizzare" efficacemente il flusso sistematico di dati posto inessere per i predetti scopi, si può far riferimento, ad esempio, allaprevisione di valori discreti degli attributi in luogo di valori continui, o diintervalli di valori al posto dei valori puntuali, o ancora all'introduzione,ove possibile, di valori binari, quali vero/falso, al posto di attributi avalori multipli, che garantiscano la raccolta delle sole informazioni le cuicombinazioni di valori degli attributi siano riferibili ad un numero diinteressati pari o superiore a tre unità. A tal fine, si potrà procederemediante la ridefinizione del numero di combinazioni di valori possibili degliattributi ogXXtto di trasferimento in modo tale da assicurare che nei datiricevuti periodicamente dalla società non ci siano posizioni di pazienti chepresentino combinazioni di valori degli attributi in numero inferiore alle treunità, scartando pertanto quelle posizioni legate a combinazioni rare di valoridi attributi che siano riferite a meno di tre pazienti.

Inoltre,al fine di assicurare che gli obblighi e le responsabilità derivanti dalprocesso di "anonimizzazione" dei dati sopra delineato sianoricondotti nell'alveo delle attività poste in essere da XY in qualità"responsabile del trattamento" (art. 29 del Codice) è necessario chela società renda noto alle strutture sanitarie che intendono avvalersi dei suoiservizi il trattamento in questione e le finalità perseguite. Tali elementidovranno inoltre essere esplicitati nel modello di contratto standardsottoposto alla stipulazione delle strutture sanitarie (e nell'atto didesignazione quale "responsabile del trattamento"). Ciò, fermirestando gli obblighi in capo alle strutture sanitarie, titolari deltrattamento, di informare adeguatamente i sogXXtti interessati in relazionealle ulteriori operazioni di trattamento effettuate dalla XY per"anonimizzare" efficacemente i dati personali raccolti mediante leapparecchiature diagnostiche a fini di miglioramento della loro affidabilità eperformance, nonché di verifica della qualità delle stesse (art. 13 e 28 delCodice).

4.3 Iltrattamento di dati effettuato da XY nell'ordinario svolgimento dei servizi dimanutenzione e assistenza

Qualorainvece, come sora evidenziato, per specifici interventi tecnici, in loco e/o inremoto, posti in essere da XY nell'ambito delle ordinarie attività dimanutenzione e di assistenza delle apparecchiature in uso presso le strutturesanitarie proprie clienti, si renda indispensabile l'accesso da parte dellastessa società ai dati attinenti alla salute dei pazienti (sia pureindirettamente identificativi) per garantire il corretto funzionamento dellestesse, l'Autorità ritiene necessario prescrivere alla società, ai sensi degliartt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice, quali misureopportune per tutelare la riservatezza e il diritto alla protezione dei datipersonali delle persone interessate, di:

-informare tempestivamente la struttura sanitaria presso la quale viene eseguitol'intervento tecnico posto in essere anche da remoto;

-documentare alla predetta struttura sanitaria, anche nell'ambito del rapportotecnico di servizio previsto dal contratto stipulato con quest'ultima, leoperazioni di trattamento (effettuate per eseguire l'intervento in loco o inremoto), che hanno avuto ad ogXXtto dati personali attinenti alla salute deipazienti (anche qualora riguardino dati indirettamente identificativi),indicando le tipologie di dati coinvolti e le ragioni che hanno reso necessariotrattare tali informazioni per assicurare e/o ripristinare il funzionamentodell'apparecchiatura;

-registrare le predette operazioni di trattamento (access log) con modalità talida assicurarne la completezza, l'inalterabilità e la possibilità di verificadella loro integrità e metterle a disposizione della struttura sanitaria, surichiesta, avendo cura che tali registrazioni comprendano i riferimentitemporali e la descrizione dell'evento che le ha XXnerate e siano conservateper un congruo periodo, non inferiore a sei mesi;

- rafforzarele tecniche di pseudonimizzazione utilizzate in modo da ridurre il rischio dire-identificare gli interessati dall'informazione relativa all'istante di tempoin cui uno specifico evento (ad es. esame diagnostico) è stato XXnerato,adottando sistemi di riordino casuale degli eventi (shuffling), ovvero tecnichecrittografiche basate sull'applicazione di chiavi variabili nel tempo anchemediante l'utilizzo, all'interno della chiave di codifica, di sequenze casualidi bit (c.d salt) non riconducibili in alcun modo al riferimento temporaledell'esame (ad es. data e ora), in modo da ridurre il rischio di risalire daicodici pseudonimizzati all'identità del paziente;

-effettuare il trasferimento all'estero di dati sanitari di pazienti (sia pureindirettamente identificativi) nel rispetto degli artt. 42-45 del Codice.

TUTTO CIO' PREMESSO IL GARANTE

a)rilevata l'illiceità del trattamento effettuato da XY S.p.a., in qualità diautonomo di titolare, con riferimento alla raccolta periodica e automatica didati personali sanitari (sia pure indirettamente identificativi) riferiti aipazienti che presso le strutture sanitarie usufruiscono delle apparecchiaturediagnostiche per le quali essa fornisce servizi di manutenzione e diassistenza, al loro trasferimento anche verso gli Stati Uniti, nonchéall'utilizzo dei medesimi dati per scopi ulteriori (artt. 3, 11, 26, comma 1,45 e punto 3 dell'autorizzazione XXnerale n. 2 cit.), vieta a XY per il futuro,ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d) delCodice, l'ulteriore trattamento non consentito di tali informazioni fin tantoche la società non adotti, ai sensi degli artt. 143, comma 1, lett. b) e 154,comma 1, lett. c), del Codice, quale misura necessaria per rendere iltrattamento conforme alla disciplina sulla protezione dei dati personali, lemisure e gli accorgimenti indicati nel punto 4.2 del presente provvedimentoatti a non consentire con mezzi ragionevoli la re-identificazione dei pazientiinteressati, neanche mediante il ricorso ad altre informazioni nelladisponibilità della stessa società, di altre società del Gruppo XX o di terzi,nonché a assicurare che gli obblighi e le responsabilità derivanti dal processodi "anonimizzazione" dei dati siano ricondotti nell'alveo delleattività poste in essere da XY in qualità di "responsabile deltrattamento;

b)qualora invece per specifici interventi tecnici posti in essere in loco e/o inremoto nell'ambito delle ordinarie attività di manutenzione e di assistenzadelle apparecchiature in uso presso le strutture sanitarie, si rendaindispensabile il trattamento da parte di XY di dati attinenti alla salute dipazienti (sia pure indirettamente identificativi) per garantire il correttofunzionamento delle stesse, prescrive alla medesima società, ai sensi degliartt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice, di adottarele misure opportune indicate nel punto 4.3 del presente provvedimento pertutelare la riservatezza e il diritto alla protezione dei dati personali dellepersone interessate;

c) aisensi dell'art. 157 del Codice, prescrive a XY di dare riscontro a questaAutorità delle misure assunte o che si intendono assumere circa l'avvenutaadozione delle prescrizioni di cui alle lettere a) e b) del presenteprovvedimento entro il 30 giugno 2014.

IlGarante, nel prescrivere XY, ai sensi dell'art. 157 del Codice, di comunicareentro il termine di cui alla lett. c) quali iniziative sono state intraprese osi intendono intraprendere al fine di dare attuazione al presenteprovvedimento, ricorda che l'inosservanza di provvedimenti del Garante adottatiai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d) del Codiceè punita dal Codice (art. 170). Si ricorda inoltre che il mancato riscontroalla richiesta ex art. 157 è punito con la sanzione amministrativa di cuiall'art. 164 del Codice.

Ai sensidegli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presenteprovvedimento può essere proposta opposizione all'Autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 10 aprile 2014

Il presidente
Soro

Il relatore
Iannini

Il segretario generale
Busia