Con l’ordinanza n. 432 del 2 dicembre 2021, il Garante Privacy ha comminato una sanzione punitiva particolarmente rilevante per il fornitore esterno di una struttura sanitaria che aveva subito un attacco informatico da parte di alcuni hackers, i quali avevano successivamente pubblicato le immagini radiologiche di alcuni pazienti.
Per inquadrare correttamente il problema, occorre innanzitutto ricordare come i dati afferenti alla sfera sanitaria delle persone fisiche, ai sensi dell’art. 9 del Regolamento Europeo n. 679/2016 (“GDPR”) rientrano in quelle che il GDPR definisce come “categorie particolari di dati”: in tali ipotesi, il legislatore europeo ha inteso vietare il loro trattamento, a meno che non ricorra una delle condizioni esposte al comma 2 dello stesso articolo, nell’elenco ricompreso tra la lett. a) e la lett. j).
Nel caso di specie, il Garante ha ritenuto insufficienti le misure adottate in tema di password policy, essendo il fornitore sprovvisto di passwords nominative differenziate; inoltre, non erano stati implementati diversi protocolli di sicurezza, tra cui l’attivazione del sistema https: il tutto in evidente violazione dell’art. 32 del GDPR, il quale detta una specifica disciplina in tema di sicurezza del trattamento.
Ai fini della successiva applicazione del dictum dettato con l’ordinanza in oggetto, appare interessante segnalare come il Garante abbia ascritto una specifica responsabilità in capo al fornitore del servizio ai sensi del summenzionato art. 32, in quanto l’implementazione dei protocolli di sicurezza del trattamento dei dati rientrano tra i doveri sia del titolare che del responsabile,
In questo senso, al di fuori del trattamento specifico di particolari categorie di dati, le imprese che, nella loro attività quotidiana, hanno messo in piedi un sistema di trattamento dovranno selezionare con particolare attenzione i propri fornitori, selezionando quelli che possano garantire i massimi standards di sicurezza in materia: accanto a ciò, appare evidente la necessità di strutturare in maniera seria e rigorosa la clausola contrattuale relativa al trattamento dei dati personali, stabilendo di volta in volta perimetri specifici per la ripartizione delle competenze tra titolare e responsabile del trattamento.