L’Autorità Garante per la protezione dei dati personali ha ribadito nell’Ordinanza di ingiunzione nei confronti di Società Med Store Saronno s.r.l. che “i Titolari possono affidare un trattamento “a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto di misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i principi del #GDPR 2016/679”, anche per la sicurezza del trattamento, tenuto conto degli specifici rischi derivanti dallo stesso (artt. 28, par. 1, 24 e 32 del Regolamento; cfr. anche Cons. n. 81).
I profili soggettivi
Una Casa di cura, in provincia di Varese, ha notificato al Garante – ai sensi dell’art. 33 del #GDPR 2016/679 – un #DataBreach a seguito di un attacco informatico riconducibile al gruppo hacker LulzSec_ITA. Tale evento ha comportato la pubblicazione, sul profilo Twitter del gruppo hacker, di immagini radiologiche riconducibili alla Casa di cura. La Casa di cura ha confermato di aver affidato ad un’azienda esterna l’installazione sul web di un software che consentiva ai medici di avere #accesso da remoto ad immagini diagnostiche.
La norma quale unico strumento di tutela
Va dunque ricordato che, in materia di sicurezza dei dati personali, il Titolare e il responsabile del trattamento devono mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” (…). Nel valutare l’adeguato livello di sicurezza si deve tener conto, in special modo, dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati” (s.v. art. 32 del GDPR 2016/679).
La determinazione delle sanzioni pecuniarie
Rilevata la violazione degli artt. 5 e 32 del GDPR 2016/679, il Garante ha dichiarato l’illiceità del trattamento di dati personali effettuato dalla Società Med Store Saronno s.r.l. Inoltre ha ordinato alla medesima di pagare la somma di € 7.000,00 a titolo di sanzione amministrativa pecuniaria per la violazione dei dati personali.
______________________
Testo del provvedimento n. 423 del 2 dicembre 2021 del Garante Privacy: Ordinanza ingiunzione nei confronti di Società Med Store Saronno s.r.l. – 2 dicembre 2021
*I diritti delle immagini appartengono ai rispettivi proprietari.
Hai dubbi in merito? Noi saremo lieti di aiutarTi a trovare la soluzione per la Tua realtà aziendale.