Nonostante il GDPR sia in vigore da oltre 4 anni continuano le violazioni . Questa volta nel mirino del regolamento europeo la Regione Lazio e il sistema di gestione delle visite di controllo periodiche alla quale è stata in flitta una multa di 100.000 euro.
Nonostante il GDPR sia stato approvato nel 2016 e sia operativo ufficialmente da oltre 4 anni l’elenco di aziende che vengono scoperte non ancora in regola aumentano di giorno in giorno. Spesso si tratta di realtà imprenditoriali medio-piccole, meno spesso ma non raramente aziende importanti e di grandi dimensioni. Quello che però è emerso in questi 4 anni è che spesso sono le pubbliche amministrazioni ad essere “vittime” del GDPR.
Sono proprio le realtà pubbliche spesso a cadere in errore nella gestione di dati personali. È evidente che il motivo per cui queste realtà siano maggiormente soggette a sanzioni è dovuta anche alla grande mole di dati che devono gestire e dal fatto che la trasmissione dei dati non è sempre diretta dal cittadino all’ente ma bensì si tratta di dati che vengono recuperati attraverso altri enti pubblici.
L’ultimo ente vittima del GDPR è la Regione Lazio, sanzionata con una multa di 100.000 euro per una gestione dei dati inerenti gli screening oncologici non corretta. In questo caso non si tratta di un problema di informative o di acquisizione dei dati ma della gestione degli stessi.
L’Autorità è intervenuta a seguito del reclamo di una donna che aveva lamentato di aver ricevuto dalla Asl di Rieti un invito a partecipare al programma di screening del tumore del collo dell’utero, rivolto alla figlia. Fin qui non ci sarebbe stato nulla di male se non fosse che la figlia è deceduta nel ’95.
Nel corso dell’istruttoria, l’Autorità ha accertato che – per svolgere le campagne di screening – le Asl utilizzano una piattaforma regionale denominata Sistema Informativo dei Programmi di screening oncologici (SIPSOweb). Questa piattaforma gestisce automaticamente le notifiche delle visite inviando regolarmente, agli utenti inseriti, una comunicazione che li avverte di svolgere le visite di controllo.
Quando la ASL di Rieti aveva consultato la scheda “dettaglio assistito” di SIPSOweb relativa alla figlia della reclamante, questa risultava ancora regolarmente inserita nella suddetta piattaforma regionale sebbene deceduta da tempo. L’Autorità ha pertanto contestato alla Regione il mancato rispetto dei principi di esattezza e correttezza dei dati trattati attraverso la piattaforma. Ma la cosa che ha maggiormente influenzato la scelta di multare l’ente è stata la mancanza di ruoli precisi nella gestione della piattaforma. Infatti, era affidata a personale non qualificato e non istruito a sufficienza per poter gestire dati così sensibili. Non era nemmeno chiara l’individuazione dei ruoli (gestore della piattaforma, operatore, assistente tecnico, et…) rendendo di fatto la piattaforma alla “mercè” del primo o dell’ultimo arrivato.
La Regione, in quanto titolare dei dati, deve garantire che gli stessi siano esatti e, se necessario, aggiornati, adottando tutte le misure ragionevoli per cancellare o rettificare tempestivamente le informazioni che utilizza.
Nel comminare la sanzione il Garante ha tenuto conto del fatto che la Regione Lazio era stata già destinataria di un provvedimento sanzionatorio dell’Autorità, e del fatto che, nell’ambito dell’istruttoria, oltre agli aspetti di mancato aggiornamento del dato oggetto del reclamo, l’Ufficio ha rilevato numerose criticità relative al sistema con cui la Regione effettua il trattamento dei dati, anche sulla salute, degli oltre 5 milioni di assistiti coinvolti nelle campagne di screening regionali.
La Regione dovrà perciò identificare correttamente i ruoli, le finalità e le basi giuridiche del trattamento, modificando e integrando le informazioni da rendere agli interessati.
Per garantire una maggiore accuratezza nella gestione delle informazioni anagrafiche delle persone aventi diritto ai programmi di screening oncologici, l’Autorità ha evidenziato la necessità che tutte le Regioni utilizzino a tal fine l’Anagrafe Nazionale degli Assistiti (ANA), ente previsto dal P.N.R.R., che ha lo scopo di migliorare il dialogo tra Servizio Sanitario Nazionale e cittadini.