L’Agenzia spagnola per la protezione dei dati ha imposto una sanzione di 500.000 euro per mancata gestione dei sub responsabili a Marina Salud S.A., società per azioni spagnola, che gestisce i servizi sanitari nell’area di Denia, nella Comunità Valenciana.
Nell’ambito del proprio incarico, la società trattava dati sanitari – tra le categorie di dati più protette dal GDPR – per conto della pubblica amministrazione. La violazione che ha portato a questa sanzione non è di natura tecnica, ma procedurale: l’azienda non ha informato adeguatamente il titolare del trattamento riguardo l’utilizzo di sub-responsabili, come richiesto dall’articolo 28 del GDPR.
Marina Salud, incaricata di fornire assistenza sanitaria integrata nell’area di Denia, aveva sottoscritto tre contratti con fornitori di soluzioni IT per un software di gestione dei pazienti e per l’informatizzazione del laboratorio di analisi cliniche del nuovo ospedale di Dénia.
Questa mancanza di comunicazione, che sarebbe dovuta avvenire sin dall’inizio della collaborazione con le aziende IT, è stata ritenuta una violazione grave, soprattutto considerando che i dati trattati riguardano quelli relativi alla salute.
Una vicenda che offre numerosi spunti di riflessione, soprattutto per le realtà – pubbliche e private – che operano nel trattamento di dati relativi alla salute. E che dimostra come la data protection non sia solo un tema di sicurezza informatica, ma anche una questione di governance e compliance organizzativa.
Indice degli argomenti
Il contesto e qualche dettaglio della vicenda concreta
La vicenda prende avvio da un contratto pubblico stipulato nel 2005 tra la Conselleria de Sanidad valenciana e Marina Salud per la gestione del servizio sanitario integrato del Dipartimento di Denia. A partire dal 2009, la società ha avviato rapporti contrattuali con fornitori esterni per la gestione di sistemi informatici legati all’attività sanitaria.
Secondo l’Agenzia spagnola per la protezione dei dati, tuttavia, non è stata fornita comunicazione al titolare del trattamento – la stessa Conselleria – dell’avvio di almeno tre subcontratti con fornitori IT incaricati del trattamento dei dati. I contratti risalgono rispettivamente al 2018, al 2022 (aggiornamento di un contratto del 2008) e ancora al 2022, con operatività almeno fino all’ispezione del 19 gennaio 2023.
Il contratto tra Marina Salud e la Conselleria de Sanidad della Comunità Valenciana risale al 2005 e riguardava la gestione dell’intero Dipartimento di Salute di Denia. In seguito, a partire dal 2009, la società ha avviato collaborazioni con fornitori terzi per lo sviluppo e la manutenzione di sistemi IT utilizzati nell’erogazione dei servizi sanitari, in particolare per laboratori, gestione dei pazienti e infrastrutture tecnologiche.
Durante un’ispezione effettuata il 19 gennaio 2023, la Conselleria ha rilevato l’utilizzo di varie applicazioni – SISTEMA.1, SISTEMA.2, SISTEMA.3, tra le altre – gestite da subfornitori terzi.
Tuttavia, non risultava alcuna informazione trasmessa formalmente al titolare in merito alla stipula di questi contratti con sub responsabili, come previsto dal GDPR, violando così l’articolo 28.2 del regolamento europeo.
Inoltre, la società si è inizialmente rifiutata di fornire copia dei contratti durante l’ispezione, sostenendo che non rientrava tra le competenze dell’ente ispettivo richiederli.
Mancata informazione e controllo sui subfornitori
L’articolo 28 del GDPR impone che ogni responsabile del trattamento informi preventivamente il titolare dell’intenzione di ricorrere ad un altro sub responsabile. In assenza di tale comunicazione, il titolare non è in grado di esercitare il proprio diritto di autorizzazione o quello di opposizione, né di verificare la conformità dei contratti stipulati con terze parti.
Nel caso in esame, la violazione è stata aggravata dal fatto che i dati trattati riguardavano informazioni sanitarie, appartenenti alle cosiddette “categorie particolari” di dati personali, per le quali il GDPR prevede un livello di protezione rafforzato. Inoltre, il trattamento costituiva parte sostanziale del servizio oggetto della concessione pubblica.
Gestione dei sub responsabili: le motivazioni della sanzione
La sanzione di 500.000 euro è stata calcolata tenendo conto dei criteri previsti dall’articolo 83 del GDPR e dall’articolo 76 della normativa spagnola in materia di protezione dei dati. In particolare:
- Gravità e durata della violazione: la mancata informazione ha avuto luogo nel corso di diversi anni, senza che venissero adottate misure correttive spontanee;
- Tipologia di dati trattati: le categorie di dati personali interessati dalla violazione sono dati relativi alla salute, che sono considerati categorie particolari di dati.
- Rilevanza del trattamento nell’ambito contrattuale: il trattamento dei dati personali non era marginale, ma centrale rispetto al servizio sanitario affidato.
Questi elementi, considerati nel loro complesso, hanno portato l’autorità a qualificare la violazione come “grave” e a determinare l’importo della sanzione.
Gestione dei sub responsabili: le implicazioni per le aziende
Il caso Marina Salud ha un valore esemplare, e pone l’accento su un aspetto spesso trascurato nella gestione della privacy: la responsabilità contrattuale nei confronti dei subfornitori.
Non è raro, infatti, che le aziende, pur dotandosi di strumenti tecnici adeguati alla protezione dei dati, non prestino sufficiente attenzione alla regolamentazione formale dei rapporti con terze parti. La mancanza di comunicazione, la carenza di contratti conformi o il mancato aggiornamento delle nomine a responsabile del trattamento possono costituire violazioni a pieno titolo.
Il messaggio dell’Autorità è chiaro: la protezione dei dati non si esaurisce nella sicurezza informatica, serve una gestione strutturata, consapevole e documentata dei flussi informativi e contrattuali all’interno dell’organizzazione.
Un monito anche per le pubbliche amministrazioni
Non va trascurato un altro elemento del caso: la responsabilità condivisa con la pubblica amministrazione. Se il titolare del trattamento non esercitasse correttamente il proprio ruolo di vigilanza sui fornitori, potrebbe trovarsi esposto a sua volta a responsabilità.
Il modello di outsourcing dei servizi pubblici, sempre più diffuso, rende fondamentale la definizione chiara di ruoli e responsabilità.
La privacy non è (solo) un adempimento, è governance
Il caso di Marina Salud sulla gestione dei sub responsabili è solo uno degli esempi di come le normative sulla protezione dei dati stiano trasformando il panorama della responsabilità legale per le aziende.
La gestione dei dati personali, soprattutto in ambito sanitario, richiede un’attenzione rigorosa e un impegno continuo per garantire la conformità alle leggi vigenti.
Le sanzioni previste dal GDPR sono severe, ma fungono da deterrente per tutte le entità che trattano tali tipologie di dati, ricordando che la protezione della privacy e dei dati non è solo un obbligo legale, ma una questione fondamentale di etica e fiducia verso i cittadini.
Le aziende devono imparare a comprendere l’importanza di una gestione adeguata dei dati, e a rispondere tempestivamente alle richieste delle autorità competenti.
La trasparenza, la documentazione accurata e il rispetto della normativa non sono più facoltativi, ma essenziali per operare in modo responsabile e per evitare sanzioni che potrebbero danneggiare seriamente la reputazione e le operazioni di qualsiasi ente pubblico o privato.
E che la trasparenza, il controllo e la documentazione dei processi sono oggi il vero terreno su cui si misura la maturità delle organizzazioni in tema di protezione dei dati.
