Sulla base di un caso avviato di propria iniziativa, l’Agenzia danese per la protezione dei dati esprime serie critiche allo Statens Serum Institut per aver avviato il trattamento dei dati personali senza un’adeguata valutazione del rischio, valutazione dell’impatto, consultazione con l’Agenzia danese per la protezione dei dati, responsabile del trattamento accordi e misure di sicurezza adeguate.
In connessione con l’escalation della situazione COVID-19 in Danimarca (febbraio-marzo 2020) e la successiva chiusura della società, lo Statens Serum Institut (SSI) doveva fornire dati personali – sotto forma, tra le altre cose, di informazioni sanitarie – a disposizione di un gruppo di esperti che doveva calcolare i possibili scenari di riapertura.
La stessa SSI aveva valutato che il rischio per gli interessati era da moderato ad alto e ha riscontrato che all’inizio del trattamento non era stata effettuata una mappatura e una valutazione complete dei rischi coinvolti nel trattamento. SSI ha ritenuto che ciò di per sé comportasse un rischio elevato per i diritti degli interessati.
Tuttavia, la soluzione IT originariamente prevista per lo scambio di dati non poteva essere pronta abbastanza presto, quindi nella settimana 12 l’accesso ai dati è stato stabilito sul server SFTP di SSI, situato dietro un firewall esterno in una zona accessibile a esperti esterni (chiamata anche DMZ). Le informazioni venivano collocate in cartelle dedicate, dove gli esperti che dovevano avere accesso usavano nomi utente e password.
SSI ha affermato che la valutazione del rischio dovuta alla mancanza di risorse interne e la situazione all’epoca era iniziata solo nella settimana 16 e che la prima versione di una valutazione d’impatto era disponibile nella settimana 17. Gli accordi per il trattamento dei dati con i membri del gruppo di esperti erano firmato anche nella settimana 17.
Alla fine del 2019, SSI ha avviato un aggiornamento nel campo della protezione dei dati. Nel febbraio-marzo 2020, c’erano due posizioni per la conformità (una era vacante, tuttavia). È stato aggiornato con altre otto posizioni per iniziare il 1 ° aprile. SSI ha dichiarato di aver utilizzato l’assistenza esterna quando ha scoperto che mancavano dei dipendenti.
L’Agenzia danese per la protezione dei dati ha rilevato che SSI aveva già, nel momento in cui, prima dell’inizio del trattamento, si era resa conto che ciò comportava un rischio elevato per i diritti degli interessati, avrebbe dovuto iniziare a lavorare sulla valutazione dell’impatto.
Questo soprattutto quando era chiaro che aveva fretta di iniziare il trattamento. L’Autorità ha inoltre riscontrato che – quando esiste un rischio intrinseco per i diritti degli interessati – e questo rischio non è stato ridotto attraverso le iniziative che dovrebbero effettivamente derivare da una valutazione di impatto, è possibile iniziare il trattamento solo una volta che il L’ispettorato dei dati è stato consultato.
L’agenzia danese per la protezione dei dati ha riscontrato che i necessari accordi per il trattamento dei dati non sono stati stipulati fino a cinque settimane dopo l’inizio del trattamento.
Inoltre, l’Agenzia danese per la protezione dei dati ha riscontrato che la scelta della soluzione temporanea sul server SFTP di SSI non aveva tenuto debitamente conto del rischio di accesso non autorizzato alle informazioni, valutato in particolare in relazione alla natura, all’interesse e alle capacità delle informazioni tra gli attori che potrebbero essere interessati e la natura tecnica della soluzione scelta. L’Autorità ha quindi ritenuto che la soluzione non avesse il livello di sicurezza richiesto.
L’Agenzia danese per la protezione dei dati ha ritenuto che fosse circostanze attenuanti che il trattamento dovesse essere stabilito durante una situazione di crisi internazionale, che vi fosse un significativo interesse sociale nella rapida esecuzione del trattamento e che SSI – tuttavia – aveva preso in considerazione la deviazione temporanea da le norme sulla protezione dei dati e, in una certa misura, avevano cercato di porvi rimedio.
In questo contesto, la sanzione è stata fissata esclusivamente per gravi critiche.
In generale, l’Agenzia danese per la protezione dei dati è del parere che il mancato rispetto delle tutele legali che il regolamento presuppone al fine di ridurre i rischi elevati in un determinato trattamento, e che l’avvio di tale trattamento senza consultare l’autorità di controllo, sia una violazione di notevole serietà.
Tanto più che un tale metodo mina la garanzia che l’autorità di controllo valuti la piena legalità del trattamento e che non venga avviato alcun trattamento illegale ad alto rischio per i diritti degli interessati. La sanzione prevista nella fattispecie deve essere vista solo alla luce della situazione straordinaria prevalente all’epoca in questione.