Con provvedimento in data 19 gennaio 2017 (Registro dei provvedimenti n. 15 del 19 gennaio 2017 ) il Garante ha adottato una Ordinanza ingiunzione nei confronti del dott. XX e Azienda Universitaria Ospedaliera Ospedali Riuniti di Trieste, in persona del legale rappresentante pro-tempore con sede in Trieste, via Farneto n. 3, quest´ultima in qualità di obbligato in solido, di pagare la somma di euro 20.000,00 (ventimila) a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione;
Continua a leggere
Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;
RILEVATO che l´Ufficio del Garante, con atto n. 10263/89943 del 31 marzo 2014 (notificato il 14 aprile 2014), che qui deve intendersi integralmente riportato, ha contestato alla dott.ssa Perrone Rosaria, nata a XX il XX, residente in Trieste, via XX, C.F. XX, la violazione delle disposizioni di cui agli artt. 23, 162, comma 2-bis, e 167 del Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196, di seguito denominato "Codice"); rilevato che con il medesimo atto l´Ufficio ha individuato l´Azienda Universitaria Ospedaliera Ospedali Riuniti di Trieste (di seguito "Azienda Ospedaliera" o "AUOTS" o "AOUTS"), in persona del legale rappresentante pro-tempore con sede in Trieste, via Farneto n. 3, C.F. 01066380328, quale soggetto obbligato in solido per la contestata violazione, ai sensi dell´art. 6, comma 3, della legge n. 689/1981;
RILEVATO, più precisamente, che con l´atto di contestazione si rappresenta che:
- il Garante ha esaminato la segnalazione e il successivo reclamo presentati il 13 e 14 novembre 2013 dalla sig.ra XX, la quale ha lamentato un accesso abusivo a propri dati personali idonei a rilevare lo stato di salute, da parte di due medici dell´Azienda Ospedaliera, fra cui la dott.ssa Rosaria Perrone;
- a seguito di richiesta di informazioni da parte dell´Ufficio, l´Azienda Ospedaliera ha rappresentato di aver svolto verifiche ed accertamenti al fine di individuare eventuali accessi abusivi alle informazioni personali della reclamante, in particolare esaminando i file di log degli applicativi in uso presso il nosocomio;
- dalle verifiche è emerso che la dott.ssa Rosaria Perrone ha effettuato molteplici accessi ai dati della reclamante (n. 40 accessi dal 23 aprile 2009 al 16 giugno 2012);
- in base a quanto rilevato, la dott.ssa Perrone, designata dal Direttore della U.C.O. di Radiologia della medesima Azienda Ospedaliera quale incaricata del trattamento ai sensi dell´art. 30 del Codice, ha effettuato i predetti accessi in assenza del consenso dell´interessato previsto dagli artt. 23, 77 e 81 del Codice;
RILEVATO che con il citato atto del 31 marzo 2014 è stata contestata alla dott.ssa Perrone, ai sensi dell´art. 162, comma 2-bis, la violazione delle disposizioni di cui all´art. 23 del Codice, per aver trattato i dati personali idonei a rilevare lo stato di salute della reclamante, in assenza del prescritto consenso;
VISTO il rapporto relativo all´atto di contestazione di cui sopra, predisposto dall´Ufficio ai sensi dell´art. 17 della legge 24 novembre 1981, n. 689, dal quale non risulta essere stato effettuato il pagamento in misura ridotta;
VISTI gli scritti difensivi del 14 maggio 2014 e il verbale di audizione del 9 novembre 2015 che qui si intendono integralmente richiamati, nei quali si legge:
- "gli atti richiamati nella contestazione non sono stati messi a disposizione dell´interessata. Tali circostanze determinano l´incompletezza della contestazione […]. L´incompletezza determina un significativo pregiudizio del diritto della destinataria della contestazione di partecipare al procedimento e di esercitare il diritto al contraddittorio e di difesa";
- "la destinataria della contestazione non è stata messa nelle condizioni di avere accesso a tutti gli atti del procedimento; non è stata avvisata nemmeno delle modalità con le quali avrebbe potuto avere conoscenza ed estrarre copia degli atti procedimentali. […] Ne discende l´invalidità procedimentale che formalmente si eccepisce";
- "nessuna specifica previsione vietava di accedere al sistema per la mera consultazione di dati relativi a pazienti che non fossero ricoverati presso il reparto di afferenza del sanitario che prendeva visione dei dati o che avesse direttamente in cura il loro titolare. Se ne desume che […] l´incaricato del trattamento poteva avere accesso all´intero complesso dei dati presenti nell´archivio informatico dell´AUOTS, purché ciò avvenisse per ragioni di natura sanitaria connesse alla professione svolta";
- "il sistema informatico adottato all´epoca dei fatti in contestazione consentiva, a tutti gli incaricati del trattamento, l´accesso ai dati senza restrizione alcuna";
- "si ritiene quindi che all´epoca in cui furono effettuati gli accessi da parte della Dr.sa Perrone nessuna disposizione dell´AUOTS vietasse tale condotta, che risultava supportata da un pregresso rapporto di amicizia, da un generico consenso dell´interessato e da un´ampia autorizzazione al trattamento dei suoi dati da parte degli incaricati";
- "l´accesso ai dati deve quindi ritenersi legittimo, perché effettuato per ragioni inerenti o comunque connesse all´attività sanitaria svolta dalla Dr.sa Perrone";
- "vanno in ogni caso sottolineati: la buona fede della Dr.sa Perrone e l´assenza di qualsiasi volontà di nocumento; la sporadicità della condotta; la finalità lato sensu terapeutica che ha sorretto l´iniziativa";
RITENUTO che le argomentazioni addotte non risultano idonee a determinare l´archiviazione del procedimento sanzionatorio avviato con la contestazione di cui sopra, per le ragioni di seguito esposte:
- quanto alle argomentazioni di carattere formale, non può che constatarsi che l´Ufficio, nell´instaurazione del procedimento sanzionatorio nei confronti della dott.ssa Perrone, ha osservato tutte le disposizioni della legge n. 689/1981 in tema di partecipazione al procedimento e garanzia del diritto di difesa notificando l´atto di contestazione della violazione amministrativa entro novanta giorni dalla data dell´accertamento (art. 14, comma 2), coincidente con la nota di chiusura dell´istruttoria da parte del Dipartimento libertà pubbliche e sanità del 14 febbraio 2014 informando la parte della facoltà di procedere al pagamento in forma ridotta entro sessanta giorni dalla notificazione dell´atto di contestazione ovvero di presentare entro trenta giorni scritti difensivi o richiesta di audizione; acquisendo dalla parte scritti difensivi e dichiarazioni personali (art. 18, comma 1) e consentendo alla parte medesima, nell´ambito dell´audizione, di produrre scritti difensivi integrativi; quanto alle modalità per accedere agli atti del procedimento, le stesse sono indicate nel Regolamento n. 1/2006 - Accesso ai documenti amministrativi presso l´Ufficio del Garante – del 26 luglio 2006, pubblicato in G.U. n. 183 del 8 agosto 2006 (in www.gpdp.it, doc. web n. 1320021) e ad esse si è attenuto l´Ufficio nell´ambito del procedimento per l´accesso instaurato a seguito di istanza della parte in data 15 maggio 2014 e conclusosi con provvedimento di accoglimento del 24 giugno 2014;
- nel merito, deve, in primis, essere richiamato il contenuto della segnalazione della sig.ra XX la quale ha rappresentato che "in data 11 settembre 2013, a seguito della mia presa di coscienza di una diffusione non autorizzata dei miei dati sensibili, ho chiesto al responsabile dell´Ufficio Privacy dell´AOUTS di prendere visione di tutti coloro che avevano avuto accesso ai miei dati sensibili a partire dall´anno 2008 a tutt´oggi attraverso la tracciatura informatica dell´INSIEL. In data 30 settembre 2013 mi è stata ufficialmente consegnata l´indagine informatica da parte dell´azienda AOUTS. Ho potuto quindi notare numerosi accessi non autorizzati da parte della dottoressa Rosaria Perrone […] e del dottor Michele Bertolotto […], marito e moglie, i quali hanno deliberatamente aperto e letto il contenuto di numerosi documenti sanitari privati […]. Dopo avere preso attentamente visione dei tabulati a me forniti dall´azienda AOUTS, in data 30 settembre 2013 ho quindi comunicato ufficialmente all´ufficio privacy dell´azienda AOUTS che il dottor Michele Bertolotto e la dottoressa Rosaria Perrone non erano autorizzati ad accedere ai miei dati come invece è risultato dai tabulati. […] Non sono stata mai paziente né della dottoressa Perrone né del dottor Bertolotto. Preciso che XX è XX e lavora nel XX";
- dalla segnalazione emergono due elementi che non sono stati messi in dubbio dalle osservazioni difensive della dott.ssa Perrone e cioè che la stessa non aveva acquisito alcuno specifico consenso per trattare i dati personali della sig.ra XX, in particolare quelli idonei a rilevare lo stato di salute della medesima, e che quest´ultima non era mai stata paziente della dott.ssa Perrone. Dalla segnalazione emerge inoltre che i rapporti fra la dott.ssa Perrone e la sig.ra XX non fossero improntati ad amicizia e stima e che, quindi, per gli accessi operati dalla dott.ssa Perrone non può invocarsi alcuna presunzione di buona fede; deve essere inoltre evidenziata la circostanza che la sig.ra XX, per venire a conoscenza dei trattamenti dei propri dati sanitari svolti dalla dott.ssa Perrone, ha dovuto richiedere un accesso ai file di log degli applicativi in uso presso l´Azienda Ospedaliera, elemento che evidenzia che i trattamenti siano avvenuti in assenza non solo del consenso della sig.ra XX, ma anche della sua consapevolezza;
- per riguarda la asserita genericità e ampiezza della designazione della dott.ssa Perrone quale incaricata dei trattamenti che si svolgono presso l´Azienda Ospedaliera, nonché la assenza, negli applicativi informatici in uso presso l´Azienda medesima, di un sistema di autorizzazione idoneo a consentire l´accesso ai documenti sanitari ai soli soggetti effettivamente autorizzati, in relazione alla prima argomentazione, esaminando l´atto di designazione della dott.ssa Perrone - adottato dall´Azienda Ospedaliera il 15 dicembre 2009 - si rileva che nessuna delle istruzioni impartite al medico incaricato del trattamento è idonea a consentire al medesimo di accedere indiscriminatamente alle informazioni sanitarie dei pazienti, anche di quelli mai avuti in cura. Le istruzioni, fra l´altro, impongono di "informare l´interessato ai sensi dell´art. 13 del Dl.vo 196/03, e richiederne il consenso, il tutto come previsto dalle disposizioni già in vigore", adempimento che non risulta la dott.ssa Perrone abbia curato nei confronti della sig.ra XX, e "assicurare che l´accesso alle banche dati sia consentito solo al personale autorizzato e per ragioni inerenti ai doveri d´ufficio". La dott.ssa Perrone, pertanto, in base alle predette inequivoche istruzioni, avrebbe potuto consultare i documenti sanitari della sig.ra XX, acquisendo dalla stessa il necessario consenso, per specifiche finalità di accertamenti diagnostici o cure mediche, che, nel caso in argomento, non risulta siano mai state perseguite;
- in ordine alle caratteristiche del sistema informatico in uso presso l´Azienda Ospedaliera (oggetto di esame del Garante con il provvedimento n. 3 del 10 gennaio 2013, doc. web n. 2284708), le stesse hanno un´attinenza assai limitata con la vicenda segnalata dalla sig.ra XX, poiché la necessaria condivisione delle informazioni sanitarie fra le diverse strutture interne di un ospedale rappresenta un´operazione di trattamento pienamente legittima, purché svolta nel rispetto della normativa in materia di protezione dei dati personali, analiticamente richiamata nella deliberazione n. 25 del 16 luglio 2009 recante le "Linee guida in tema di Fascicolo sanitario elettronico (Fse) e di dossier sanitario" (pubblicata in G.U. n. 178 del 3 agosto 2009 – in www.gpdp.it, doc. web n. 1634116). Peraltro, le predette Linee guida, si occupano anche del ruolo delle persone fisiche incaricate del trattamento "le quali possono venire lecitamente a conoscenza dei dati personali trattati attraverso tali strumenti nell´ambito delle funzioni svolte e attenendosi alle istruzioni scritte impartite dal titolare o dal responsabile". Il fatto che l´Azienda Ospedaliera non abbia curato alcuni adempimenti in tema di consenso degli interessati, necessari per la corretta condivisione dei documenti sanitari, non può essere messo in diretta correlazione con il diverso profilo riguardante l´indebito accesso della dott.ssa Perrone ai documenti sanitari della sig.ra XX, posto che la stessa dott.ssa Perrone, in qualità di incaricata del trattamento, ma ancora di più in qualità di esercente la professione medica, doveva essere a conoscenza dei limiti legali e deontologici alla consultazione dei predetti documenti.
RILEVATO, quindi, che la dott.ssa XX , sulla base delle considerazioni sopra richiamate, risulta aver commesso, in qualità di incaricata del trattamento, ai sensi degli artt. 4, comma 1, lett. h), e 30 del Codice, la violazione delle disposizioni previste dagli artt. 23 e 162, comma 2-bis, e 167 del Codice, per aver trattato i dati personali idonei a rilevare lo stato di salute della reclamante, in assenza del prescritto consenso;
VISTO l´art. 162, comma 2-bis, del Codice che punisce le violazioni delle norme indicate nell´art. 167, tra le quali quelle di cui all´art. 23, con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;
CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge n. 689/1981, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;
CONSIDERATO che, nel caso in esame:
a) in ordine all´aspetto della gravità con riferimento agli elementi dell´entità del pregiudizio o del pericolo e dell´intensità dell´elemento psicologico, la violazione risulta connotata da elementi specifici connessi alla natura sensibile dei dati trattati e alla numerosità degli accessi svolti dalla dott.ssa Perrone (n. 40 accessi dal 23 aprile 2009 al 16 giugno 2012);
b) ai fini della valutazione dell´opera svolta dall´agente, non risultano elementi idonei ad evidenziare un comportamento collaborativo della parte, una volta emersi gli indebiti trattamenti;
c) circa la personalità dell´autore della violazione, deve essere considerata la circostanza che la dott.ssa Perrone non risulta gravata da precedenti procedimenti sanzionatori definiti in via breve o a seguito di ordinanza ingiunzione;
d) in merito alle condizioni economiche dell´agente, sono state prese in considerazione le informazioni reddituali relative all´anno 2015;
RITENUTO, quindi, di dover determinare, ai sensi dell´art. 11 della legge n. 689/1981, l´ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura di euro 20.000,00 (ventimila);
RITENUTO di dover individuare, ai sensi dell´art. 6, comma 3, della legge n. 689/1981, l´Azienda Universitaria Ospedaliera Ospedali Riuniti di Trieste quale obbligato in solido con l´autore della violazione al pagamento della somma da questo dovuta;
VISTA la documentazione in atti;
VISTA la legge n. 689/1981, e successive modificazioni e integrazioni;
VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;
RELATORE la dott.ssa Augusta Iannini;
ORDINA
alla dott.ssa XX, nata a XX il XX, residente in Trieste, via XX, e all´Azienda Universitaria Ospedaliera Ospedali Riuniti di Trieste, in persona del legale rappresentante pro-tempore con sede in Trieste, via Farneto n. 3, quest´ultima in qualità di obbligato in solido, di pagare la somma di euro 20.000,00 (ventimila) a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione;
INGIUNGE
ai medesimi di pagare la somma di euro 20.000,00 (ventimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689.
Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.