EntiOnLine
Categorie
indietro
08/07/2021 Ordinanza di ingiunzione nei confronti di Azienda ospedaliero-universitaria Senese > Illeicita' del trattamento di dati personali consegnando referti sanitari a terzi non autorizzati

Con provvedimento in data 22 luglio 2021 (Registro dei provvedimenti Registro dei provvedimenti n. 264 dell'8 luglio 2021) il Garante ha adottato una Ordinanza ingiunzione nei confronti di Azienda ospedaliero-universitaria Senese.

Ha ordinato di pagare la somma euro 25.000 (venticinquemila) a titolo di sanzione amministrativa pecuniaria per le violazioni di seguito indicate:

- illiceità del trattamento di dati personali effettuato di Azienda ospedaliero-universitaria Senese.

In particolare, l’Ufficio, con riferimento alle fattispecie descritte alle precedenti lett. a) e b), ha rilevato che, sulla base degli elementi in atti e delle relative valutazioni, l’Azienda, ha effettuato - mediante la consegna a terzi di un referto sanitario, contenente dati sulla salute e dati genetici, una comunicazione di categorie particolari di dati degli interessati in assenza di un idoneo presupposto giuridico e, quindi, in violazione, in entrambi i casi, dei principi di base del trattamento di cui agli artt. 5, par. 1, lett. a) e f) e 9 del Regolamento e, per il caso rappresentato nella violazione di dati personali di cui alla lett. a), anche del punto 4.6 del “Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101” (n. 146 del 5 giugno 2019, pubblicato in G.U. n. 176 del 29 luglio 2019 e consultabile in www.gpdp.it, doc. web n. 9124510).

Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il D.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTO il “Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101” n. 146 del 5 giugno 2019, pubblicato in G.U. n. 176 del 29 luglio 2019 e consultabile in www.gpdp.it, doc. web n. 9124510;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il prof. Pasquale Stazione;

PREMESSO

1. La violazione dei dati personali e l’attività istruttoria.

L’Azienda Ospedaliero-Universitaria Senese (di seguito “Azienda”) ha notificato all’Autorità tre violazioni dei dati personali, ai sensi dell’art. 33 del Regolamento, aventi ad oggetto:

a) l’invio, per errore materiale, ai genitori di un minore, che hanno segnalato la vicenda, unitamente alla cartella clinica dello stesso minore, di un referto sanitario relativo a soggetti terzi (un paziente minore e i suoi genitori) aventi lo stesso cognome dell’interessato; il predetto referto conteneva anche dati genetici. Secondo quanto dichiarato nella predetta notificazione, al fine di porre rimedio alla violazione e di ridurne gli effetti negativi, i segnalanti sono stati informati che, nonostante l’erroneo inserimento del documento non pertinente, la documentazione sanitaria da loro richiesta era completa. L’Azienda ha inoltre dichiarato di essere rientrata in possesso del referto erroneamente inserito nella cartella clinica consegnata ai segnalanti. Al fine di prevenire il ripetersi di simili violazioni, l’Azienda ha rappresentato di aver implementato misure tecniche e organizzative, e, in particolare, di aver previsto controlli a campione da effettuarsi a cura dell'Ufficio Cartelle Cliniche sulle copie delle cartelle richieste dai pazienti (nota del XX);

b) l’erroneo inserimento, all’interno di un plico, contenente il CD relativo a un esame diagnostico effettuato da una paziente, di un referto riferito ad altro soggetto. L’Azienda, in particolare, ha dichiarato che “la violazione si è risolta in un minimo lasso temporale, in quanto la Sig.ra XX ha restituito immediatamente alla Segreteria della UOC Diagnostica per Immagini il referto riferito ad altra persona ed ha potuto contestualmente ritirare il proprio referto cartaceo”. E’ stata dichiarata, inoltre, l’intenzione di “esternalizzare il servizio di front-office/CUP al fine di avere procedure uniformi in fase di accettazione del paziente e un maggior controllo sulle attività di back-office”; nel frattempo sono state fornite “disposizioni e istruzioni agli operatori addetti di effettuare un secondo passaggio di controllo per l’imbustamento dei referti/CD, prevedendo che ogni operatore apponga la propria sigla in fase di imbustamento e nella successiva fase di controllo, sul foglio di lavoro” (nota del XX);

c) la consegna, su richiesta dell’interessato, della copia cartacea della cartella clinica di ricovero alla quale veniva allegata, “per errore materiale di composizione del documento cartaceo, anche la documentazione sanitaria del Sig. YY, paziente ricoverato nello stesso reparto”. In relazione a tale violazione di dati personali, l’Azienda ha dichiarato che “non sono coinvolte strutture IT”, la cartella clinica in questione è stata stampata correttamente dall’Ufficio Cartelle Cliniche e di aver “svolto immediatamente le verifiche interne necessarie per valutare l’accaduto e [di aver posto] in essere con tempestività le azioni volte alla cessazione degli effetti negativi della violazione per l’interessato e per la consegna della corretta cartella clinica al richiedente” (nota del XX). Con nota, del XX (prot. n. XX), l’Azienda ha fornito riscontro alla richiesta di informazioni dell’Ufficio (nota del XX, prot. n. XX) in ordine ai fatti oggetto della richiamata violazione di dati personali, evidenziando, in particolare, che:

le cartelle cliniche relative ai pazienti coinvolti nella vicenda erano correttamente costituite e non contenevano documenti estranei dai legittimi interessati; “pertanto l'errore materiale è avvenuto nel momento in cui le due cartelle sono state stampate e ricomposte presso l'Ufficio Cartelle Cliniche”;

“specifiche istruzioni sono state fornite ai soggetti deputati alla gestione delle richieste delle cartelle cliniche, (…) nuovamente formalizzate a tutti gli incaricati in data XX, (…) nonché ai soggetti incaricati assunti successivamente a quella data e assegnati all'Ufficio cartelle cliniche”.

“dall'anno 2019 è stata introdotta una "check list" di controllo che accompagna la cartella nei vari passaggi che precedono l'invio all'utente”;

dopo aver ricevuto la segnalazione, sono state immediatamente poste in essere specifiche azioni volte alla cessazione degli effetti negativi della violazione per l'interessato. In particolare, è stato disposto il ritiro della cartella clinica erroneamente consegnata; sono stati svolti degli audit e individuate azioni correttive quali la revisione della “Istruzione Operativa” per la duplicazione della cartella clinica; la revisione della check list di controllo condivisa con gli operatori, per accompagnare l'iter di duplicazione di tali documenti in ogni fase.

Con specifico riferimento alle violazioni sopra rappresentate, l’Ufficio, con nota del XX (prot. n. XX), nel disporre la riunione dei procedimenti istruttori relativi alle violazioni di cui alle precedenti lett. a) e b), aventi ad oggetto fattispecie analoghe, ha notificato all’Azienda, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

In particolare, l’Ufficio, con riferimento alle fattispecie descritte alle precedenti lett. a) e b), ha rilevato che, sulla base degli elementi in atti e delle relative valutazioni, l’Azienda, ha effettuato - mediante la consegna a terzi di un referto sanitario, contenente dati sulla salute e dati genetici, una comunicazione di categorie particolari di dati degli interessati in assenza di un idoneo presupposto giuridico e, quindi, in violazione, in entrambi i casi, dei principi di base del trattamento di cui agli artt. 5, par. 1, lett. a) e f) e 9 del Regolamento e, per il caso rappresentato nella violazione di dati personali di cui alla lett. a), anche del punto 4.6 del “Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101” (n. 146 del 5 giugno 2019, pubblicato in G.U. n. 176 del 29 luglio 2019 e consultabile in www.gpdp.it, doc. web n. 9124510).

Con successiva nota del XX (prot. n. XX), l’Ufficio, relativamente alla violazione di dati personali di cui alla precedente lett. c), ha notificato all’Azienda, ai sensi dell’art. 166, comma 5, del Codice, l’avvio di un nuovo procedimento, per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitando l’Azienda a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice cit.; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981 cit.).

In particolare, l’Ufficio ha accertato, sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, che l’Azienda, consegnando a un proprio paziente, unitamente alla cartella clinica dello stesso anche quella di un altro paziente, ha effettuato una comunicazione di dati relativi alla salute in assenza di un idoneo presupposto giuridico. Ciò, in violazione dei principi di base del trattamento di cui agli artt. 5, par. 1 lett. a) e f), 9 del Regolamento, nonché dell’art. 75 del Codice e dell’art. 32, par. 1, lett. b) del Regolamento, in quanto le misure tecniche e organizzative sono risultate non idonee a garantire un livello adeguato di riservatezza e integrità ai dati sulla salute degli assististi.

Con nota del XX, l’Azienda ha fatto pervenire le proprie memorie difensive, in relazione alle violazioni di cui alle predette lett. a) e b) in cui è stato rappresentato, in particolare, che:

in relazione alla comunicazione di cui alla lett. a) “con chiarezza emerge come l’errato inserimento del referto nella cartella clinica sia stato determinato da un mero errore umano, causato non solo dalla identicità dei cognomi dei piccoli pazienti (X, ma altresì dalla identicità delle iniziali nome e del cognome del padre della minore di cui al referto (XY con quello del minore intestatario della cartella clinica (XZ); ciò anche ai fini della valutazione ex art. 83 par. 2, lett. K) del Regolamento”; “verosimilmente il personale della UOC Neuropsichiatria infantile, ricevuto il referto indirizzato alla “Famiglia Xc/oXY” (padre della minore), lo ha inserito nella cartella clinica del minore XZ).” Dalla lettura dei report redatti a XX e a XX e “dall’esame a campione effettuato su alcune cartelle cliniche sono emerse alcune criticità riguardanti la corretta tenuta e/o compilazione delle stesse (a titolo esemplificativo l’assenza della c.d. scheda dolore, problematiche legate alla compilazione del modulo del consenso informato, ecc.) ma, in nessuna di esse, è stato rinvenuto l’inserimento di un documento relativo ad altro paziente. (….) Contestualmente, la UOSA Governo dell’appropriatezza, flussi informativi e cartelle cliniche effettua controlli puntuali sulle cartelle cliniche richieste in copia dagli utenti, prima dell’invio, al fine di verificare la correttezza dell’intero documento”;

in relazione alla comunicazione di cui alla lett. b), “l’errore è stato determinato esclusivamente dal comportamento dell’operatore addetto al c.d. imbustamento il quale, proprio nella fase materiale di inserimento dei documenti nella relativa busta, ha inserito con riferimento all’esame effettuato dalla Sig.ra (XY). il corretto CD e il referto errato appartenente alla Sig.ra (ZK).”; “la sig.ra XY. si è accorta dell’errore quando ancora la stessa si trovava all’interno del presidio ospedaliero ed immediatamente faceva ritorno presso la medesima Segreteria per segnalare l’accaduto. L’addetto provvedeva al ritiro del referto appartenente ad altro paziente e consegnava alla Sig.ra XY. quello corretto; la violazione si è dunque realizzata e conclusa in un arco temporale veramente ristretto”; “nel caso di specie, quale ulteriore scriminante del comportamento, da valutarsi ai sensi dell’art. 83 par, 2, lett. K, non potrà non tenersi conto dell’emergenza Covid-19 insistente su tutto il territorio nazionale” nonché “della riduzione di personale per l’obbligatoria fruizione delle ferie del periodo estivo”; “giova inoltre precisare che gli esami delle due pazienti interessate sono stati effettuati entrambi in data XX, si è trattato nel medesimo tipo di esame reso per entrambe in maniera ambulatoriale, effettuato dal medesimo operatore, refertato dal medesimo sanitario”; “dai controlli effettuati (…) è emerso che a seguito dell’errore de quo, sono stati contattati tutti i pazienti (pari a 70 unità) che avevano effettuato un esame presso il medesimo reparto ed i cui referti erano stati lavorati contestualmente a quelli delle signore XY. e ZK., è emerso che 66 pazienti hanno ricevuto il corretto abbinamento referto/CD, 1 paziente seppur contattato ripetutamente non è stato reperito e 3 pazienti non sono stati in grado di riferire poiché non ancora in possesso del referto. A posteriori l’Azienda non ha ricevuto nessuna segnalazione”; “è stata (…) riorganizzata l’attività della Segreteria OUC Diagnostica per immagini e da settembre è stato istituito uno sportello front-office, gestito con personale esterno, separato dall’ufficio di back-office gestito da personale interno con ridefinizione delle attività tra le quali quelle di stampa imbustamento referti e CD. Dal XX la riorganizzazione è stata estesa la Segreteria UOC Neuroimmagini”; “il direttore della UOC Diagnostica per Immagini (…) ha altresì precisato, a conferma dell’accidentalità ed imprevedibilità di quanto accaduto, che la segreteria di che trattasi quotidianamente, in media, provvede al confezionamento ed alla spedizione di circa 117 referti”; “nei casi di specie, nonostante la accidentalità e non volontarietà degli errori verificatisi, non potrà non tenersi conto che le aziende sanitarie rappresentino uno dei sistemi organici maggiormente complessi e gli “incidenti” che possono realizzarsi al suo interno sono purtroppo frutto della interazione fra molteplici componenti che possono essere di diversa tipologia: tecnologici, umani, organizzativi, di sistema , ecc. e che purtroppo talvolta possono sfuggire anche al controllo più accurato”; “ai sensi dell’art. 83, par. 2, lett. b) del Regolamento (…) si precisa che gli errori non hanno avuto certamente carattere doloso e, così come richiesto, dovendo dare loro una configurazione in ordine all’elemento soggettivo brano essere qualificati quali colposi, ma attenuati e scriminanti dalle circostanze come sopra riferite ed in quanto tali scusabili; (…) secondo il costante orientamento giurisprudenziale, per l’accertamento della responsabilità della P.A., deve essere svolta una penetrante indagine, non limitata al solo accertamento dell’illegittimità del provvedimento, bensì estesa alla valutazione della colpa, non solo del funzionario agente, ma della P.A. intesa complessivamente”.

Con nota del XX (prot. n. XX), l’Azienda ha fatto pervenire i propri scritti difensivi relativi alla violazione di dati personali di cui alla suddetta lett. c), nei quali, dopo una sintetica ricostruzione dei fatti occorsi, ha rappresentato di:

essere venuta a conoscenza della violazione in data XX a seguito di segnalazione del Sig. XX;

essersi prontamente attivata “per ricostruire lo svolgimento degli eventi” e che “i file contenenti le cartelle cliniche dei Sig.ri XX e YY, consultabili sulla piattaforma web messa a disposizione dalla ditta aggiudicataria del servizio di archiviazione, non contenevano documenti non pertinenti”;

aver contattato “il Sig. XX [con il quale] si concordava per il giorno successivo il ritiro della documentazione [erroneamente] consegnata”;

aver inviato “In data XX, comunicazione al Sig. YY ai sensi dell'art. 34 del Reg. Europeo 2016/679, porgendo le scuse per la perdita di riservatezza dei dati personali”.

L’Azienda, nelle proprie memorie difensive, ha altresì i fornito gli elementi di cui all’art. 83, par. 2 del Regolamento. In particolare, è stato dichiarato che:

“l'errata consegna al Sig. YY di una cartella clinica non di sua pertinenza, è stata determinata da un mero errore umano nella fase finale del processo, allorquando la cartella clinica viene stampata e ricomposta dall'operatore prima della spedizione”. (…). Ciò in quanto “con ogni probabilità [le richiamate cartelle cliniche sono state] stampate in sequenza” in quanto riferite al medesimo reparto di degenza e dunque con caratteristiche similari;

“in ogni caso, deve essere escluso che la perdita di riservatezza abbia avuto origine in momento antecedente alla consegna del documento al Sig. XX, coinvolgendo così ulteriori soggetti, atteso che l'archiviazione in formato digitale è risultata corretta”;

si è trattato di un evento colposo e “L'intensità della colpa che ha connotato la condotta può inoltre essere ritenuta certamente lieve, considerata la circostanza sopra riferita (identicità del reparto) come idonea a trarre in inganno l'operatore. Occorre inoltre tener presente l'ingente mole di lavoro svolta dall'Ufficio Cartelle Cliniche, che (…), ha elaborato nell'anno 2020 n. 4341 cartelle cliniche e nei primi tre mesi del 2021 n. 1169 cartelle cliniche, con una media mensile di pagine fotocopiate di circa 60.000. ln tale contesto, gli operatori elaborano documenti di estrema complessità (…), composte, come noto, da attestazioni provenienti dai vari reparti di assistenza che confluiscono in un unico documento finale”;

“secondo il costante orientamento giurisprudenziale per l'accertamento della responsabilità della P.A., deve essere svolta una penetrante indagine, non limitata al solo accertamento dell'illegittimità del provvedimento, bensì estesa alla valutazione della colpa, non solo del funzionario agente, ma della P.A. intesa complessivamente”;

“l'Azienda si è attivata immediatamente e nell'arco di poche ore è tornata in possesso della documentazione erroneamente consegnata, così interrompendo il protrarsi delle conseguenze. Si è inoltre effettuata la comunicazione ai sensi dell'art. 34 del RGPD all'interessato Sig. YY il quale non ha dato riscontro alla comunicazione”.

L’Azienda, nel descrivere puntualmente le misure tecniche e organizzative adottate nel processo di rilascio delle cartelle cliniche e nel chiedere l’archiviazione del procedimento, ha altresì dichiarato che:

“dall'anno 2019 è stata introdotta una "check list" di controllo che accompagna la cartella nei vari passaggi che precedono l'invio all'utente. Per favorire le procedure di controllo, le pagine del file digitale sono numerate progressivamente da parte della ditta affidataria del servizio di archiviazione”;

“ha organizzato un corso FAD in materia di privacy di 5 ore nell'anno 2016, rivolto anche al personale dell'Ufficio Cartelle Cliniche. Inoltre, dal XX è disponibile sulla piattaforma Formas della Regione Toscana (http://fad2.formas.toscana.it/course/index.php?categoryid=114) il corso "La Protezione dei dati Personali in sanità" organizzato in collaborazione con i DPO delle Aziende sanitarie della Regione Toscana”;

“ha adottato ulteriori misure volte a ridurre al minimo i rischi connessi al processo. ln tal senso, in data XX si svolgeva un audit interno con il personale coinvolto ed il supporto del Clinical Risk Manager aziendale, durante il quale è stato analizzato in dettaglio l'accaduto e sono state individuate le seguenti azioni correttive: 1) revisione della Istruzione Operativa per la duplicazione della cartella clinica; la revisione è tesa a dettagliare nei vari passaggi dell’iter di duplicazione e a specificare i controlli nelle varie fasi di lavorazione, in particolare è stato ribadito di procedere alla lavorazione di singole cartelle separatamente, con doppio controllo effettuato da operatori diversi rispettivamente dopo la stampa e prima della firma di conformità. La successiva fase di imbustamento viene eseguita in fasi separate da due operatori per il controllo conclusivo dei dati di spedizione; 2) Revisione check list di controllo condivisa con gli operatori, per accompagnare l'iter di duplicazione in ogni fase”.

Tenuto conto che tale ultima violazione di dati personali (lett. c)) ha riguardato il medesimo oggetto dei procedimenti avviati a seguito delle notificazioni di cui alle lett. a) e b) e che il titolare del trattamento ha rappresentato, nelle memorie difensive relative ai citati procedimenti, l’adozione delle medesime misure al fine di evitare il ripetersi di episodi come quelli oggetto delle predette notifiche di violazione, l’Ufficio ha disposto la riunione dei tre procedimenti istruttori, ai sensi dell’art. 10, comma 4 del citato Regolamento n. 1/2019, concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante (nota del XX, prot. n. XX).

2. Esito dell’attività istruttoria.

Preso atto di quanto rappresentato dall’Azienda nella documentazione in atti e nelle memorie difensive, si osserva che:

1. le informazioni oggetto delle notifiche riguardano dati genetici e dati relativi alla salute, che meritano una maggiore protezione dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali (Cons. n. 51 del Regolamento);

2. per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)”; per “dati relativi alla salute” “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute”; per “dati genetici” “i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall'analisi di un campione biologico della persona fisica in questione” (art. 4, par. 1, nn. 1, 13 e 15 del Regolamento);

3. le informazioni sullo stato di salute possono essere comunicate solo all’interessato e possono essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico (art. 9 Regolamento e art. 84 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101);

4. “i dati genetici devono essere resi noti, di regola, direttamente all’interessato o a persone diverse dal diretto interessato solo sulla base di una delega scritta di quest’ultimo, adottando ogni mezzo idoneo a prevenire la conoscenza non autorizzata da parte di soggetti anche compresenti. La comunicazione nelle mani di un delegato dell’interessato è eseguita in plico chiuso” (cfr. punto 4.6. del “Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101” n. 146 del 5 giugno 2019, pubblicato in G.U. n. 176 del 29 luglio 2019 e consultabile in www.gpdp.it, doc. web n. 9124510);

5. il titolare del trattamento è tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di «integrità e riservatezza», secondo il quale i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (art. 5, par. 1, lett. f) del Regolamento). L’adeguatezza di tali misure, volte ad assicurare su base permanente la riservatezza e l’integrità dei dati, deve essere valutata da parte del titolare del trattamento, rispetto alla natura dei dati, all’oggetto e alle finalità del trattamento e al rischio per i diritti e le libertà fondamentali degli interessati (art. 32, par. 1, lett. b) del Regolamento).

3. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ gli elementi forniti dal titolare del trattamento nelle memorie difensive sopra richiamate, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con i richiamati atti di avvio dei procedimenti, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

In particolare, le argomentazioni addotte dall’Azienda non sono idonee ad accogliere le richieste di archiviazione formulate nelle memorie difensive. Infatti, con riferimento all’errore in cui sarebbero incorsi gli autorizzati che hanno effettuato le operazioni di trattamento in questione, si fa presente che secondo consolidata giurisprudenza (Cass. Civ. sez. I del 21 febbraio 1995 n. 1873; Cass. Civ. sez II del 13 marzo 2006, n. 5426, Cass. Civ. sez. II, del 6 aprile 2011, n. 7885), ai fini dell’applicazione dell’art. 3 della legge n. 689/1981 è necessario che la buona fede o l’errore si fondino su un elemento positivo, estraneo all’agente e idoneo a determinare in lui la convinzione della liceità del suo comportamento (errore scusabile). Tale elemento positivo deve risultare non ovviabile dall’agente con l’uso dell’ordinaria diligenza. In tal caso, l’agente avrebbe potuto diligentemente accertare, attraverso un più accurato controllo dei dati, la correttezza delle operazioni effettuate in occasione dell’imbustamento delle cartelle cliniche richieste dai pazienti (violazioni di cui alle lett. b) e c)) ovvero in occasione della trasmissione dei referti (violazione di cui alla lett. a), evitando in tal modo di comunicare le richiamate categorie particolari di dati personali a soggetti non autorizzati.

Per tali ragioni si rileva l’illiceità del trattamento di dati personali effettuato dall’Azienda ospedaliero-universitaria Senese nei termini di cui in motivazione, per la violazione degli artt. 5, par. 1, lett. a) e f), e 9, 32 del Regolamento nonché del punto 4.6. del citato “Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101”.

In tale quadro, considerato, in ogni caso, che la condotta ha esaurito i suoi effetti e che sono state fornite idonee assicurazioni da parte del titolare del trattamento, che, al riguardo, ha implementato specifiche misure organizzative e tecniche per evitare il ripetersi delle condotte contestate, non ricorrono allo stato i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

4. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, par. 1, lett. a) e f), 9, 32 del Regolamento e del punto 4.6. del citato “Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101”, causata dalle condotte poste in essere dall’Azienda, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 4, a) e par. 5, lett. a) del Regolamento (cfr. art. 21, comma 5, del d.lgs. n. 101/2018).

Si consideri che il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2, del Regolamento in relazione ai quali si osserva che:

- l’Autorità ha preso conoscenza degli eventi a seguito delle notifiche di violazione dei dati personali effettuate dallo stesso titolare ai sensi dell’art. 33 del Regolamento e che non sono pervenute segnalazioni o reclami in merito ai fatti sopra descritti (art. 83, par. 2, lett. h) del Regolamento);

- i trattamenti effettuati dall’Azienda oggetto del presente provvedimento riguardano complessivamente dati idonei a rilevare informazioni sulla salute di 5 interessati e dati genetici di 3 interessati e che la violazione si è protratta in generale per un breve arco temporale (art. 83, par. 2, lett. a) e g) del Regolamento);

- la condotta posta in essere dalla Azienda non presenta elementi di volontarietà nella determinazione degli eventi (art. 83, par. 2, lett. b) del Regolamento);

- l’Azienda ha tempestivamente preso in carico la problematica emersa nelle tre violazioni di dati personali, a cui è seguita l’individuazione di soluzioni correttive e risolutive anche in concomitanza del periodo emergenziale in cui opera il titolare (art. 5, par. 2 e art. 83, par. 2, lett. c) e d) del Regolamento);

- il titolare ha dimostrato un elevato grado di cooperazione (art. 83, par. 2, lett. f) del Regolamento);

- nei confronti dell’Azienda, in relazione ad una analoga fattispecie, è stato adottato il provvedimento sanzionatorio del 27 gennaio 2021, n. 29 (art. 83, par. 2, lett. e) e i) del Regolamento);

- in un caso la violazione è stata determinata dall’omonimia dei cognomi degli interessati (art. 83, par. 2, lett. k) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, nella misura di euro 25.000 (venticinquemila) per la violazione degli artt. 5, par. 1, lett. a) e f), 9, 32 del Regolamento e del punto 4.6. del citato “Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101”, nei termini di cui in motivazione, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento e delle numerose violazioni aventi ad oggetto la medesima condotta, verificatesi in un ristretto arco temporale.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dall’Azienda ospedaliero-universitaria Senese, per la violazione degli artt. 5, par. 1, lett. a) e f), 9, 32 del Regolamento e del punto 4.6. del citato “Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101”, nei termini di cui in motivazione.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, al dall’Azienda ospedaliero-universitaria Senese, con sede legale in Strade delle Scotte,14 – 53100, Siena- P. IVA 00388300527, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 25.000 (venticinquemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento, secondo le modalità indicate in allegato, entro 30 giorni dalla notifica in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

Alla predetta Azienda ospedaliero-universitaria Senese, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 25.000 (venticinquemila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Fonte > Garante

Banca dati