[doc. web n. 10064128]

Provvedimento del 12 settembre 2024

Registro dei provvedimenti
n. 548 del 12 settembre 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE” (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. Il reclamo

Con reclamo presentato in data XX e regolarizzato, a seguito di richiesta dell’Ufficio, in data XX, la sig.ra XX ha lamentato alcune inosservanze della normativa in materia di protezione dei dati personali da parte del dott. XX.

In particolare, la reclamante ha lamentato “(…) il comportamento tenuto dal Dr. XX- (…), che ricopre la funzione di medico di medicina generale (…), il quale alla richiesta della consegna dello storico clinico e di tutta la documentazione clinica da parte della sottoscritta, ha proceduto a consegnare a mio marito (…) neppure all’uopo autorizzato al ritiro, l’allegato documento. Ciò evidenzio perché non solo quanto ho richiesto non corrisponde a quanto è stato consegnato (…), ma anche perché la consegna è stata effettuata ad un soggetto ad ogni effetto di Legge terzo rispetto al mio genitore ed anche a me (ed agli altri eredi di mio padre)”.

2. L’attività istruttoria

In relazione al lamentato profilo riguardante l’inidoneo riscontro alla richiesta dell’interessata rivolta al titolare di “consegna dello storico clinico e di tutta la documentazione clinica”, con riguardo al genitore deceduto della stessa, l’Autorità, sulla base della documentazione prodotta, ha provveduto alla parziale archiviazione del reclamo con nota del XX (prot. n. XX), in quanto le valutazioni in ordine all’inidoneità o meno di tale riscontro non rientrano nell’ambito di competenza del Garante trattandosi di richiesta di accesso alla documentazione sanitaria sostanzialmente formulata ai sensi della legge 241/1990. Nella stessa nota, poc’anzi citata, l’Autorità ha rappresentato di essersi riservata di effettuare, con autonoma istruttoria, le definitive valutazioni in ordine alla condotta del titolare circa la prospettata consegna di documentazione contenente dati relativi alla salute - riferiti al genitore deceduto della reclamante - a un soggetto terzo (in tal caso il marito della reclamante), in assenza di una delega scritta all’uopo predisposta.

Successivamente, l’Ufficio, con nota del XX (prot. n. XX), ha chiesto al titolare del trattamento - ai sensi dell’art. 157 del Codice - di fornire ogni informazione utile in relazione alla vicenda rappresentata dalla reclamante e il titolare medesimo, in data XX, ha fornito riscontro a tale richiesta, dichiarando, fra altro, che:

- “Svolgo attività di medico di medicina generale ed ero il curante del deceduto (…)  padre della reclamante. In data XX la (…) (reclamante) si presentava al mio studio insieme al (…) marito (…), chiedendomi copia della documentazione in mio possesso riferita al padre. Mi informarono che sarebbero tornati il mercoledì pomeriggio a ritirarla. In data XX, giorno previsto per il ritiro, accedeva al mio studio (…) solo (…) (il marito della reclamante) per chiedere il ritiro della documentazione clinica e, in tutta buona fede, la consegnai in busta chiusa e feci firmare per ricevuta anteponendo il termine (X per). Il (…) (marito della reclamante) firmò con il suo nome come da ricevuta che allego e, come dimostrato, la documentazione fu consegnata dallo stesso alla moglie”;

- “Il documento in questione era costituito dal diario clinico compilato in conformità della convenzione nazionale per la medicina di famiglia e non ho altra documentazione in mie mani dal momento che i pazienti mi fanno visionare gli esami ma, in genere, non ne tengo copia in quanto possono essere visionati anche sul fascicolo sanitario del paziente e possono essere oggetto di accesso all’azienda sanitaria competente”;

- “In ragione di quanto sopra, del tutto in buona fede, ritenevo che il succitato (…) (marito della reclamante) presente al primo colloquio e da me conosciuto fosse stato delegato dalla signora (…), la quale aveva espressamente detto “ripassiamo a ritirare” e, conseguentemente, ritenevo fosse autorizzato dalla stessa. L’errore, fatto in assoluta buona fede, sarà monito per evitarlo in futuro”.

3. Valutazioni del Dipartimento sul trattamento effettuato e notifica della violazione di cui all’art. 166, comma 5, del Codice

In relazione a quanto rappresentato dal titolare del trattamento, l’Ufficio, con atto del XX (prot. n. XX), ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2 del Regolamento, nei confronti del titolare del trattamento, invitandolo a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, l. n. 689 del 24 novembre 1981).

In tale atto, l’Ufficio ha notificato di aver ritenuto che il dott. XX, titolare del trattamento, rilasciando documentazione sanitaria - richiesta dall’interessata - in busta chiusa, al marito di quest’ultima in assenza di delega scritta, abbia consegnato dati relativi alla salute (riferiti al genitore deceduto della reclamante) a un soggetto terzo in assenza di una misura di sicurezza adeguata al rischio di perdita di riservatezza di tali dati. Ciò, in violazione dei principi di cui all’art. 5, par. 1. lett. f) del Regolamento, nonché degli obblighi di sicurezza di cui all’art. 32 del Regolamento medesimo.

Con nota del XX, il titolare del trattamento ha prodotto la propria memoria difensiva, rappresentando, fra altro, che:

“La segnalazione ha come fatto oggettivo un’unica del tutto episodica ed occasionale condotta costituita dalla consegna, in busta chiusa, ad uno stretto parente dell’interessata di una scheda clinica costituita dal diario clinico del defunto (…) (padre della reclamante). Dal punto di vista psicologico ritenni non vi fossero rischi di perdita dei dati in ragione del comportamento dell’interessata e della presenza del marito alla richiesta. I fatti, come accaduti, mi hanno fatto pensare ad un consenso implicito rafforzato da azioni positive introdotte da persone da me conosciute”;

“In merito all'elemento psicologico, come già descritto, in data XX la signora (…) si presentò al mio studio insieme al (…) marito convivente della stessa, chiedendomi copia della documentazione in mio possesso riferita a suo padre deceduto improvvisamente nei giorni precedenti. Mi dissero che “sarebbero tornati” il mercoledì pomeriggio a ritirarla. Questo comportamento mi fece pensare all’autorizzazione esplicita dello stretto congiunto al ritiro della stessa. Nella fattispecie, l’unica persona interessata è stata la signora (…) erede del de cuius, la quale, come risulta dalla segnalazione fatta dalla stessa, ha regolarmente ricevuto dal marito la busta con la documentazione da me predisposta e cioè la scheda del diario clinico”;

“Ritengo che il mio comportamento non abbia leso i diritti o la dignità delle persone coinvolte. In particolare, nella circostanza in discorso, il contesto nel quale si svolsero i fatti che mi fece recepire un consenso verbale al ritiro, la presenza alla richiesta della persona alla quale furono consegnati i documenti e che sottoscrisse di suo pugno la ricevuta di ritiro, la sua strettissima connessione famigliare e, non da ultimo la consegna in busta chiusa e senza intermediari dei dati, mi hanno fatto valutare che non vi fosse rischio di perdita e/o divulgazione dei dati in grado di mettere a rischio i diritti e le libertà delle persone fisiche. (…) (Il marito della reclamante) non avrebbe potuto entrare in contatto con i dati contenuti senza violare la busta e, secondo la descrizione della signora (…), non pare che l'abbia fatto. In genere, nello studio, tutta la documentazione viene consegnata in busta chiusa e le schede sanitarie vengono stampate solo dal medico titolare, in quanto nessun altro in studio ha accesso al diario clinico del paziente, salvo occasionali medici sostituti, i quali accedono con le loro credenziali per ragioni di cura. Ovviamente, la vicenda in oggetto, comporterà da parte mia un rafforzamento delle misure di consegna della documentazione in questione”;

“Il sottoscritto, fin dall'inizio, ha manifestato piena cooperazione con l'Autorità Garante ed ha fatto tesoro della lamentela per evitare in futuro eventi come quelli segnalati (….)”.

Il titolare ha richiesto che la violazione sia considerata minore, sulla base delle caratteristiche oggettive e psicologiche, considerato che si è trattato di un fatto isolato, non doloso, senza perdita o comunicazione di dati, non avendo subito precedenti procedimenti o sanzioni dall’Autorità. Il titolare, ha, a tal fine, altresì, evidenziato che la vicenda “ha riguardato dati sulla salute di un solo interessato ma non ha interessato il contenuto dei documenti che erano inaccessibili in quanto in busta chiusa (…)”.

4. Esito dell’attività istruttoria

Preso atto di quanto rappresentato dal titolare del trattamento nella documentazione in atti e nelle memorie difensive, si osserva quanto segue.

Per dato personale si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)” e per “dati relativi alla salute”, si intendono “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, paragrafo 1, n. 1 e 15 del Regolamento). Questi ultimi dati meritano una maggiore protezione dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali (Considerando n. 51). I dati trattati nella vicenda in questione, afferendo a prestazioni sanitarie nei confronti del genitore deceduto della reclamante, si configurano, pertanto, quali dati relativi alla salute;

- ai dati personali concernenti le persone decedute continuano ad applicarsi le tutele previste dalla disciplina in materia di protezione dei dati personali (come evidenziato dal Garante nei provv. del 10 gennaio 2019, n. 2, doc. web n. 9084520, del 29 aprile 2021, n. 173, doc. web n. 9672313, del 16 settembre 2021, n. 329, doc. web n. 9718851, del 7 aprile 2022, n. 118, doc. web n. 9772545; del 23 marzo 2023, n. 90, doc. web n. 9888188; cfr., altresì, art. 2-terdecies del Codice);

- il titolare del trattamento è tenuto a rispettare i principi in materia di protezione dei dati fra i quali quello di «integrità e riservatezza», secondo il quale i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (art. 5, par. 1, lett. f) del Regolamento). L’adeguatezza di tali misure deve essere valutata da parte del titolare del trattamento in modo da “garantire un livello di sicurezza adeguato al rischio”, tenendo conto, tra l’altro, “della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” (art. 32 del Regolamento). Il dott. XX, rilasciando a un soggetto terzo diverso dall’interessata documentazione sanitaria a quest’ultima afferente in assenza della delega scritta da parte della interessata medesima, benché in busta chiusa, ha violato gli obblighi di sicurezza di cui all’art. 32 del Regolamento.  In tale senso, infatti, l’Autorità, sin dal 1997, con riferimento alla “Tutela dei dati sanitari del paziente nell’attività del medico di base” si è espressa nel senso che la documentazione medica può essere ritirata “(…) anche da persone diverse dai diretti interessati, purché sulla base di una delega scritta e mediante una consegna dei documenti in busta chiusa” (doc. web n. 49311), ribadendo tali indicazioni in successivi provvedimenti  (cfr., fra altri, il provvedimento del Garante “Strutture sanitarie: rispetto della dignità - 9 novembre 2005”, paragrafo 4,  “Comunicazione di dati all’interessato” - doc. web n. 1191411 e  provv. del 24 febbraio 2011 - doc. web n. 1797075).

Si considera, tuttavia, che si è trattato di un fatto isolato, non doloso, riguardante dati relativi alla salute di un soggetto e che le circostanze caratterizzanti la vicenda in questione potrebbero aver diminuito la soglia di attenzione del titolare circa le misure da adottare nella consegna della documentazione all’interessata, sebbene non sia applicabile l’esimente della buona fede.

Con riguardo a quest’ultima, infatti, invocata da titolare sostenendo che “(…) del tutto in buona fede, ritenevo che il succitato (…) (marito della reclamante) presente al primo colloquio e da me conosciuto fosse stato delegato dalla signora (…), la quale aveva espressamente detto “ripassiamo a ritirare (…)”, non si ravvisa la condizione che permette di affermare che la condotta del titolare medesimo sia stata incolpevole, tale cioè da non poter essere evitata neppure con l'ordinaria diligenza. Alla luce di consolidata giurisprudenza della S.C. (Cass. n. 5426/2006, Cass. n. 7885/2011, Cass. n. 16320/2010, Cass. n. 19759/2015, Cass. n. 33441/2019 e Cass. n.17822/2021), ai fini dell’applicazione dell’art. 3 della legge n. 689/1981 è necessario che la buona fede o l’errore si fondino su un elemento positivo, estraneo all’agente e idoneo a determinare in lui la convinzione della liceità del suo comportamento (errore scusabile). Tale elemento positivo deve risultare non ovviabile dall’agente con l’uso dell’ordinaria diligenza. Nella vicenda in questione, richiedendo, tale fattispecie, l’adozione della misura della verifica della sussistenza di una delega scritta al terzo per il ritiro di documentazione sanitaria, come anche precisato nei provvedimenti sopra citati del Garante, il titolare del trattamento non avrebbe dovuto basarsi su un presunto rilascio verbale - da parte dell’interessata - di delega al soggetto terzo al fine del ritiro della documentazione sanitaria di propria spettanza. Il titolare, al momento di tale ritiro da parte del presunto soggetto incaricato, avrebbe, invece, dovuto diligentemente esigere da quest’ultimo l’esibizione di una delega scritta, in modo da evitare di rilasciare documentazione sanitaria a un soggetto terzo non autorizzato.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”, gli elementi forniti dal titolare del trattamento nella memoria difensiva sopra richiamata e nel corso dell’audizione, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con il richiamato atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del regolamento del Garante n. 1/2019.

Pertanto, tenuto conto di quanto sopra rappresentato è accertato che il dott.XX non ha adottato misure idonee a garantire un livello di sicurezza adeguato al rischio (artt. 5, par. 1, lett. f) e 32 del Regolamento).

Si rileva, pertanto, l’illiceità del trattamento di dati personali effettuato dal dott. XX, titolare del trattamento, per aver effettuato un trattamento in violazione del principio di cui all’art 5, par. 1, lett. f) del Regolamento e degli obblighi di cui all’art. 32 del Regolamento, come sopra descritto.
In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

Ciò premesso, tenuto conto che:

- dalle risultanze degli atti, l’episodio risulta essere un fatto isolato e, sotto il profilo psicologico, privo di dolo;

- la responsabilità è riconducibile ad un grado di colpa da valutarsi come lieve alla luce degli elementi che connotano la vicenda;

-  il titolare del trattamento si è dimostrato prontamente e estremamente collaborativo durante tutta la fase istruttoria e procedimentale;

- non risultano precedenti violazioni pertinenti commesse dallo stesso,

le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi del cons. 148 del Regolamento e delle “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal “Gruppo di Lavoro Art. 29” il 3 ottobre 2017, WP 253 e fatte proprie dal Comitato europeo per la protezione dei dati con l’”Endorsement 1/2018” del 25 maggio 2018. Si ritiene, pertanto, relativamente al caso in esame, che sia sufficiente ammonire il titolare del trattamento ai sensi degli artt. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, per avere violato gli artt. 5, par. 1, lett. f), e 32 del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

a) dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dal dott. XX, nato a XX il XX, c.f. XX 

b) ai sensi dell’art. 58, par. 2, lett. b), del Regolamento, ammonisce tale titolare del trattamento per aver violato gli artt. 5, par. 1, lett. f) e 32 del Regolamento, come sopra descritto;

c) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’Autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 12 settembre 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei