g-docweb-display Portlet

Provvedimento del 18 giugno 2020 [9451705]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9451705]

Provvedimento del 18 giugno 2020

Registro dei provvedimenti
n. 103 del  18 giugno 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il dott. Antonello Soro, presidente, la dott.ssa Augusta Iannini, vicepresidente, la dott.ssa Giovanna Bianchi Clerici e la prof.ssa Licia Califano, componenti e il dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore la prof.ssa Licia Califano;

PREMESSO

1. La violazione dei dati personali.

La Società Multimedica S.p.A. (di seguito “Società”) ha notificato al Garante una violazione di dati personali ai sensi dell’art. 33 del Regolamento, in relazione all’avvenuto invio, in formato cartaceo, di una cartella clinica di una paziente a un soggetto diverso.

Nella stessa occasione, la Società ha indicato, quali misure assunte per contenere la violazione dei dati e prevenire simili violazioni future, i seguenti elementi: “analisi delle procedure per il rilascio di copia delle cartelle cliniche, identificazione di un codice univoco identificativo del paziente (codice fiscale) che dovrà venire elaborato al momento della richiesta e comunicato all’ufficio preposto all’invio di tale documentazione ai pazienti, sensibilizzazione al personale autorizzato al trattamento per la verifica di eventuali punti deboli della procedura per eliminare i rischi derivanti da omonimia” (comunicazione del 6 giugno 2019).

2. L’attività istruttoria.

In relazione a quanto comunicato dalla Società, l’Ufficio, con atto del 28 agosto 2019, prot. n. 29100, notificato in pari data mediante posta elettronica certificata, che qui deve intendersi integralmente riprodotto, ha avviato, ai sensi dell’art. 166, comma 5, del Codice, con riferimento alle specifiche situazioni di illiceità in esso richiamate, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2 del Regolamento, nei confronti della stessa Società, invitandola a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, l. n. 689 del 24 novembre 1981).

Con nota del 27 settembre 2019, la Società ha fatto pervenire le proprie memorie difensive, nelle quali, in particolare, è stato rappresentato che:

a) “in data 10.05.2019 la sig.ra XX (…), in qualità di delegata del padre, sig. XX (…), richiedeva presso il Front Office di Multimedica, sede di Sesto San Giovanni, la fotocopia della cartella clinica relativa al ricovero del predetto XX presso il reparto di medicina generale, quale paziente solvente, della citata struttura dal 9.05.2019 al 14.05.2019”;

b) “a causa di un errore materiale dell’addetto, non veniva da questi inserito nell’applicativo (,,) il nominativo del paziente XX, bensì per errore veniva digitato il nominativo di XX, sua delegata”;

c) “nella banca dati (..) era tuttavia presente altresì la cartella clinica di una omonima della sig.ra XX, anch’essa già paziente di Multimedica (…) ricoverata in data 10.12.2002”; con la conseguenza che la cartella clinica dell’omonima XX veniva estratta dal sistema e “trasmessa direttamente al recapito del sig. XX”, in quanto “l’addetto che processava la richiesta (…) non si atteneva scrupolosamente all’Istruzione Operativa (…), che indicava come l’addetto dovesse procedere all’inserimento anche di altri criteri identificativi quali: il presidio ospedaliero, l’anno del ricovero, il numero della cartella clinica”;

d) venuta a conoscenza dell’errore, Multimedica “inviava un proprio delegato a ritirare presso il domicilio del sig. XX la cartella clinica in questione” e “comunicava (…) all’interessata, sig.ra XX, quanto accaduto”, non ricevendo alcun riscontro né contatto dalla stessa;

e) “l’incidente occorso, relativo ad una sola cartella clinica (…), (è) ascrivibile ad un mero, nonché occasionale, errore materiale umano”.

É stato, altresì, allegato un documento recante la nuova “Istruzione operativa-Percorso richiesta fotocopia cartella clinica”, dal quale si evince che sono state implementate talune procedure, tra le quali la verifica della data di nascita del paziente richiedente la cartella clinica.

3.  Esito dell’attività istruttoria

Premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice (“Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”), all’esito dell’esame della documentazione acquisita nonché delle dichiarazioni rese all’Autorità nel corso del procedimento, che di fatto riconoscono quanto contestato, emerge che la Società ha effettuato una comunicazione di dati relativi alla salute in assenza di un idoneo presupposto giuridico, in violazione dei principi di base del trattamento di cui agli artt. 5 e 9 del Regolamento.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria volte a evidenziare che la violazione è stata determinata da un mero errore, si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Pertanto, si confermano le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali sulla salute effettuato dalla Società, in violazione degli artt. 5 e 9 del Regolamento.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che la Società ha ritirato la cartella clinica erroneamente trasmessa e che sono state fornite assicurazioni in ordine alla procedura utilizzata in caso di richiesta di copia della cartella clinica, non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento, fermo restando quanto si affermerà in prosieguo.

Ciò premesso, dalla documentazione in atti e dalle dichiarazioni fornite dal titolare del trattamento, risulta che: l’episodio è stato unico e isolato e determinato da un errore umano di un operatore in servizio presso la Società; l’Autorità ha preso conoscenza della violazione a seguito della notifica effettuata dal titolare del trattamento che ha informato dell’accaduto l’interessato; sono state fornite nuove istruzioni operative dirette al personale in ordine alle procedure adottate in tema di richiesta e rilascio di copia della cartella clinica; non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento né sono stati precedentemente disposti provvedimenti di cui all’art. 58 del Regolamento; la Società ha collaborato con l’Autorità nel corso dell’istruttoria e del presente procedimento, avendo manifestato la massima disponibilità ad ulteriori integrazioni, anche documentali, che dovessero essere richiesta dall’Autorità. Le circostanze del caso concreto inducono, pertanto, a qualificare il caso come “violazione minore”, ai sensi dell’art. 83, par. 2, e del considerando 148 del Regolamento e delle Linee guida WP 253, riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del Regolamento medesimo.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, che occorra ammonire la Società, in qualità di titolare del trattamento ai sensi degli artt. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, affinché provveda a rispettare le previsioni del Regolamento che disciplinano il principio di integrità e riservatezza dei dati personali di cui all’art. 5, par. 1, lett. f) del Regolamento) e la comunicazione a terzi dei dati sanitari di cui all’art. 9 del Regolamento e che non vi siano i presupposti per l’adozione di ulteriori misure correttive da parte dell’Autorità ai sensi dell’art. 58, par. 2, del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell’art. 57, par. 1, lett. a), del Regolamento, dichiara l’illiceità del trattamento dei dati personali effettuato dalla Società Multimedica S.P.A., per la violazione dei principi di base del trattamento, di cui agli artt. 5 e 9 del Regolamento, nei termini di cui in motivazione;

b) ai sensi dell’art. 58, par. 2, lett. b), del Regolamento, ammonisce la predetta Società Multimedica S.P.A., quale titolare del trattamento in questione, per aver violato gli artt. 5 e 9 del Regolamento, come sopra descritto;

c) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’Autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 18 giugno 2020

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia