g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Azienda Usl di Bologna - 29 aprile 2021 [9676172]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9676172]

Ordinanza ingiunzione nei confronti di Azienda Usl di Bologna - 29 aprile 2021

Registro dei provvedimenti
n. 175 del 29 aprile 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore, il prof. Pasquale Stanzione;

PREMESSO

1. La violazione dei dati personali.

L’Azienda Usl di Bologna (di seguito Azienda) ha notificato al Garante una violazione di dati personali ai sensi dell’art. 33 del Regolamento in relazione alla presenza nel Fascicolo sanitario elettronico (FSE) di una paziente minore di età di un referto con riferimento al quale l’interessata aveva esercitato il diritto di oscuramento (notifica del 9.8.2019, prot. n. 92638).

In particolare, nella predetta comunicazione l’Azienda ha rappresentato che il suddetto referto si riferisce ad una prestazione erogata da un centro di consultazione per adolescenti, a cui gli stessi possono accedere in modo autonomo, sul tema della contraccezione e della procreazione responsabile. La circostanza segnalata ha reso possibile l’accesso al predetto referto da parte degli esercenti la potestà genitoriale della minore.

2. L’attività istruttoria.

In relazione a quanto comunicato dall’Azienda, l’Ufficio, con atto n. 136366 del 9/12/2019, ha notificato all’Azienda, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, paragrafo 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

In particolare, l’Ufficio, nel predetto atto, ha rappresentato che, sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, l’Azienda ha effettuato, mediante l’inserimento nel FSE dell’interessata di un referto, una comunicazione di dati relativi alla salute agli esercenti la potestà genitoriale della minore priva di presupposto giuridico e in contrasto con una esplicita richiesta di oscuramento avanzata dalla paziente, esplicitamente tutelata dalla disciplina di settore (artt. 5, 7 e 8 del DPCM n. 178/2015) e, quindi, in violazione dell’art. 75 del Codice, dell’art. 9 del Regolamento e del principio di liceità del trattamento (art. 5, par. 1, lett. a) del Regolamento).

Con nota dell’8 gennaio 2020 (prot. n. 1842), l’Azienda ha fatto pervenire le proprie memorie difensive, in cui sono stati rappresentati elementi ulteriori e in particolare che:

- “prima dell’episodio segnalato, i referti relativi agli accessi dei minori ai Consultori familiari (...) venivano inviati in modalità oscurata al FSE in maniera tale che tali referti rimanevano disponibili nel fascicolo medesimo al solo Interessato, inibendone di default la consultazione da parte di professionisti ed operatori sanitari. Va rilevato che la madre della minore, nell’esercizio della sua responsabilità genitoriale, ha ricevuto la notifica relativa alla presenza di un referto di ambito consultoriale nel FSE della minore. Nel caso di specie, il referto riguardava una prestazione "Colloquio individuale" erogata presso lo Spazio Giovani - Consultorio familiare del XX, il XX. Tale modalità consentiva al solo rappresentante legale del minore, titolato ad esprimere il consenso ai sensi dell’art. 7 del DPCM n. 178 del 29 settembre 2015, di accedere potenzialmente a tali tipologie di documenti sanitari”;

- è stato effettuato un “immediato colloquio con la madre, alla quale sono state date informazioni relative alla normativa sopra richiamata, che consente ai minori di rivolgersi alle Aziende Sanitarie e ai Consultori senza che i genitori ne siano informati e rilascino un eventuale consenso. Ciò in coerenza con l’obiettivo della norma che è quello di garantire l’anonimato dei minorenni che non vogliono o non possano mettere al corrente i propri genitori, e di tutelare il diritto del minore ad una procreazione responsabile. La signora al termine del colloquio ha ringraziato il Servizio dichiarando di non voler proseguire con ulteriori azioni”;

- si è provveduto alla “cancellazione del referto nel FSE della minore al ricevimento della segnalazione della madre, a tutela della riservatezza della minore”;

- “previo parere del DPO e in accordo con il referente privacy aziendale e il direttore UO Tecnologie Informatiche e di Comunicazione si è provveduto a modificare la regola di alimentazione di tali tipologie di documenti all’interno del FSE. Ad oggi tali tipologie di referti non alimentano più il FSE del minore (neppure in modalità oscurata), essendo stata adottata una regola di blocco di default”;

- “l’Azienda, non appena venuta a conoscenza dell’accaduto, si è attivata per comprendere le cause del caso segnalato e porvi tempestivo rimedio”.
In relazione alla richiesta dell’Azienda, in data 9 novembre 2020, presso l’Ufficio del Garante, ai sensi degli artt. 166, commi 6 e 7, del Codice 18, comma 1, dalla legge n. 689 del 24/11/1981 si è svolta l’audizione, nel corso della quale l’Azienda ha ribadito quanto già rappresentato, precisando in particolar modo che:

- “la madre dell’interessata ha manifestato il suo ringraziamento per le modalità con le quali il personale sanitario ha gestito la vicenda, che ha rappresentato un’occasione di dialogo con la figlia”;

- “l’accaduto ha costituito un’occasione per migliorare l’impostazione del sistema di alimentazione dei dati e dei documenti nel Fse, eliminando la funzionalità di conferimento automatico al Fascicolo dei documenti relativi alle prestazioni erogate dallo “Spazio Giovani”, articolazioni dei consultori dell’Azienda. La documentazione relativa alle prestazioni erogate ai minori da tali strutture continua ad essere gestita dai sistemi informativi aziendali, senza tuttavia più alimentare direttamente il Fascicolo sanitario elettronico degli stessi. Allo stato, i documenti relativi alle prestazioni erogate dallo “Spazio Giovani” sono consegnati all’interessato in modalità cartacea. La predetta modifica riguarda i documenti prodotti dall’articolazione denominata “Spazio Giovani” dei Consultori distrettuali della Azienda a prescindere dalla circostanza che il minore sia accompagnato o meno dal genitore”;

- “prima della suddetta modifica, i predetti dati alimentavano il Fascicolo in modalità oscurata e quindi erano visibili al solo interessato. Tale soluzione presentava dei problemi con riferimento ai FSE dei minori, in quanto essendo gli stessi accessibili da parte dei genitori, questi ultimi potevano venire a conoscenza di tali tipologie di documenti. Al riguardo, si precisa che l’impostazione precedente presentava tale criticità solo con riferimento ai FSE dei minori ultra sedicenni con riferimento alle prestazioni socio-sanitarie agli stessi erogabili anche in assenza del consenso del genitore;

- “non risulta che vi siano state in passato lamentele analoghe a quella oggetto del procedimento e che, successivamente a tale modifica, non si sono verificati altri episodi come quello notificato al Garante”.

3. Esito dell’attività istruttoria.

Preso atto di quanto rappresentato dall’Azienda nella documentazione in atti e nelle memorie difensive, si osserva che:

1. in ambito sanitario- le informazioni sullo stato di salute possano essere comunicate solo all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso previa delega scritta di quest’ultimo (art. 9 Regolamento e art. 83 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101);

2. il Codice prevede che “il trattamento dei dati personali effettuato per finalità di tutela della salute e incolumità fisica dell’interessato (…) deve essere effettuato (…) nel rispetto delle specifiche disposizioni di settore” (art. 75-Specifiche condizioni in ambito sanitario del Codice). Con specifico riferimento al caso in esame, si richiama quanto previsto dall’art. 12 del d.l. n. 179/2012 che ha previsto l’istituzione del Fascicolo sanitario elettronico, la cui attuazione è regolata, allo stato, dal DPCM n. 178/2015 (Regolamento in materia di fascicolo sanitario elettronico -FSE), su cui l’Autorità ha espresso il proprio parere (Parere del 22/5/2014, doc. web n. 3230826). Il predetto regolamento attuativo ha definito “Dati soggetti a maggiore tutela dell'anonimato” le informazioni e i documenti sanitari e sociosanitari disciplinati dalle disposizioni normative a tutela anche delle donne che si sottopongono a un’interruzione volontaria di gravidanza (art. 5). Tali tipologie di dati possono essere rese visibili attraverso il FSE “solo previo esplicito consenso dell'assistito”. Il citato regolamento prevede che sia “responsabilità dei professionisti o degli operatori sanitari che erogano la prestazione acquisire l'esplicito consenso dell'assistito” (art. 5, comma 2). Il predetto regolamento ha sancito, inoltre, che “l’assistito ha il diritto di richiedere l'oscuramento dei dati e documenti sanitari e socio-sanitari sia prima dell'alimentazione del FSE che successivamente, garantendone la consultabilità esclusivamente all'assistito e ai titolari che li hanno generati” (art. 8);

3. con riferimento al caso di specie, devono essere tenute presenti le specifiche disposizioni di settore che consentono al minore di accedere a determinate cure, anche in assenza del consenso del genitore. In particolare, si richiama quanto previsto dalla normativa sulla tutela sociale della maternità e sull’interruzione volontaria della gravidanza (art. 2, ultimo comma, l. 22 maggio 1978, n. 194), secondo cui “la somministrazione su prescrizione medica, nelle strutture sanitarie e nei consultori, dei mezzi necessari per conseguire le finalità liberamente scelte in ordine alla procreazione responsabile è consentita anche ai minori” (cfr., al riguardo, anche Provvedimento del 17.11.2010, doc. web n. 1769451);

4. l’inserimento nel FSE dell’interessata, dei documenti relativi alla prestazione erogata dal predetto centro di consultazione per adolescenti, in contrasto con una esplicita richiesta di oscuramento avanzata dall’interessata stessa, ha determinato una comunicazione di dati relativi alla salute dell’interessata ai genitori della stessa priva di idoneo presupposto giuridico.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare e dai responsabili del trattamento nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni si rileva l’illiceità del trattamento di dati personali effettuato dall’Azienda Usl di Bologna nei termini di cui in motivazione, per violazione degli artt. 5, par. 2, lett. a), e 9 del Regolamento, nonché dell’art. 75 del Codice.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che l’Azienda ha dichiarato che è stata conclusa la procedura di risoluzione della problematica che ha generato il predetto evento con modalità tali da escludere la replicabilità dello stesso non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, par. 2, lett. f), e 9 del Regolamento e 75 del Codice, causata dalla condotta posta in essere dall’Azienda Usl di Bologna, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par.5, del Regolamento anche ai sensi dell’art. 166, comma 2 del Codice (cfr. lett. a) con riferimento alla violazione degli artt. 5 e 9 del Regolamento).

Nel caso di specie – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento, che si applica pertanto al caso di specie.

Si consideri che il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 85, par. 2, del Regolamento in relazione ai quali si osserva che:

- l’Autorità ha preso conoscenza dell’evento a seguito della notifica di violazione dei dati personali effettuata dallo stesso titolare e non sono pervenuti reclami o segnalazioni al Garante sull’accaduto (art. 83, par. 2, lett. h) del Regolamento);

- il trattamento dei dati effettuato dall’Azienda riguarda dati idonei a rilevare informazioni sulla salute di una interessata, minore di età, concernenti informazioni relative al tema della contraccezione e della procreazione responsabile (art. 83, par. 2, lett. a) e g) del Regolamento);

- l’assenza di elementi di volontarietà da parte dell’Azienda nella causazione dell’evento (art. 83, par. 2, lett. b) del Regolamento);

- l’evento si è verificato nel periodo di prima applicazione del Regolamento ed è stato immediatamente preso in carico sia da parte dell’Azienda che del responsabile del trattamento della stessa, cui è seguita l’individuazione di soluzioni correttive e risolutive (art. 83, par. 2, lett. c) e d) del Regolamento);

- l’Azienda ha fin da subito dimostrato un elevato grado di cooperazione (art. 83, par. 2, lett. f) del Regolamento);

- l’Azienda è stata già destinataria di un procedimento sanzionatorio relativo al trattamento dei dati personali effettuato attraverso il Fascicolo sanitario elettronico (provvedimento del 14 gennaio 2021) (art. 83, par. 2, lett. i) del Regolamento);

In ragione dei suddetti elementi, valutati nel loro complesso, tenendo anche conto della fase di prima applicazione delle disposizioni sanzionatorie ai sensi dell’art. 22, comma 13, del d. lgs. 10/08/2018, n. 101, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, nella misura di euro 30.000 (trentamila) per la violazione degli artt. 5, par. 1, lett. f) e 9 del Regolamento e dell’art.75 del Codice quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dall’Azienda Usl di Bologna, per la violazione degli art. 5, par. 1, lett. f) e 9 del Regolamento e dell’art. 75 del Codice nei termini di cui in motivazione.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, all’Azienda Usl di Bologna con sede legale in Bologna, via Castiglione, 29 – C.F./P.IVA  02406911202, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 30.000 (trentamila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento, secondo le modalità indicate in allegato, entro 30 giorni dalla notifica in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

alla predetta Azienda, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 30.000 (trentamila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 29 aprile 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei