g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Azienda sanitaria locale di Bari - 22 luglio 2021 [9693760]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9693760]

Ordinanza ingiunzione nei confronti di Azienda sanitaria locale di Bari - 22 luglio 2021

Registro dei provvedimenti
n. 278 del 22 luglio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. La segnalazione

La società XX (società attiva nel settore della distribuzione di alcuni dispositivi medici e di biancheria e materasseria nel settore ospedaliero) ha segnalato di aver ricevuto dalla Azienda sanitaria locale di Bari una comunicazione volta ad acquisire un preventivo-offerta della stessa società per la fornitura di diverse tipologie di ausili. La nota con la quale veniva effettuata la citata comunicazione, conteneva i dati personali (nome, cognome, Comune) di circa 60 pazienti ai quali erano destinati i presidi sanitari oltre che, in taluni casi, del medico prescrittore (nota del XX).

2. L’attività istruttoria.

In relazione a quanto segnalato, l’Ufficio, nella richiesta di informazioni, ai sensi dell’art. 157 del Codice (nota del XX, prot. n. XX), rilevando che dalla tipologia di presidi sanitari richiesti per ciascun assistito, potrebbe essere desunta la patologia dallo stesso sofferta, ha evidenziato che, nella quasi totalità delle circostanze, le informazioni comunicate sono riconducibili a dati relativi alla salute. Ha, pertanto, chiesto all’Azienda di fornire elementi in ordine al presupposto giuridico che avrebbe consentito la predetta trasmissione di dati alla società XX, tenuto conto che la stessa comunicazione sembrerebbe essere stata effettuata esclusivamente per ottenere la presentazione di offerte economiche, per l’acquisto di ausili in ambito medico.

L’Azienda, nella persona del Direttore del Distretto Socio-sanitario n. 5, ha fornito riscontro, rappresentando, in particolare, che:

- “per mero errore materiale dell’assistente amministrativo cat. C a causa di un refuso di stampa e dell’enorme carico di lavoro è stato pubblicato il bando con i nomi e i cognomi degli assistiti scritti per esteso. In tutti i bandi precedenti, infatti, e in quelli successivi l’operatore ha avuto cura di puntare tutti i nominativi degli utenti inseriti. (…) Inoltre, l’assistente amministrativo C, che non si può dedicare in via esclusiva, avendo altro carico di lavoro, in quel periodo era gravato anche dall’incombenza dei contributi regionali COVID (ex assegni di cura) che la Regione Puglia ha chiesto di erogare entro fine agosto, mese in cui la carenza di personale si aggrava ulteriormente”;

- “si è trattato di un episodio unico e che, comunque, il bando non contenendo le indicazioni del codice fiscale e della data di nascita o indirizzo di residenza degli assistiti (ma solo il Comune perché la ditta aggiudicataria deve poter calcolare i posti di consegna a domicilio del paziente) non rende, di fatto, identificabile l’utente salvaguardando la privacy” (nota del XX, prot. n. XX).

Alla luce di quanto dichiarato, l’Ufficio, con atto n. XX del XX, ha notificato all’Azienda, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2 del Regolamento, invitando il titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

In particolare l’Ufficio, nel predetto atto, ha rappresentato che, sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, l’Azienda, trasmettendo alla società XX la citata documentazione contenente dati personali e sulla salute di alcuni assistiti, ha effettuato una comunicazione di dati sulla salute in assenza dei presupposti giuridici previsti dall’art. 9 del Regolamento e, quindi, in violazione dei principi di base del trattamento di cui agli artt. 5 e 9 del Regolamento (art. 5, par. 1, lett. f) del Regolamento).

Con nota del XX (prot. n. XX), l’Azienda ha fatto pervenire le proprie memorie difensive, in cui, in aggiunta a quanto dichiarato, è stato rappresentato che:

- “sono stati erroneamente riportati il nome e cognome e la residenza degli assistiti durante la procedura di gara per la fornitura di ausili protesici. Si prega voler tener presente il carattere assolutamente di natura colposa da parte del RUP del bando. (…) A causa di una grave carenza di personale, lo scrivente distretto non dispone di un collaboratore amministrativo cat. D/posizione organizzativa da dedicare ai bandi che la nuova normativa richiede per la fornitura di ausili protesici, in assenza di gare centralizzata a livello aziendale o regionale. (…) Si chiede pertanto di prendere in considerazione che si è trattato di un episodio isolato e che comunque il bando non conteneva indicazioni tali che rendessero, di fatto, identificabile tout court l’utente”;

- si è provveduto a “trasmettere a tutto il personale in servizio presso il DSS5 la nota avente ad oggetto “Richiamo alle normative in tema di privacy e responsabilità del pubblico dipendente”; richiedere all’ufficio formazione e in copia conoscenza al responsabile DPO aziendale (…) l’attivazione di incontri formativi per tutti i dipendenti del DSS5 in tema di rispetto della privacy nel trattamento dei dati personali e connesse responsabilità del pubblico dipendente in caso di inosservanza. (…); fornire direttive operative ai dirigenti del DSS5 preposte alla tutela della privacy”.

Con successiva nota del XX (prot. n. XX), l’Azienda ha chiesto che “la violazione de qua ai sensi dell’art. 83 par. 2, lettera K del Regolamento, venga considerata alla luce di alcune precisazioni (…):  Quest’azienda pur consapevole della sola colpa, e non del dolo, per aver inserito in prima battuta alcuni dati personali, ha proceduto alla pubblicazione di un bando con lettera-invito volta all’acquisizione di un preventivo di offerta per la fornitura di diverse tipologie di ausili, indirizzata ai soli operatori economici competenti per categoria merceologica, inserite nell’Albo dei Fornitori della Regione Puglia”; precisando che “non trattandosi di gara ad evidenza pubblica, non c’è stato alcun rischio di divulgazione di dati personali a terzi”. Nella medesima occasione l’Azienda ha, altresì, dichiarato che:

- “i dati personali sono stati inviati su una rete a circolo chiuso, ovvero tra questo DSS e le Ditte interessate”;

- “in sostanza si ritiene che quanto accaduto sia più da ritenere un errore formale che sostanziale e ciò perché sia questa Azienda che le Ditte invitate hanno come denominatore comune il principio di responsabilità e di riservatezza sul trattamento dei dati personali”;

- “i dati sensibili che sono stati inviati sono stati visibili solo dalle Ditte interessate che, in caso di aggiudicazione, hanno, necessariamente, bisogno di conoscere nome, cognome, indirizzo e recapito telefonico delle persone a cui recapitare gli ausili richiesti”;

- “nessun utente ha sporto formale denuncia questo DSS per quanto accaduto e (..) costoro sono gli unici legittimati ad eventuali reazioni”.

3. Esito dell’attività istruttoria.

Preso atto di quanto rappresentato dall’Azienda nella documentazione in atti e nelle memorie difensive, si osserva che:

1. il Regolamento, nello stabilire un generale divieto al trattamento delle categorie particolari di dati personali, prevede delle deroghe espressamente previste nell’art. 9, par. 2, del Regolamento;

2. l’Azienda ha comunicato alla società XX e alle altre ditte competenti per categoria merceologica, inserite nell’Albo dei Fornitori della Regione Puglia, i dati personali, in molti casi, anche sulla salute, di circa 60 pazienti, nonostante non sussistesse alcuna delle deroghe previste dal citato art. 9, par. 2 del Regolamento.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dalla Azienda nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Ciò, in quanto la circostanza che “il bando non conteneva indicazioni tali che rendessero, di fatto, identificabile tout court l’utente” non rileva ai fini dell’esclusione delle informazioni oggetto di comunicazione dal novero della categoria del “dato personale”, alla luce di quanto previsto dall’art. 4, par. 1, punto 1 del Regolamento, per dati personale si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”. Al riguardo, si fa presente, altresì, che, in relazione alla descritta procedura di sostituire, generalmente, ai nominativi degli utenti le iniziali degli stessi, il Garante ha precisato in più occasioni, che “la prassi (…) di sostituire il nome e cognome dell’interessato con le sole iniziali è di per sé insufficiente ad anonimizzare i dati personali (…). Inoltre, il rischio di identificare l’interessato è tanto più probabile quando, fra l’altro, accanto alle iniziali del nome e cognome permangono ulteriori informazioni di contesto che rendono comunque identificabile l’interessato” (cfr. par. 3 del Provv. del 15 maggio 2014, n. 243, recante “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati”, doc. web n. 3134436).

Quanto al fatto, poi, che “nessun utente ha sporto formale denuncia a questo DSS per quanto accaduto e (..) costoro sono gli unici legittimati ad eventuali reazioni”, va evidenziato che il controllo del Garante sulla disciplina rilevante in materia di trattamento dei dati personali può essere avviato indipendentemente dalla presentazione di un reclamo, sulla base di segnalazioni (art. 144 del Codice) o anche d’ufficio (cfr. da ultimo, su una vicenda analoga, provv. del 14 novembre 2019, doc. web n. 9269852).

In relazione, poi, al fatto che “i dati personali sono stati inviati su una rete a circolo chiuso, ovvero tra questo DSS e le Ditte interessate”, oltre ad evidenziare che la trasmissione delle informazioni ha avuto come destinatari non solo la segnalante XX, ma anche altre ditte,  non fa venir meno la circostanza che l’operazione di trattamento effettuata, pur non integrando i requisiti della diffusione, è riconducibile alla “comunicazione”, intendendosi per essa “il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dell'Unione europea, dal responsabile o dal suo rappresentante nel territorio dell'Unione europea, dalle persone autorizzate, ai sensi dell'articolo 2-quaterdecies, al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile, in qualunque forma, anche mediante la loro messa a disposizione, consultazione o mediante interconnessione” (art. 2-ter, comma 4, lett. a) del Codice), come tale regolata dal citato art. 9 del Regolamento.

Per tutto quanto sopra rappresentato, si rileva l’illiceità del trattamento di dati personali effettuato dall’Azienda sanitaria locale di Bari nei termini di cui in motivazione, per violazione degli artt. 5, par. 1, lett. f), e 9 del Regolamento.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, par. 1, lett. f) e 9 del Regolamento, causata dalla condotta posta in essere dall’Azienda sanitaria locale di Bari, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par.5, lett. a) del Regolamento.

Si consideri che il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 85, par. 2, del Regolamento in relazione ai quali si osserva che:

- la comunicazione effettuata dall’Azienda ha avuto più destinatari e ha riguardato dati idonei a rilevare informazioni personali e sulla salute di numerosi interessati (circa 60 pazienti) (art. 83, par. 2, lett. a) e g) del Regolamento);

- l’assenza di dolo da parte dell’Azienda nella causazione dell’evento (art. 83, par. 2, lett. b) del Regolamento);

- l’Azienda ha collaborato con l’Autorità nel corso della istruttoria e del presente procedimento (art. 83, par. 2, lett. f) del Regolamento);

- non sono pervenuti ulteriori segnalazioni o reclami rispetto alla condotta oggetto del presente procedimento (art. 83, par. 2, lett. h) del Regolamento);

- nei confronti dell’Azienda è stata adottata, in data 28 giugno 2018, un’ordinanza ingiunzione per mancata adozione delle misure minime di sicurezza previste dagli artt. 33 e ss. del Codice e dalle regole nn. 3, 4, 5 e 6 del disciplinare tecnico di cui all’allegato B) del medesimo Codice, nella versione antecedente alle modifiche introdotte dal d.lgs. n. 101/2018 (art. 83, par. 2, lett. e) del Regolamento). 

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. b) del Regolamento, nella misura di euro 35.000 (trentacinquemila) per la violazione degli artt. 5, par. 1, lett. f) e 9 del Regolamento quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della potenziale numerosità dei soggetti interessati e della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dall’Azienda sanitaria locale di Bari, per la violazione degli art. 5, par. 1, lett. f) e 9 del Regolamento nei termini di cui in motivazione.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, all’Azienda sanitaria locale di Bari con sede legale in Bari, Lungomare Starita, 6 - C.F. e P.I. 06534340721, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 35.000 (trentacinquemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento, secondo le modalità indicate in allegato, entro 30 giorni dalla notifica in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

alla predetta Azienda, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 35.000 (trentacinquemila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 22 luglio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei