g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Azienda Socio Sanitaria Territoriale Dei Sette Laghi - 12 maggio 2022 [9781947]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9781947]

Ordinanza ingiunzione nei confronti di Azienda Socio Sanitaria Territoriale Dei Sette Laghi - 12 maggio 2022

Registro dei provvedimenti
n. 176 del 12 maggio 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante il “Codice in materia di protezione dei dati personali”, contenente disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito il “Codice”);

VISTO il d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Le violazioni dei dati personali 

L’Azienda Socio Sanitaria Territoriale Dei Sette Laghi (di seguito “Azienda”), in data XX, ha notificato all’Autorità, ai sensi dell’art. 33 del Regolamento, una violazione di dati personali, avente ad oggetto la consegna di un supporto digitale riferito ad una prestazione neuroradiologica a un soggetto non legittimato a riceverlo.

In relazione a tale evento, l’Azienda ha comunicato che:

“in data XX la segnalante si reca presso la struttura, presso la quale ha svolto un esame diagnostico, al fine di ritirare il referto. La busta consegnata era correttamente intestata alla segnalante ed anche il referto al suo interno riguardava la prestazione erogata. Tuttavia il supporto digitale, inserito nella busta, si riferiva ad altra prestazione neuroradiologica erogata a favore di altro soggetto, causando una perdita di confidenzialità delle informazioni ivi contenute. La violazione, pertanto, è da ricondursi all’errore umano del soggetto che ha provveduto a comporre la busta, laddove erroneamente ha inserito il supporto digitale contenente l'esame diagnostico di altro soggetto”;

“l'Azienda è dotata di procedure e prassi finalizzate a limitare il verificarsi di tali eventi. Nello specifico tutte le funzioni che trattano i dati dei pazienti devono verificare la corrispondenza delle informazioni (nome, cognome, data di nascita e codice fiscale) al termine di ogni processo finalizzato all'archiviazione, nonché alla consegna di documenti. Ad ogni modo, nonostante (…) l’ASST chieda la massima diligenza nella gestione della documentazione ai propri soggetti autorizzati al trattamento dei dati, non è possibile escludere del tutto il verificarsi dell'errore umano che, come in questa occasione, ha causato tale evento”;

“il dispositivo erroneamente consegnato al soggetto segnalante conteneva l'esame diagnostico "RME RM encefalo senza MDC"”;

“l'Azienda nella persona del DPO ha provveduto a prendere contatti con la segnalante al fine di ottenere la restituzione del dispositivo informatico contenente l'esame diagnostico oggetto della violazione, avendo conferma che lo stesso non sarà accessibile a nessun altro e che verrà consegnato (…)” entro pochi giorni, “al fine di metterlo a disposizione del legittimo interessato”;

“sono stati, e lo saranno anche in futuro, erogati corsi di formazione a favore delle varie funzioni aziendali che, nello svolgimento delle proprie attività, effettuano trattamenti di dati personali, al fine di sensibilizzarli sulle tematiche relative alla protezione dei dati e alla necessità di garantire la correttezza delle informazioni dei pazienti. Ad ogni modo, è stato trasmesso un richiamo formale, finalizzato a richiamare tutto il personale coinvolto nell'evento descritto con la presente notifica”.

L’Azienda ha rappresentato di essere venuta a conoscenza della violazione a seguito di segnalazione del soggetto che ha ricevuto erroneamente il supporto digitale.

2. L’attività istruttoria

In ordine alla fattispecie descritta l’Ufficio, sulla base di quanto rappresentato dal titolare del trattamento nell’atto della notifica di violazione, nonché delle successive valutazioni, ha notificato all’Azienda, ai sensi dell’art. 166, comma 5, del Codice, l’avvio di un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981). In particolare, con atto n. XX del XX, l’Autorità ha ritenuto che l’Azienda ha effettuato una comunicazione di dati relativi alla salute in assenza di un idoneo presupposto giuridico, in violazione dei principi di base del trattamento e degli obblighi in materia di sicurezza del trattamento (artt. 5, par. 1, lett. f), 9 e 32 del Regolamento).

L’Azienda ha fatto pervenire le proprie memorie difensive, ai sensi dell’art. 166, comma 6, del Codice. In particolare, con nota del XX (prot. n. XX), è stato dichiarato che:

- “le prassi operative vigenti in Azienda prevedono che l’identità dell’interessato sia oggetto di molteplici verifiche (i.e. al momento di accettazione, di erogazione della prestazione sanitaria, di predisposizione del referto, di consegna del referto)”;

- “con specifico riferimento alla consegna cartacea di referti medici e/o altra documentazione contenente dati sanitari, le prassi in uso, alla data in cui si è verificato l’evento da cui avuto origine il data breach, prevedevano un duplice controllo: gli operatori sanitari coinvolti nel processo erano chiamati a verificare l’identità dell’interessato (tramite verifica di nome, cognome, data di nascita e codice fiscale) sia in fase di predisposizione dei referti cartacei e digitali che in fase di imbustamento prima di procedere alla chiusura della busta (i.e. l’operatore, stampato il referto cartaceo e predisposto il cd/dvd, verificava la coincidenza degli intestatari e successivamente collocati i due supporti in apposita busta nominativa, prima di procedere la alla sua chiusura, verificava la titolarità dei documenti in essa inseriti);

- “l’evento ha coinvolto un solo soggetto interessato”;

- “la violazione” ha “carattere colposo in quanto conseguenza di un errore umano commesso da un operatore amministrativo specificatamente autorizzato al compimento delle operazioni di imbustamento. Più specificatamente, l’operatore incaricato, predisposto il cd/dvd contenente l’esame eseguito e la stampa cartacea del correlato referto, ha erroneamente inserito il cd/dvd di altro paziente nella busta contenente il referto cartaceo del soggetto interessato, non avvedendosi dell’errore commesso”;

- “l’ASST, avuta conoscenza dell’evento, si è subito attivata al fine di ri-acquisire il supporto digitale erroneamente consegnato e che il soggetto che lo erroneamente ottenuto ha provveduto a restituirlo” e “ha provveduto a definire i ruoli del c.d.  “Organigramma privacy aziendale”, formalmente nominando ed istruendo ogni sua figura, con particolare attenzione al personale amministrativo e sanitario direttamente coinvolto nel trattamento di dati sanitari”;

- “preso atto che le misure adottate non sono state sufficienti ad evitare il verificarsi dell’evento oggetto della segnalazione (…) la scrivente AAST ha ritenuto necessario introdurre ulteriori presidi di controllo. In particolare, la prassi operativa in uso è stata formalizzata tramite inserimento nel sistema qualità aziendale e, al fine di ridurre il rischio di commissione di eventi simili a quello occorso, ha previsto che di prassi al paziente sia consegnato esclusivamente il referto in formato digitale (cd/dvd), ferma la possibilità per l’interessato (…) di chiedere agli operatori dell’ASST di ricevere la copia cartacea del medesimo referto”;

- “l’ASST ha altresì erogato un corso di formazione specifico sul tema, evidenziando in tale occasione l’importanza di prestare sempre la massima attenzione nel compimento delle operazioni di imbustamento e di consegna dei referti alla luce delle gravi ripercussioni che errori umani potrebbero avere sugli interessati. L’ASST sta inoltre provvedendo ad affiggere nei locali presso cui avviene la consegna dei referti apposita cartellonistica con cui si invitano i pazienti a verificare la correttezza dell’intestazione dei referti prima di allontanarsi dalla struttura ospedaliera”.

3. Esito dell’attività istruttoria

Preso atto di quanto rappresentato dall’Azienda nel corso del procedimento, si osserva che:

per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)” e per “dati relativi alla salute” “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, nn. 1 e 15 del Regolamento). Questi ultimi dati meritano una maggiore protezione dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali (Cons. n. 51 del Regolamento);

con particolare riferimento alla questione prospettata, le informazioni sullo stato di salute possono essere comunicate solo all’interessato e possono essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico (art. 9 Regolamento e art. 84 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101);

il titolare del trattamento è, in ogni caso, tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di «integrità e riservatezza», secondo il quale i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (art. 5, par. 1, lett. f) del Regolamento);

in materia di sicurezza del trattamento, il titolare del trattamento e il responsabile del trattamento, “tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche (…) mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio […]”; “nel valutare l’adeguato livello di sicurezza si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati” (art. 32, par. 1 e 2 del Regolamento).

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”, si rileva che gli elementi forniti dal titolare del trattamento nella memoria difensiva sopra richiamata, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con il  richiamato atto di avvio dei procedimenti, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del regolamento del Garante n. 1/2019.

Per tali ragioni si confermano le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Azienda Socio Sanitaria Territoriale Dei Sette Laghi, per aver comunicato informazioni personali, relative alla salute di un interessato, ad un soggetto terzo, in violazione dei principi base di cui agli artt. 5, lett. f), 9 e degli obblighi in materia di sicurezza del trattamento, di cui all’art. 32 del Regolamento.

La violazione delle predette disposizioni rende applicabile, ai sensi dell’art. 58, par. 2, lett. i), la sanzione amministrativa prevista dall’art. 83, par. 4 e 5 del Regolamento.

In tale quadro, considerato, in ogni caso, che la condotta ha esaurito i suoi effetti e considerato che l’Azienda ha dichiarato di aver adottato ulteriori misure ritenute necessarie per scongiurare futuri analoghi accadimenti, non ricorrono i presupposti per l’adozione di provvedimenti, di tipo prescrittivo o inibitorio, di cui all’art. 58, par. 2, del Regolamento.

4. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice). 

La violazione degli artt. 5, par. 1, lett. f), 9 e 32 del Regolamento, causata dalla condotta poste in essere dall’Azienda, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 4 e 5 del Regolamento.

Si consideri che il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2, del Regolamento in relazione ai quali, per i casi in esame, si osserva che:

l’Autorità ha preso conoscenza dell’evento a seguito della notifica di violazione dei dati personali effettuata dal titolare e non sono pervenuti reclami o segnalazioni al Garante sull’accaduto (art. 83, par. 2, lett. h) e k) del Regolamento);

il trattamento dei dati effettuato dall’Azienda ha riguardato dati idonei a rilevare informazioni sulla salute di un solo interessato (art. 83, par. 2, lett.  a) e g) del Regolamento);

il titolare del trattamento non ha manifestato alcun atteggiamento intenzionale, essendo la violazione avvenuta per errore nella fase di inserimento del cd/dvd di altro paziente nella busta contenente il referto cartaceo del soggetto interessato (art. 83, par. 2, lett. b) del Regolamento);

l’Azienda ha preso in carico la problematica introducendo misure volte a ridurre la replicabilità degli stessi eventi occorsi (art. 83, par. 2, lett. c) del Regolamento);

il titolare ha dimostrato un elevato grado di cooperazione con l’Autorità al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi (art. 83, par. 2, lett. f) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 4 e 5 del Regolamento, nella misura di euro 7.000,00 (settemila) per la violazione degli artt. 5, par. 1, lett. f), 9 e 32 del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati all’Autorità.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dall’Azienda Socio Sanitaria Territoriale Dei Sette Laghi, per la violazione degli artt. 5, par. 1, lett. f), 9 e 32 del Regolamento, nei termini di cui in motivazione.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, all’Azienda Socio Sanitaria Territoriale Dei Sette Laghi, con Sede legale in Viale Borri 57 – 21100 Varese, C.F. e P.IVA 03510050127, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 7.000,00 (settemila) a titolo di sanzione amministrativa pecuniaria per la violazione indicata nel presente provvedimento; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

alla predetta Azienda Socio Sanitaria Territoriale Dei Sette Laghi, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 7.000,00 (settemila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso giurisdizionale dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 12 maggio 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei