[doc. web n. 9486446]

Provvedimento del 1° ottobre 2020

Registro dei provvedimenti
n. 176 del 1° ottobre 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, "Regolamento generale sulla protezione dei dati" (di seguito "Regolamento");

VISTO il d.lgs. 30 giugno 2003, n. 196 recante "Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito "Codice");

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all'esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell'8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito "Regolamento del Garante n. 1/2019");

Vista la documentazione in atti;

Viste le osservazioni formulate dal vice segretario generale ai sensi dell'art. 15 del Regolamento del Garante n. 1/2000 sull'organizzazione e il funzionamento dell'ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. La violazione dei dati personali.

L'Azienda Usl di Bologna (di seguito Azienda) ha notificato al Garante una violazione di dati personali ai sensi dell'art. 33 del Regolamento in relazione all'invio della segnalazione di malattia infettiva relativa ad un caso di scabbia di un minorenne, c.d. "caso indice" che, contrariamente a quanto indicato dalle disposizioni di settore, conteneva informazioni in grado di identificare l'interessato in quanto effettuata con un'unica comunicazione sia all'istituto scolastico, sia a una associazione frequentati dallo stesso (notifica del XX, prot. n. XX).

Al riguardo, l'Azienda, nel dichiarare che il modello di segnalazione utilizzato ordinariamente dalla stessa "contiene unicamente le informazioni adeguate, pertinenti e limitate alle finalità di profilassi, senza alcuna informazione/dato che consenta l'identificazione del caso indice", ha rappresentato che, nel caso di specie, l'operatore deputato all'invio della predetta segnalazione ha modificato il modello utilizzato usualmente dall'Azienda inserendo, tra i destinatari della stessa, oltre all'istituto scolastico cui è iscritto il minore, anche l'associazione locale che promuove l'autonomia, la partecipazione e l'integrazione di persone con Disturbi Specifici dell'Apprendimento frequentata dallo stesso. Secondo quanto dichiarato in atti, l'informazione relativa alla frequentazione della predetta associazione da parte del minore "ha consentito, anche se indirettamente, l'identificazione dell'interessato".

L'Azienda ha, poi, dichiarato di aver avviato approfondimenti disciplinari in merito a quanto accaduto e che tutti gli operatori coinvolti nel processo di sorveglianza sanitaria hanno partecipato a una giornata formativa in cui è stata ribadita la necessità di "attenersi scrupolosamente alle istruzioni operative e di carattere generale fornite dal titolare (…) nell'ambito delle attività inerenti al processo di sorveglianza sanitaria".

L'Azienda ha rappresentato, infine, di avere avuto un contatto immediato con i genitori del predetto minore, al fine di "instaurare un rapporto di fiducia" con gli stessi, minato da un "iniziale isolamento del minore da parte dei compagni di scuola" dovuto all'identificazione del soggetto indicato come caso indice.

2.  L'attività istruttoria.

In relazione a quanto comunicato dall'Azienda, l'Ufficio, con atto n. XX del XX, ha notificato all'Azienda USL di Bologna, ai sensi dell'art. 166, comma 5, del Codice, l'avvio del procedimento per l'adozione dei provvedimenti di cui all'articolo 58, paragrafo 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall'Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

In particolare l'Ufficio, nel predetto atto, ha rappresentato che:

- la disciplina in materia di protezione dei dati personali prevede – in ambito sanitario - che le informazioni sullo stato di salute possano essere comunicate solo all'interessato e, solo sulla base di un idoneo presupposto giuridico o su indicazione dell'interessato stesso previa delega scritta di quest'ultimo, possano essere comunicate a terzi (art. 9 Regolamento e art. 83 del Codice in combinato disposto con l'art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101; cfr. anche provv. generale del 9 novembre 2005, consultabile in www.gpdt.it, doc. web n. 1191411, ritenuto compatibile con il suddetto Regolamento e con le disposizioni del decreto n. 101/2018; cfr. art. 22, comma 4, del citato d.lgs. n. 101//2018).

- il Regolamento stabilisce, inoltre, che i dati personali devono essere "trattati in maniera da garantire un'adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)" (art. 5, par. 1, lett. f) del Regolamento).

- la procedura utilizzata dall'operatore, nell'ambito delle comunicazioni previste dalla disciplina sulla sorveglianza sanitaria delle malattie infettive, ha consentito ai destinatari della stessa di identificare l'interessato, contrariamente a quanto previsto dalla normativa di settore.

Nel richiamato atto del XX, l'Ufficio ha, quindi, ritenuto che l'Azienda abbia effettuato, con le modalità sopra descritte, una comunicazione di dati relativi alla salute di un paziente minore in assenza di un idoneo presupposto giuridico e, quindi, in violazione dei principi di base del trattamento di cui all'art. 5, del Regolamento, nonché in violazione dell'art. 9 del Regolamento medesimo.

Con nota del XX (prot. n. XX), l'Azienda ha fatto pervenire le proprie memorie difensive, in cui sono stati rappresentati elementi ulteriori scaturiti dal procedimento disciplinare attivato e concluso nei confronti dell'operatore che ha inviato la predetta segnalazione ed in particolare che:

a) il predetto operatore "ha indirizzato all'Istituto scolastico e all'Associazione frequentati dal minore un'unica lettera contenente le raccomandazioni sanitarie da rispettare in seguito alla segnalazione di un caso di scabbia. Tale spedizione è stata eseguita in maniera non conforme alle prassi aziendali dal momento che l'inserimento di più destinatari in un'unica comunicazione, hanno consentito di giungere all'identificazione del caso medesimo. Nell'ambito del procedimento disciplinare è emerso che per prassi, in tali casi, si redige una lettera per ciascun destinatario. Invece, (…) ha, in buona fede, indirizzato un'unica lettera a entrambi i destinatari, a seguito degli esiti dell'intervista epidemiologica effettuata con i genitori del minore al fine di capire se il minore frequentava altre comunità. L'inchiesta epidemiologica ha portato alla constatazione della presenza di ulteriori contatti a rischio (Associazione) ai quali fornire informazioni sulle misure igieniche da adottare ai fini di impedire la diffusione della malattia. Il fatto si è palesato con l'invio di un'unica comunicazione a Istituto e Associazione";

b) l'operatore che ha effettuato la segnalazione del caso di scabbia relativo al minore "ha agito in buona fede con l'unico scopo di applicare correttamente le misure di profilassi previste per le esigenze di sanità pubblica";

c) "la tempestiva presa in carico del problema da parte dei professionisti della Pediatria Territoriale Ovest, l'instaurazione di un rapporto di fiducia con la famiglia, l'attenzione all'iniziale disagio del bambino, si sono rivelati risolutivi dei possibili effetti negativi sul minore. Ne è dimostrazione il fatto che il supporto psicologico offerto fin da subito dall'Azienda non è stato necessario";

d) "le misure adottate per attenuare le conseguenze del caso segnalato si sono concretizzate attraverso un contatto immediato e continuativo con i genitori del minore e la contestuale offerta di supporto psicologico allo stesso" nonché mediante "una giornata formativa per tutti gli operatori coinvolti nel processo di sorveglianza sanitaria per ribadire la necessità di attenersi scrupolosamente alle istruzioni operative e di carattere generale fornite dal Titolare del trattamento al fine di garantire il corretto e sicuro trattamento dei dati personali nell'ambito delle attività inerenti il processo di sorveglianza sanitaria".

Con la predetta nota l'Azienda ha infine chiesto, in via principale, l'archiviazione del procedimento e, in subordine, "nella denegata e non creduta ipotesi in cui venisse irrogata una sanzione amministrativa, (…) di tener conto, al fine della commisurazione dell'importo di un'eventuale sanzione, della natura pubblica dell'Azienda e del fatto che le relative risorse economiche sono destinate all'erogazione di servizi sanitari essenziali e a valenza collettiva".

In data XX, presso l'Ufficio del Garante, ai sensi degli artt. 166, commi 6 e 7, del Codice 18, comma 1, dalla legge n. 689 del 24/11/1981 si è svolta l'audizione, nel corso della quale l'Azienda ha ribadito quanto già rappresentato, precisando in particolar modo che "i genitori del bambino interessato dal trattamento oggetto della comunicazione di violazione non hanno presentato nessuna azione risarcitoria nei confronti dell'Azienda né usufruito del servizio di consulenza psicologica offerto dalla stessa in relazione alla predetta vicenda".

3. Esito dell'attività istruttoria.

Preso atto di quanto rappresentato dall'Azienda nella documentazione in atti e nelle memorie difensive, si osserva che:

1. il Regolamento, nello stabilire un generale divieto al trattamento delle categorie particolari di dati personali, prevede una deroga nel caso in cui il trattamento sia necessario per motivi di interesse pubblico rilevante anche nel settore della sanità pubblica (art. 9, par. 2, lett. g) e i) e par. 3 del Regolamento) e sia effettuato sulla base del diritto dell'Unione o degli Stati membri. Il trattamento dei dati personali in esame può essere ricondotto alle fattispecie indicate nell'art. 9, par. 2, lett. g) e i) del Regolamento;

2. secondo il decreto ministeriale 15 dicembre 1990, l'obbligo di notifica di tutti i casi di malattie diffusive pericolose per la salute pubblica, da parte del medico e da parte della azienda sanitaria, deve avvenire nei limiti e secondo le modalità indicate nello stesso decreto.

3.1. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell'istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice "Falsità nelle dichiarazioni al Garante e interruzione dell'esecuzione dei compiti o dell'esercizio dei poteri del Garante" ˗ gli elementi forniti dal titolare del trattamento nelle memorie difensive e nel corso dell'audizione non consentono di superare i rilievi notificati dall'Ufficio con l'atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall'art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni si confermano le valutazioni preliminari dell'Ufficio e si rileva l'illiceità del trattamento di dati personali effettuato dall'Azienda Usl di Bologna nei termini di cui in motivazione, in violazione degli artt. 5, par. 1, lett. f) e 9 del Regolamento.

Ciò premesso, tenuto conto che:

- dalle risultanze degli atti, l'episodio risulta essere stato isolato e determinato da un evento sicuramente colposo;

- l'Autorità ha preso conoscenza dell'evento a seguito della notifica di violazione dei dati personali effettuata dallo stesso titolare;

- non sono pervenuti reclami o segnalazioni al Garante sull'accaduto; 

- nei confronti dell'operatore che ha inviato la predetta segnalazione l'Azienda ha valutato, nell'ambito di apposito procedimento, le responsabilità disciplinari, le circostanze del caso concreto inducono a qualificare lo stesso come "violazione minore", ai sensi del considerando 148 del Regolamento e delle Linee guida WP 253, riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del Regolamento (UE) n. 2016/679.

Si ritiene, pertanto, relativamente al caso in esame, che sia sufficiente ammonire il titolare del trattamento ai sensi degli artt. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, affinché provveda a rispettare le previsioni del Regolamento contenute negli artt. 5 par. 1, lett. f) e 9 del Regolamento e che, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti e che sono state disposte misure organizzative volte ad evitare il ripetersi di episodi come quello segnalato (specifica attività di formazione del personale) , non vi siano i presupposti per l'adozione di ulteriori provvedimenti correttivi da parte dell'Autorità, ai sensi dell'art. 58, par. 2, del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all'art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all'esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell'art. 57, par. 1, lett. a) del Regolamento, dichiara l'illiceità del trattamento dei dati personali effettuato dall'Azienda Usl di Bologna con sede legale in Bologna, via Castiglione, 29 – C.F./P.IVA  02406911202, per la violazione dei principi di base del trattamento, di cui agli artt. 5, par. 2, lett. f) e 9 del Regolamento, nei termini di cui in motivazione;

b) ai sensi dell'art. 58, par. 2, lett. b) del Regolamento, ammonisce la predetta Azienda USL di Bologna, quale titolare del trattamento in questione, per aver violato gli artt. 5, par. 2, lett. f) e 9 del Regolamento, come sopra descritto;

c) ritiene che ricorrano i presupposti di cui all'art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all'esercizio dei poteri demandati al Garante.

Ai sensi dell'art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all'autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni, se il ricorrente risiede all'estero.

Roma, 1° ottobre 2020

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL VICE SEGRETARIO GENERALE
Filippi