g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Fondazione di religione e di culto “Casa sollievo della sofferenza” Opera di San Pio da Pietrelcina - 11 febbraio 2021 [9567489]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9567489]

Ordinanza ingiunzione nei confronti di Fondazione di religione e di culto “Casa sollievo della sofferenza” Opera di San Pio da Pietrelcina - 11 febbraio 2021

Registro dei provvedimenti
n. 46 dell'11 febbraio

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il dott. il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vice presidente, il dott. Agostino Ghiglia, l’avv. Guido Scorza, componenti e il dott. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali”, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’Ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. La violazione di dati personali

In data 31 gennaio 2020, la Fondazione di religione e di culto “Casa sollievo della sofferenza” Opera di San Pio da Pietrelcina (di seguito la “Fondazione”), con sede legale in San Giovanni Rotondo, Viale Cappuccini – P. IVA 00138660717, ha notificato a questa Autorità una violazione di dati personali, ai sensi dell’art. 33 del Regolamento. In seguito, con nota del 12 febbraio 2020, ha integrato tale notificazione.

Nell’atto di notificazione, la Fondazione ha rappresentato che la violazione ha avuto ad oggetto l’erronea trasmissione, a mezzo di posta tradizionale, di documentazione sanitaria a un soggetto terzo non autorizzato.

Più specificamente, si è trattato di un “caso di omonimia. La fattura, emessa dalla Fondazione per le spese di invio del plico postale, è stata erroneamente attribuita ad altro interessato omonimo (dati errati: indirizzo di residenza). Tali dati (errati) sono stati utilizzati successivamente per la composizione del plico di spedizione, a mezzo posta, del referto sanitario relativo al reale interessato”.

Nell’atto di notificazione è stato, altresì, evidenziato che il titolare del trattamento ha avuto notizia della violazione in questione - “(…) concretizzata alla data di ricezione del plico da parte del soggetto diverso dall’interessato” - in data 29 gennaio 2020, alle h. 13.20, a seguito della segnalazione effettuata dall’interessato a mezzo e-mail.

Nel descrivere la causa dell’incidente, la Fondazione, ha spiegato che “l'operatore addetto alla composizione del plico postale non ha verificato la corrispondenza dei dati anagrafici presenti in fattura con quelli presenti sul referto sanitario, dati identici per cognome e nome e differenti tra loro solo per l'indirizzo di residenza” e che le categorie di dati personali, oggetto della violazione, riguardano sia dati anagrafici sia dati relativi alla salute.

Si è, inoltre, fatto un accenno alle misure di sicurezza, tecniche e organizzative, adottate per garantire la sicurezza dei dati, dei sistemi e delle infrastrutture tecnologiche coinvolti.

Con riguardo a tali misure, adottate a seguito della violazione e finalizzate sia a porre rimedio alla medesima e a ridurne gli effetti negativi sia a scongiurare che in futuro possano ripetersi incidenti analoghi, la Fondazione ha evidenziato che:

- sono stati “(…) effettuati contatti (per posta e telefonicamente) con gli interessati per l'adozione dei rimedi” e “(…) inviato il plico postale all'interessato con i dati e i documenti esatti”;

- “Si è ribadito, agli operatori che accedono al sistema informatico e a quelli addetti alla composizione di plichi destinati alla spedizione, di consolidare la prassi vigente che prevede di verificare l'esattezza di dati presenti nei sistemi informatici e nella documentazione cartacea, sollecitando in presenza dell'interessato anche il controllo di quest'ultimo al momento della consegna della documentazione”

-  è stata “avviata (la) verifica dei processi a supporto della fatturazione per la spedizione dei referti nell'ambito della UO coinvolta”.

2. L’attività istruttoria.

Con nota prot. n. 0020108, del 3 giugno 2020, l’Ufficio ha richiesto alla Fondazione, quale titolare del trattamento, informazioni, ai sensi dell’art. 157 del Codice, al fine di ricevere chiarimenti in ordine: alle procedure concernenti l’invio, a mezzo posta ordinaria, dei referti richiesti dagli interessati unitamente alla fatturazione dei relativi oneri di spedizione; i) alle istruzioni fornite al personale autorizzato a operare in tale fase del trattamento dei dati personali; ii) alle modalità con le quali l’interessato ha richiesto l’invio del referto a mezzo posta ordinaria e, infine, iii) alle misure organizzative e tecniche adottate per garantire l’esattezza dei dati personali dei pazienti interessati, con particolare riferimento a quelle riguardanti le due procedure sopra menzionate.

La Fondazione con nota del 16 giugno 2020, inviata, via PEC, in data 17 giugno 2020, ha fornito riscontro alla richiesta di informazioni dell’Autorità, rappresentando che:

- “La spedizione (del referto) può essere richiesta all’atto della registrazione amministrativa della prestazione sanitaria, ovvero successivamente, riferendosi ai predetti sportelli ambulatoriali. Gli operatori autorizzati a effettuare tale procedura sono tenuti al controllo dei dati anagrafici dell’interessato nel sistema informatico; contestualmente l’interessato è invitato alla verifica e conferma degli stessi dati presenti sui fogli di lavoro/ricevute/fatture consegnati. All’atto della registrazione degli oneri di spedizione a carico del paziente interessato, il sistema informatico emette la relativa fattura in n. 3 copie: una copia è trattenuta dall’operatore di sportello ai fini dell’archiviazione interna; due copie sono consegnate al paziente. Il medesimo è istruito in modo che una copia la consegni all’Unità Operativa presso cui eseguirà la prestazione sanitaria mentre una copia è trattenuta dall’interessato, ai fini fiscali. La copia della fattura consegnata alla Unità Operativa è utilizzata da quest’ultima per procedere successivamente all’invio postale”;

- “Successivamente alla produzione del referto e alla sua stampa, gli operatori autorizzati di segreteria dell’Unità Operativa, associano la fattura al referto dopo aver effettuato il controllo anagrafico dei due elementi documentali, avendo a supporto il sistema informatico. La fattura viene anteposta al/ai foglio/i che compongono il referto. Il gruppo di fogli è inserito in apposita busta con finestrella trasparente di esposizione dei dati di indirizzo del paziente. La busta è chiusa con linguetta adesiva”. 

La Fondazione ha, altresì, evidenziato che:

- il personale sanitario, attraverso istruzioni operative rese accessibili sul portale web dei dipendenti, è stato sensibilizzato precedentemente all’accaduto - anche se con riferimento ad ambiti differenti rispetto a quelli in esame – sulla necessità di prestare particolare attenzione alla corretta identificazione del paziente;

- di aver “(…) provveduto a designare i propri dipendenti “autorizzati al trattamento””;

- “annualmente, a fine ciclo di formazione obbligatoria Privacy, tali designazioni vengono aggiornate”.

Sulla base degli elementi acquisiti, l’Ufficio, con atto del 7 luglio 2020 (prot. n. 25124), ha notificato alla Fondazione, in qualità di titolare del trattamento, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento, invitando, altresì, quest’ultima a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità entro il termine di 30 giorni dalla richiesta (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. n. 689 del 24 novembre 1981).

In particolare, l’Ufficio ha notificato di aver accertato che la Fondazione, consegnando erroneamente a un soggetto terzo, non autorizzato, la documentazione sanitaria di altro paziente, ha effettuato una comunicazione di dati sulla salute a terzi in assenza di un idoneo presupposto giuridico e, quindi, in violazione dell’art. 9 e dei principi di base del trattamento di cui agli artt. 5, par. 1, lett. a) e f) del Regolamento.

Nella stessa nota, l’Ufficio ha, inoltre, evidenziato che la violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par.5, lett. a) del Regolamento.

Nell’ambito del procedimento in esame, il titolare del trattamento non ha fatto pervenire al Garante scritti difensivi, né richieste di audizione.

3. Esito dell’attività istruttoria.

Ai sensi del Regolamento, i dati personali devono essere trattati “in modo lecito corretto e trasparente nei confronti dell’interessato” (principio di “liceità, correttezza e trasparenza”) e “in  maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (principio di “integrità e riservatezza”) - art. 5, par. 1, lett. a) e f)  del Regolamento).

Per quanto attiene, specificamente, all’ambito sanitario, la disciplina in materia di protezione dei dati personali prevede, altresì, che le informazioni sullo stato di salute possano essere comunicate unicamente all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso previa delega scritta di quest’ultimo (art. 9 Regolamento e artt. 83 e 84 del Codice nella versione precedente la riformulazione del medesimo da parte del d.lgs. 10 agosto 2018, n. 101 in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101; cfr. anche provv. generale del 9 novembre 2005, consultabile in www.gpdt.it, doc. web n. 1191411, ritenuto compatibile con il suddetto Regolamento e con le disposizioni del decreto n. 101/2018; cfr. art. 22, comma 4, del citato d.lgs. n. 101//2018).

In particolare, l’art. 83 del Codice, prevede, fra altro, che le strutture pubbliche e private erogatrici di prestazioni sanitarie debbano adottare “(...) idonee misure per garantire, nell'organizzazione delle prestazioni e dei servizi, il rispetto dei diritti, delle libertà fondamentali e della dignità degli interessati, nonché del segreto professionale, fermo restando quanto previsto dalle leggi e dai regolamenti in materia di modalità di trattamento dei dati sensibili e di misure minime di sicurezza”. Tali misure comprendono, in particolare:

il rispetto della dignità dell'interessato in occasione della prestazione medica e in ogni operazione di trattamento dei dati;

la messa in atto di procedure, anche di formazione del personale, dirette a prevenire nei confronti di estranei un'esplicita correlazione tra l'interessato e reparti o strutture, indicativa dell'esistenza di un particolare stato di salute.

A tale riguardo, si rinvia, altresì, agli articoli da 10 a 12 del Codice di deontologia medica relativi, rispettivamente, a “segreto professionale”, “riservatezza dei dati personali” e “trattamento dei dati sensibili”.

Il Regolamento, inoltre, nel sancire un generico divieto al trattamento delle particolari categorie di dati, tra cui rilevano quelli relativi alla salute, ammette che essi possano essere trattati solo in presenza di una delle condizioni di cui all’art. 9, par. 2 (cfr. in particolare, l’art. 9, par. 2 lett. a), g), h) e i)).

Preso atto di quanto rappresentato dalla Fondazione nella documentazione in atti, si rileva che quest’ultima, consegnando erroneamente a un soggetto terzo, non autorizzato, la documentazione sanitaria di altro paziente, ha effettuato una comunicazione di dati sulla salute a terzi in assenza di un idoneo presupposto giuridico, in violazione dei richiamati principi e disposizioni normativi.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare nel corso dell’istruttoria - e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ nonché in assenza di ulteriore documentazione e memorie difensive che il titolare avrebbe potuto produrre nel termine di legge indicato nell’atto di avvio del procedimento per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento, si confermano i rilievi notificati dall’Ufficio con quest’ultimo atto, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni, confermando le valutazioni preliminari dell’Ufficio, si rileva l’illiceità del trattamento di dati personali effettuato dalla Fondazione di religione e di culto “Casa sollievo della sofferenza” nei termini di cui in motivazione, in quanto, l’avvenuta spedizione di un plico contenente documentazione medica a un soggetto terzo, non autorizzato a ricevere tale documentazione, anziché all’interessato, ha determinato una comunicazione di dati relativi alla salute in assenza di idonei presupposti giuridici (art. 9 del Regolamento e artt. 83 e 84 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101), con conseguente violazione dei principi di base applicabili al trattamento, in particolare, quelli di cui all’art. 5, par. 1, lett. a) e f) del Regolamento.

In tale quadro, considerato, tuttavia, che la condotta ha esaurito i suoi effetti – atteso, altresì, che la Fondazione ha dichiarato che gli interessati sono stati contattati per posta e telefonicamente e inviato il plico postale all'interessato con i dati e i documenti esatti - non ricorrono i presupposti per l’adozione di ulteriori provvedimenti correttivi da parte dell’Autorità, ai sensi dell’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, par. 1, lett. a) e f), e 9 del Regolamento, determinata dal trattamento di dati personali, oggetto del presente provvedimento, effettuato dalla Fondazione, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par.5, lett. a) del Regolamento.

Si consideri che il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2, del Regolamento in relazione ai quali si osserva che:

- la violazione ha riguardato un solo interessato, paziente della Fondazione (art. 83, par. 2, lett. a) del Regolamento);

- l’episodio risulta essere stato unico e isolato, non doloso, dovuto a colpa di un operatore, dipendente della Fondazione, determinatosi anche a fronte di un caso di omonimia riguardante due pazienti della Fondazione medesima (art. 83, par. 2, lett. b) del Regolamento);

- l’Autorità ha preso conoscenza dell’evento a seguito della notifica di violazione dei dati personali effettuata dallo stesso titolare del trattamento (art. 83, par. 2, lett. h) del Regolamento);

- il titolare del trattamento si è prontamente attivato per porre rimedio all’accaduto attraverso contatti postali e telefonici con gli interessati, nonché intervenendo sulle misure tecniche e organizzative a garanzia della correttezza del processo di fatturazione (art. 83, par. 2, lett. c) e d) del Regolamento);

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, nella misura di euro 5.000 (cinquemila) per la violazione degli artt. 5, par. 1, lett. a) e f) e 9 del Regolamento quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante

TUTTO CIÒ PREMESSO IL GARANTE

rilevata la violazione degli artt. 5, par. 2, lett. a) e f), e 9 del Regolamento, dichiara l’illiceità del trattamento di dati personali effettuato dalla Fondazione nei termini di cui in motivazione; 

ORDINA

alla Fondazione di religione e di culto “Casa sollievo della sofferenza” Opera di San Pio da Pietrelcina, con sede legale in San Giovanni Rotondo, Viale Cappuccini – P. IVA 00138660717, in persona del legale rappresentante pro-tempore, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, di pagare la somma di euro 5.000,00 (cinquemila)  a titolo di sanzione amministrativa pecuniaria per la violazione di cui al presente provvedimento, secondo le modalità indicate in allegato, entro 30 giorni dalla notifica in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta struttura sanitaria, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 5.000,00 (cinquemila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante, ai sensi dell’art. 166, comma 7, del Codice;

l’annotazione del presente provvedimento nel registro interno dell’Autorità - previsto dall’art. 57, par. 1, lett. u), del Regolamento, nonché dall’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante - relativo alle violazioni e alle misure adottate in conformità all'art. 58, par. 2, del Regolamento medesimo.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 11 febbraio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei