g-docweb-display Portlet

Provvedimento del 15 aprile 2021 [9587071]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

VEDI ANCHE Newsletter del 19 maggio 2021

[doc. web n. 9587071]

Provvedimento del 15 aprile 2021

Registro dei provvedimenti
n. 142 del 15 aprile 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e il dott. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. La violazione dei dati personali.

L’Azienda unità locale socio sanitaria n. 9 Scaligera (di seguito Azienda) ha inviato all’Autorità una comunicazione di violazione di dati personali, ai sensi dell’art. 33 del Regolamento, circa la diffusione dei dati sulla salute di un paziente, mediante la proiezione, da parte della dott.ssa XX (in servizio presso l’Azienda), in un congresso medico di alcune diapositive relative ad un caso clinico dalla stessa affrontato e la successiva pubblicazione delle stesse sul sito della Società Triveneta di chirurgia (di seguito Società). In tale occasione, il suddetto caso clinico è stato premiato dalla predetta Società come “Migliore caso clinico 2017”.

Secondo quanto comunicato, a seguito dell’azione legale intrapresa dal predetto paziente, l’Azienda si è fatta parte attiva affinché fossero eliminate le immagini dal sito della Società, intervenendo, anche, sulla “possibilità di risalire alle immagini attraverso motore di ricerca”.

Dalla documentazione in atti emerge che, nelle predette diapositive, sono riportate: le iniziali del paziente, l’età, il sesso, l’anamnesi dettagliata della patologia sofferta dallo stesso, dettagli sui ricoveri effettuati dal 1980 al 2016 e sugli interventi chirurgici subiti in tale periodo, con l’indicazione delle date di ricovero e di intervento (in molti casi è riportato il giorno, il mese e l’anno degli stessi), l’unità di chirurgia che ha effettuato gli interventi, i giorni di degenza, numerose immagini diagnostiche (14), nonché 22 fotografie che ritraggono l’interessato durante gli interventi chirurgici.

Secondo quanto ritenuto dal legale rappresentante del paziente nella diffida in atti, le predette informazioni “non garantiscono l’impossibilità di individuare nella persona (del suo assistito) (…) il soggetto che ha subito l’intervento”.

A corredo della diffida del legale del suddetto paziente, sono state prodotte le stampe dei risultati effettuati sul motore di ricerca “Google” a seguito dell’interrogazione dello stesso con l’indicazione della peculiare tipologia di intervento effettuato e della diagnosi (laparostomia ileale; leiomiosarcoma paravescicale), dalle quali è stato possibile risalire agli indirizzi web in cui sono state pubblicate le predette diapositive.

Nella documentazione in atti è presente, inoltre, il modulo di consenso informato all’intervento chirurgico, in cui non è fatta menzione della ripresa fotografica dello stesso.

Dalla documentazione in atti emerge inoltre che la dott.ssa XX, ai fini della predisposizione delle predette diapositive, ha utilizzato i dati e i documenti sanitari presenti negli archivi informatici dell’Azienda, nonché materiale fotografico dalla stessa realizzato nell’ambito del percorso di cura dell’interessato dalla stessa svolto all’interno della predetta Azienda.

2. L’attività istruttoria.

Nell’ambito dell’istruttoria avviata dall’Ufficio in merito alla predetta comunicazione di violazione sono state acquisite informazioni dalla predetta Azienda, dalla dott.ssa XX e dalla citata Società.

In particolare, l’Ufficio, con nota del XX (prot. n. xx) ha chiesto informazioni alla predetta Azienda sanitaria, la quale ha fornito riscontro con nota del XX (prot. n. XX) e durante un incontro oggetto di verbalizzazione presso gli Uffici del Garante dell’XX, specificando che:

- l’”Azienda non ha mai rilasciato alcuna autorizzazione alla dott.ssa XX o ad altro soggetto per l’utilizzo del logo aziendale in occasione della presentazione delle diapositive oggetto della richiesta di informazioni del Garante al concorso relativo al “Miglior caso clinico 2017”, né risulta agli atti della predetta Azienda alcuna richiesta volta ad ottenere l’autorizzazione all’uso del predetto logo in tale circostanza”;

- “l’Azienda non ha rilasciato alcun patrocinio alla Società Triveneta di chirurgia per la realizzazione del predetto premio o per altre manifestazioni dalla stessa organizzate. Si ribadisce inoltre che all’epoca dei fatti oggetto di accertamento era pienamente vigente il regolamento aziendale, già in atti, che prevede una specifica procedura per l’ottenimento del patrocinio e dell’utilizzo del logo aziendale”;

- “l’Azienda ha avviato un procedimento disciplinare nei confronti degli otto sanitari citati nelle predette diapositive, di cui si darà conto dell’esito al Garante”.

L’Ufficio, con atto n. XX del XX, con riferimento alle specifiche situazioni di illiceità in esso richiamate, ha notificato all’Azienda, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, paragrafo 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

In particolare l’Ufficio, nel predetto atto, ha ritenuto che la violazione di dati personali notificata al Garante ai sensi dell’art. 33 del Regolamento, abbia rilevato la sussistenza di elementi idonei a configurare da parte dell’Azienda la violazione dei principi di integrità e riservatezza richiamati nell’atto (art. 5, par. 1, lett. f) del Regolamento), rappresentando che la condotta descritta nella comunicazione di violazione dimostra la mancata adozione da parte dell’Azienda di misure tecniche ed organizzative volte a ridurre il rischio che il personale autorizzato ad accedere, per finalità di cura, ai dati personali e ai documenti clinici di cui è titolare la stessa, possa utilizzare i medesimi dati e documenti per finalità diverse da quelle di cura dell’interessato, come quelle di partecipazione ad premi scientifici e convegni senza la previa l’autorizzazione dell’Azienda e l’anonimizzazione dei predetti dati e documenti.

Con nota del XX (prot. n. XX), l’Azienda, ha fatto pervenire le proprie memorie difensive, in cui, in particolare, è stato rappresentato che:

- “il giorno XXX il RPD dell'XX, non appena ricevuta la richiesta danni (…) ha subito (…) (chiesto) di eliminare con la massima urgenza dal sito web della Società medesima tutte le slide oggetto della segnalazione”;

- “in materia di logo e/o patrocinio le disposizioni regolamentari vigenti erano le seguenti: nella ex Aulss 21 di Legnago (VR), della quale facevano parte tutti i medici coinvolti nei fatti in argomento, fino al 31.12.2016 era vigente il regolamento per l'utilizzo del logo e/o la concessione del patrocinio approvato dal Direttore Generale con nota prot. XX del XX; nella ex Aulss 20 di Verona, fino al XX era vigente il regolamento per l'utilizzo del logo e/o concessione del patrocinio approvato con deliberazione n. XX del XX; in esecuzione della LR n. 19/2016 (che ha ridefinito l'assetto territoriale delle Aulss della provincia di Verona) dal XX 1'ex Aulss 20 viene ridenominata Aulss 9 Scaligera e incorpora le ex Aulss 21 e 22. Atteso che, fino a diversa determinazione aziendale e per garantire continuità di funzionamento, nella Aulss 9 restavano in vigore le disposizioni regolamentari dell'Azienda incorporante (ex Aulss 20), dal XX al XX la regolamentazione era quella della citata delib. XX; nella Aulss 9 Scaligera, dal XX era vigente il regolamento per l'utilizzo del logo e/o la concessione del patrocinio approvato dal Direttore Generale con deliberazione n. XX del XX”;

- “l'Aulss 9 non ha mai ricevuto dai sanitari coinvolti nel caso alcuna richiesta di utilizzare il logo aziendale né ha ricevuto da parte della Società Triveneta di Chirurgia la richiesta di concessione di patrocinio, e che, comunque, l'Aulss 9 non ha in alcun modo concesso o autorizzato l'utilizzo del logo o il patrocinio dell'evento in argomento”;

- “nonostante la presenza della regolamentazione di cui sopra e la sua diffusione a tutto il personale, i sanitari hanno utilizzato il logo dell'Aulss 9 di propria iniziativa e al di fuori della specifica procedura. Da ciò deriva che le diapositive sono frutto esclusivamente dell'attività professionale dei sanitari e non possono essere in alcun modo considerate come una iniziativa aziendale”;

- l’“Azienda non ha in alcun modo collaborato con la Società Triveneta né per l'organizzazione né per ogni eventuale altro aspetto del congresso scientifico in argomento, né ne è mai stata messa a conoscenza da alcuno (dipendenti compresi). L'evento organizzato e condotto dalla Società Triveneta è frutto di una iniziativa del tutto autonoma della medesima”;

- “nel corso del 2016 e 2017 sono stati effettuati incontri e formazione, (…), ma soprattutto sul campo presso le UUOO, in materia di protezione dei dati personali, stante anche la necessità di uniformare le procedure esistenti nelle tre Aulss 20, 21 e 22, che dal XX avrebbero formato la Aulss 9 Scaligera. ln particolare, si evidenzia l'attività posta in essere per uniformare il DSE in tutto il territorio provinciale, compito particolarmente gravoso e difficile avendo le tre realtà situazioni di partenza differenti”;

- “l'Azienda si è impegnata a realizzare (…) un disciplinare sull'utilizzo dei dati sanitari ai fini di presentazioni, pubblicazioni o divulgazioni scientifiche di dati e di studi clinici e di farsi parte attiva nella promozione di un codice di condotta in materia, con l'impegno a diffondere tale codice nell'Azienda e promuovere eventi formativi specifici”;

- “Entro i termini previsti dalla vigente normativa e con riferimento ai fatti ed avvenimenti in argomento, sono stati avviati e conclusi otto specifici procedimenti disciplinari nei confronti di tutti i sanitari coinvolti. ln allegato (all. 15) i provvedimenti conclusivi (XX, XX, XX, XX, XX, XX, XX, XX);

- “Si sta perfezionando l'aggiudicazione di una FAD in materia di trattamento dei dati personali, della durata complessiva di 16 moduli, uno delle quali sarà dedicato in modo specifico al trattamento dei dati di salute a fini didattici e di pubblicazione scientifica. La FAD sarà avviata entro il corrente anno e sarà rivolta, con soluzione modulare, a tutto il personale dipendente (oltre 5700 unità)”.

In relazione alla richiesta dell’Azienda, in data XX, presso l’Ufficio del Garante, ai sensi degli artt. 166, commi 6 e 7, del Codice 18, comma 1, dalla legge n. 689 del 24/11/1981 si è svolta l’audizione con modalità telematiche, nel corso della quale l’Azienda ha ribadito quanto già rappresentato, precisando in particolar modo che:

con riferimento ai fatti oggetto della richiamata comunicazione di violazione “la sentenza del Tribunale di Verona dell’11 agosto 2020 (…) (ha disposto il) proscioglimento degli imputati XX, XX, XX, XX, XX, XXi e XX dal reato di cui all’art. 167, comma 2, del Codice per non aver commesso il fatto”;

“in attesa dell’adozione del predetto codice (di condotta), l’Azienda sta elaborando un percorso applicativo del dello stesso, al fine di darne tempestiva attuazione”.

3. Esito dell’attività istruttoria.

Preso atto di quanto rappresentato dall’Azienda nella documentazione in atti e nelle memorie difensive, si osserva che:

- la disciplina in materia di protezione dei dati personali prevede –in ambito sanitario- che le informazioni sullo stato di salute possano essere comunicate solo all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso, previa delega scritta di quest’ultimo (art. 9 Regolamento e art. 83 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101; cfr. anche provv. generale del 9 novembre 2005, consultabile in www.gpdt.it, doc. web n. 1191411, ritenuto compatibile con il suddetto Regolamento e con le disposizioni del decreto n. 101/2018; cfr. art. 22, comma 4, del citato d.lgs. n. 101//2018). In particolare, la disciplina sulla protezione dei dati personali prevede il divieto della diffusione dati idonei a rivelare lo stato di salute degli interessati (art. 2-septies, comma 8 e art. 166, comma 2, del Codice);

- il Regolamento, stabilisce inoltre che i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)” (art. 5, par. 1, lett. f) del Regolamento);

- con specifico riferimento alla pubblicazione di casi clinici, il Codice di deontologia medica approvato dalla Federazione nazionale degli ordini dei medici chirurghi e degli odontoiatri nel 2014 (così come modificato nel 2016 e nel 2017) prevede che “il medico assicur(a)(i) la non identificabilità dei soggetti coinvolti nelle pubblicazioni o divulgazioni scientifiche di dati e studi clinici” (art. 11 - Riservatezza dei dati personali).

- l’utilizzo da parte della dott.ssa XX delle informazioni acquisite nel corso del ricovero dell’interessato presso la predetta Azienda sanitaria, ai fini della predisposizione delle richiamate diapositive, è stato possibile in quanto la stessa Azienda non ha adottato tutte le misure tecniche e organizzative volte a ridurre il rischio che il personale autorizzato ad accedere, per finalità di cura, ai dati personali e ai documenti clinici di cui è titolare la stessa, possa utilizzare i medesimi dati e documenti per finalità diverse da quelle di cura dell’interessato, come quelle di partecipazione ad premi scientifici e convegni senza la previa l’autorizzazione dell’Azienda e l’anonimizzazione dei predetti dati e documenti;

- la procedura descritta nel “Regolamento per la concessione del patrocinio e utilizzo del logo dell’Azienda ulss 9 Scaligera di Verona” (Deliberazione del Direttore generale n. XX del XX), oltre alla circostanza che risulta essere stata adottata dopo la presentazione della domanda di partecipazione al premio da parte della dott.ssa XX (datata XX), riguarda solo l’utilizzo del logo aziendale e non anche le procedure per ottenere l’autorizzazione dell’Azienda a utilizzare le informazioni dalla stessa trattate in qualità di titolare, previa anonimizzazione, per fini di divulgazione scientifica.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni si rileva l’illiceità del trattamento di dati personali effettuato dall’Azienda unità locale socio sanitaria n. 9 Scaligera, nei termini di cui in motivazione, in violazione dell’art. 5, par. 1, lett. f) del Regolamento.

Ciò premesso, tenuto conto che:

dalle risultanze degli atti, l’episodio risulta essere stato isolato e gestito in maniera tempestiva da parte dell’Azienda;

al momento dei fatti l’Azienda aveva già promosso iniziative volte a regolamentare l’utilizzo dei documenti aziendali per fini di partecipazione a convegni e seminari;

l’Autorità ha preso conoscenza dell’evento a seguito della notifica di violazione dei dati personali effettuate dallo stesso titolare;

l’Azienda sanitaria, a seguito dei fatti oggetto del presente provvedimento, si è fatta parte attiva nella promozione, a livello regionale, di un codice di condotta per l’utilizzo dei dati sulla salute a fini didattici e di pubblicazione scientifica, che è stato approvato dal Garante con provvedimento del 14 gennaio 2021;

con riferimento ai fatti oggetto del presente provvedimento, la sentenza del Tribunale di Verona dell’11 agosto 2020 ha disposto il proscioglimento dei vertici aziendali dal reato di cui all’art. 167, comma 2, del Codice per non aver commesso il fatto;

le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi del Considerando 148 del Regolamento e delle Linee guida WP 253, riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del Regolamento (UE) n. 2016/679.

Si ritiene, pertanto, relativamente al caso in esame, che sia sufficiente ammonire il titolare del trattamento ai sensi degli artt. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, affinché provveda a rispettare le previsioni del Regolamento contenute nell’art. 5, par. 1, lett. f) del Regolamento e che, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che, l’Azienda ha adottato misure volte a disciplinare l’uso dei dati e documenti aziendali ai fini della partecipazione a convegni e seminari scientifici anche attraverso la promozione del predetto codice di condotta e che quindi non vi siano i presupposti per l’adozione di ulteriori provvedimenti correttivi da parte dell’Autorità, ai sensi dell’art. 58, par. 2, del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell’art. 57, par. 1, lett. a) del Regolamento, dichiara l’illiceità del trattamento dei dati personali effettuato dall’Azienda unità sanitaria locale n. 9 Scaligera, con sede legale in Verona, Via Valverde, 42– C.F./P.IVA 02573090236, per la violazione dei principi di base del trattamento, di cui all’art. 5, par. 1, lett. f) del Regolamento, nei termini di cui in motivazione;

b) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce la predetta Azienda unità sanitaria locale n. 9 Scaligera, quale titolare del trattamento in questione, per aver violato l’art. 5, par. 1, lett. f) del Regolamento, come sopra descritto;

c) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 15 aprile 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei