g-docweb-display Portlet

Provvedimento del 29 aprile 2021 [9676143]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9676143]

Provvedimento del 29 aprile 2021

Registro dei provvedimenti
n. 174 del 29 aprile 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. La violazione dei dati personali.

L’Azienda Usl Toscana centro (di seguito Azienda) ha notificato al Garante una violazione di dati personali ai sensi dell’art. 33 del Regolamento in relazione all’avvenuto invio della notifica obbligatoria di malattia infettiva e diffusiva ai sensi del D.M. 15 dicembre 1990 a un destinatario diverso da quello previsto dalla normativa vigente (società XX), a causa di un’erronea digitazione del numero di fax del destinatario della notifica (comunicazione del 26 giugno 2019, prot. n. 72981).

Secondo quanto rappresentato dall’Azienda, sebbene per l’invio delle suddette notifiche sia usualmente utilizzato un “fax dedicato con numerazione pre-registrata per l’invio automatico al destinatario corretto”, nel caso di specie, è stata impiegata un’altra apparecchiatura, a causa del temporaneo non funzionamento di quella deputata all’invio delle notifiche. L’Azienda ha dichiarato inoltre che la società XX ha provveduto all’”immediata distruzione del documento ricevuto”.

Nella predetta comunicazione l’Azienda ha rappresentato, infine, di aver disposto che il processo di notificazione delle malattie infettive e diffusione sia integrato nel nuovo software aziendale in corso di installazione.

2. L’attività istruttoria.

In relazione a quanto comunicato dall’Azienda, l’Ufficio, con atto n. 30971 del 13 settembre 2019, ha notificato all’Azienda USL Toscana centro, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, paragrafo 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

In particolare, l’Ufficio, nel predetto atto, ha rappresentato che:

- la disciplina in materia di protezione dei dati personali prevede –in ambito sanitario- che le informazioni sullo stato di salute devono essere comunicate all’interessato e possono essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso previa delega scritta di quest’ultimo (art. 9 Regolamento e art. 83 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101; cfr. anche provv. generale del 9 novembre 2005, consultabile in www.gpdt.it, doc. web n. 1191411, ritenuto compatibile con il suddetto Regolamento e con le disposizioni del decreto n. 101/2018; cfr. art. 22, comma 4, del citato d.lgs. n. 101//2018);

- il Regolamento stabilisce inoltre che i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)” (art. 5, par. 1, lett. f) del Regolamento);

- l’invio della notifica obbligatoria di malattia infettiva e diffusiva ad un destinatario diverso da quello previsto dalla normativa di settore (Società XX) ha determinato una comunicazione di dati relativi alla salute dell’interessato priva di idoneo presupposto giuridico.

Nel richiamato atto del 13 settembre 2019, l’Ufficio ha quindi ritenuto che l’Azienda abbia effettuato, mediante l’invio della notifica obbligatoria di malattia infettiva e diffusiva a soggetto non legittimato, una comunicazione di dati relativi alla salute di un paziente in assenza di un idoneo presupposto giuridico e, quindi, in violazione dei principi di base del trattamento di cui agli artt. 5 e 9 del Regolamento.

Con nota del 18 ottobre 2019 (prot. n. 111700), l’Azienda ha fatto pervenire le proprie memorie difensive, in cui, in particolare, è stato rappresentato che:

a) “l'Azienda ha condotto d'intesa con il fornitore dell'applicativo utilizzato per la gestione del Pronto Soccorso un'analisi in merito allo sviluppo della funzionalità richiesta”;

b) “a regime, quindi, l'operatore che avrà verificato l'obbligo di notifica provvederà ad inserire la prestazione necessaria sull'applicativo che genererà una comunicazione email pseudonimizzata con destinatario la Direzione Sanitaria competente a ricevere detta notifica. La comunicazione email non conterrà alcun dato personale se non quello di riferimento della prestazione inserita (codice numerico). Solo il personale autorizzato, quindi, potrà accedere con proprie credenziali nella specifica sezione dell'applicativo per acquisire conoscenza della notifica”;

c)  “nelle sessioni di formazione che hanno coinvolto i Direttori di struttura semplice e complessa sulla base dell'organigramma aziendale, sono state fornite specifiche indicazioni sulla gestione del rischio in tale contesto esplicitando la nuova funzionalità sopra descritta per la gestione di tale attività di trattamento”.

3. Esito dell’attività istruttoria.

Preso atto di quanto rappresentato dall’Azienda nella documentazione in atti e nelle memorie difensive, si osserva che:

1. il Regolamento, nello stabilire un generale divieto al trattamento delle categorie particolari di dati personali, prevede una deroga nel caso in cui il trattamento sia necessario per motivi di interesse pubblico rilevante anche nel settore della sanità pubblica (art. 9, par. 2, lett. g) e i) e par. 3 del Regolamento) e sia effettuato sulla base del diritto dell’Unione o degli Stati membri. Il trattamento dei dati personali in esame può essere ricondotto alle fattispecie indicate nell’art. 9, par. 2, lett. g) e i) del Regolamento;

2. in ambito sanitario- le informazioni sullo stato di salute possano essere comunicate solo all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso previa delega scritta di quest’ultimo (art. 9 Regolamento e art. 83 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101);

3. secondo il decreto ministeriale 15 dicembre 1990, l’obbligo di notifica di tutti i casi di malattie diffusive pericolose per la salute pubblica da parte del medico e, successivamente, da parte della azienda sanitaria deve avvenire nei limiti e secondo le modalità indicate nello stesso decreto.

3.1. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni si rileva l’illiceità del trattamento di dati personali effettuato dall’Azienda Unità Sanitaria Locale Toscana centro, nei termini di cui in motivazione, in violazione degli artt. 5 e 9 del Regolamento.

Ciò premesso, tenuto tuttavia conto che:

dalle risultanze degli atti, l’episodio risulta essere stato unico e isolato e determinato da un evento sicuramente colposo;

l’Autorità ha preso conoscenza dell’evento a seguito della notifica di violazione dei dati personali effettuata dallo stesso titolare;

non sono pervenuti reclami o segnalazioni al Garante sull’accaduto;

l’Azienda ha, fin da subito dimostrato un elevato grado di cooperazione adoperandosi al fine di introdurre una procedura di risoluzione della problematica che ha generato il predetto evento con modalità tali da escludere la replicabilità dello stesso;

le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi del considerando 148 del Regolamento e delle Linee guida WP 253, riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del Regolamento (UE) n. 2016/679.

Si ritiene, pertanto, relativamente al caso in esame, che sia sufficiente ammonire il titolare del trattamento ai sensi degli artt. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, per avere violato le previsioni del Regolamento contenute negli artt. 5, e 9 del Regolamento e che, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che l’Azienda ha dichiarato che la società XX ha provveduto all’”immediata distruzione del documento ricevuto” e che il processo di notificazione delle malattie infettive e diffusive è stato modificato, prevedendo idonee cautele per la protezione dei dati personali trattati in conformità a quanto disposto dalla normativa di settore, non vi siano i presupposti per l’adozione di ulteriori provvedimenti correttivi da parte dell’Autorità, ai sensi dell’art. 58, par. 2, del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell’art. 57, par. 1, lett. a) del Regolamento, dichiara l’illiceità del trattamento dei dati personali effettuato dall’Azienda USL Toscana Centro (Sede legale Piazza Santa Maria Nuova, 1 - Firenze - P.I. e C.F.: 06593810481), per la violazione dei principi di base del trattamento, di cui agli artt. 5, par. 2, lett. f) e 9 del Regolamento, nei termini di cui in motivazione;

b) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce la predetta Azienda USL Toscana Centro, quale titolare del trattamento in questione, per aver violato gli artt. 5, par. 2, lett. f) e 9 del Regolamento, come sopra descritto;

c) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 29 aprile 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei