g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Azienda Ospedaliero Universitaria Pisana - 29 aprile 2021 [9678001]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9678001]

Ordinanza ingiunzione nei confronti di Azienda Ospedaliero Universitaria Pisana - 29 aprile 2021

Registro dei provvedimenti
n. 176 del 29 aprile 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore l’avv. Guido Scorza;

PREMESSO

1. La violazione dei dati personali.

L’Azienda Ospedaliero Universitaria Pisana (di seguito “Azienda”) ha notificato al Garante una violazione di dati personali ai sensi dell’art. 33 del Regolamento, in relazione all’avvenuto inserimento di una cartella infermieristica in una cartella clinica relativa ad un’altra paziente.

Nella medesima comunicazione è stato evidenziato che la violazione ha riguardato dati identificativi (cognome, nome, residenza e codice fiscale), dati di contatto (numero telefonico), dati sulla salute (dati sul decorso del ricovero) e altre informazioni quali peso, altezza, parametri vitali e che, a seguito della violazione, la paziente ha restituito il documento che non conteneva i suoi dati personali, consegnato poi all’interessata.

Nella stessa occasione, l’Azienda, nell’evidenziare che l’evento è stato determinato dal fatto che i documenti firmati digitalmente sono stati stampati due volte e per mero errore materiale una copia è stata inserita nella cartella clinica di altra paziente, ha dichiarato, al fine di prevenire possibili violazioni future, di voler prevedere un alert che richiami l’attenzione dell’operatore in caso di richiesta di stampare una seconda volta i documenti (comunicazione del XX).

2. L’attività istruttoria.

In relazione a quanto comunicato dall’Azienda, l’Ufficio, con atto del XX, prot. n. XX, ha avviato, ai sensi dell’art. 166, comma 5, del Codice, con riferimento alle specifiche situazioni di illiceità in esso richiamate, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2 del Regolamento, nei confronti della stessa Azienda, invitandola a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, l. n. 689 del 24 novembre 1981).

In particolare l’Ufficio, nel predetto atto ha rappresentato che:

- la disciplina in materia di protezione dei dati personali prevede –in ambito sanitario- che le informazioni sullo stato di salute possano essere comunicate solo all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso previa delega scritta di quest’ultimo (art. 9 Regolamento e art. 84 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101; cfr. anche provv. generale del 9 novembre 2005, consultabile in www.gpdt.it, doc. web n. 1191411, ritenuto compatibile con il suddetto Regolamento e con le disposizioni del decreto n. 101/2018; cfr. art. 22, comma 4, del citato d.lgs. n. 101/2018);

- il titolare del trattamento è tenuto al rispetto dei principi in materia di protezione dei dati, fra i quali quello di «liceità, correttezza e trasparenza» nonché di «integrità e riservatezza», secondo i quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e “in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (art. 5, par. 1, lett. a) e f) del Regolamento).

Ciò premesso, con il predetto atto del XX, l’Ufficio ha accertato che l’Azienda ha effettuato, mediante la consegna di una cartella infermieristica a persona diversa dall’interessata, una comunicazione di dati relativi alla salute di una paziente ad altra paziente in assenza di un idoneo presupposto giuridico e, quindi, in violazione dei principi di base del trattamento di cui agli artt. 5 e 9 del Regolamento.

Con nota del XX, l’Azienda ha fatto pervenire le proprie memorie difensive, nelle quali, in particolare, è stato precisato che:

a) “in data XX veniva comunicato alle pazienti interessate, in modo separato e distinto, tramite raccomandata, l’accaduto e veniva richiesto alla segnalante di procedere quanto prima alla restituzione dei documenti erroneamente consegnatogli. La segnalante dava seguito alla richiesta, provvedendovi, tramite spedizione con raccomandata”;

b) “durante l’Audit svolto per individuare la causa dell’accaduto e della conseguente “violazione dei dati Personali” oggetto di notifica, è emerso che questa avrebbe potuto ricondursi ad una doppia stampa dei documenti in oggetto; infatti una prima stampa della cartella infermieristica di altra paziente è stata erroneamente spillata in coda alla cartella clinica della segnalante e, successivamente, è stata effettuata una seconda stampa dei documenti che sono stati correttamente inseriti nella cartella di pertinenza. Pertanto, al fine di scongiurare il ripetersi di errori simili, è stato richiesto, alle competenti strutture aziendali, di effettuare una modifica al Software della Cartella Clinica Elettronica in modo tale che all’apertura della cartella infermieristica sia evidente un campo (scritto in rosso) nel quale sono indicati i dati dell’operatore e la data in cui ha effettuato la stampa della cartella infermieristica integrale e, cliccando sul simbolo della stampante per la richiesta di ulteriore copia, il Software apre automaticamente una finestra di “Alert” che segnala che si sta procedendo ad una ulteriore stampa di quegli stessi documenti”;

c) “nell’anno 2018 (l’Azienda) ha prodotto circa 59.000 cartelle cliniche e, nell’anno successivo ha rilasciato oltre n. 16.000 copie conformi di cartella clinica ai diretti interessati o comunque agli aventi diritto” evidenziando “l’eccezionalità dell’evento verificatosi e (…) come lo stesso sia da rinvenirsi unicamente in una mera azione accidentale e frutto di un errore materiale del personale preposto alla composizione delle cartelle cliniche”.

3. Esito dell’attività istruttoria

Premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice (“Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”), all’esito dell’esame della documentazione acquisita nonché delle dichiarazioni rese all’Autorità nel corso del procedimento, emerge che l’Azienda ha effettuato una comunicazione di dati relativi alla salute in assenza di un idoneo presupposto giuridico, in violazione dei principi di base del trattamento di cui agli artt. 5 e 9 del Regolamento.

4.  Conclusioni

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria, si rappresenta che gli elementi forniti dal medesimo titolare nelle memorie difensive, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Pertanto, si confermano le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali sulla salute effettuato dall’Azienda, in violazione degli artt. 5 e 9 del Regolamento.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che la persona che aveva erroneamente ricevuto la documentazione sanitaria di altra persona ha proceduto alla restituzione dei documenti, e che sono state fornite assicurazioni in ordine all’implementazione delle procedure di stampa della cartella clinica elettronica attraverso un “Alert” volto a segnalare che la stampa che si è in procinto di effettuare non è la prima, non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5 e 9 del Regolamento, da parte dell’Azienda Ospedaliero Universitaria Pisana, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, del Regolamento.

Si consideri che il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2, del Regolamento in relazione ai quali si osserva che:

l’Autorità ha preso conoscenza della violazione a seguito della notifica effettuata dal titolare del trattamento che ha informato dell’accaduto l’interessato e non sono pervenuti reclami o segnalazioni al Garante sull’accaduto (art. 83, par. 2, lett. a) e h) del Regolamento);

la violazione, avente ad oggetto dati sulla salute, è riconducibile ad un episodio unico e isolato e determinato da un errore umano del personale preposto alla composizione della cartella in servizio presso l’Azienda (art. 83, par. 2, lett. b), g);

non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento né sono stati precedentemente disposti provvedimenti di cui all’art. 58 del Regolamento (art. 83, par. 2, lett. e) e i) del Regolamento);

l’Azienda ha collaborato con l’Autorità nel corso dell’istruttoria e del presente procedimento (art. 83, par. 2, lett. f) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, nella misura di euro 4.000,00 (quattromila) per la violazione degli artt. 5 e 9 del Regolamento quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dall’Azienda Ospedaliero Universitaria Pisana, per la violazione degli artt. 5 e 9 del Regolamento nei termini di cui in motivazione.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, all’Azienda Ospedaliero Universitaria Pisana con sede legale in Pisa, in via Roma n. 67 – P.IVA e C.F. 01310860505, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 4.000,00 (quattromila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento, secondo le modalità indicate in allegato, entro 30 giorni dalla notifica in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

alla predetta Azienda, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 4.000,00 (quattromila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

- la pubblicazione del presente provvedimento sul sito web del Garante, ai sensi dell’art. 166, comma 7, del Codice;

- l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, nonché dall’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 29 aprile 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei