Ordinanza ingiunzione nei confronti di Policlinico Casilino di Roma - 20...
Ordinanza ingiunzione nei confronti di Policlinico Casilino di Roma - 20 ottobre 2022 [9827446]
Condividi[doc. web n. 9827446]
Ordinanza ingiunzione nei confronti di Policlinico Casilino di Roma - 20 ottobre 2022*
*Il provvedimento è stato impugnato
Registro dei provvedimenti
n. 356 del 20 ottobre 2022
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e il dott. Guido Scorza, componenti, e il dott. Claudio Filippi, vice segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del Garante n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;
RELATORE la prof.ssa Ginevra Cerrina Feroni;
PREMESSO
1. L’attività istruttoria.
Nel mese di XX, è pervenuta al Garante una segnalazione in cui è stata lamentata una violazione della disciplina in materia di protezione dei dati personali in relazione alla circostanza che il Policlinico Casilino di Roma (di seguito Policlinico) consentiva l’accesso agli ambulatori solo a coloro che fossero in possesso di una certificazione verde.
A seguito di quanto segnalato, l’Ufficio ha constatato che tale indicazione era anche riportata sul sito del predetto Ospedale (https://www.policlinicocasilino.it; https://www.policlinicocasilino.it/orari-di-visita/) e ha pertanto richiesto informazioni al citato Policlinico (nota del XX, prot. n. XX), che, con nota di riscontro del XX (prot. n XX), ha rappresentato, in particolare, che:
- “La Eurosanità S.p.A., per il Policlinico Casilino, effettua la rilevazione in tempo reale della temperatura corporea e richiede l'esibizione su base volontaria della Certificazione Verde dei pazienti, derivante da esito negativo del tampone nelle 48 ore precedenti, al fine di salvaguardare la sicurezza e la salute pubblica all'interno dell'ospedale oltreché il contenimento della diffusione del virus Covid-19 negli ambienti di cura e lavoro”;
- “Qualora il paziente ne sia sprovvisto al momento dell'ingresso in Struttura, la prestazione sanitaria viene comunque sempre garantita secondo le modalità indicate nella procedura "Nota integrativa n. I del XX del XX”;
- nella richiamata “Nota integrativa” è previsto per i pazienti ambulatoriali quanto segue: “Ai pazienti che non dispongono del green pass è fornito un ulteriore appuntamento, con invito a presentarsi muniti di green pass in corso di validità, previa effettuazione di un tampone per Covid-19 nelle 48 ore precedenti. Qualora il paziente giunga al secondo appuntamento sprovvisto di green la prestazione sarà resa dal personale saniterò adottando le precauzioni previste per i pazienti privi di anamnesi certa”;
- ”L'accesso alle prestazioni ambulatoriali richieste non è stato quindi negato. Il paziente ne avrebbe potuto usufruire in tempi diversi da quelli della originale prenotazione (la quale, inevitabilmente, non riporta alla struttura alcuna informazione preventiva sullo stato del paziente), seguendo percorsi "sicuri", cioè non a contatto con altri pazienti, ed accompagnato e gestito da personale amministrativo, paramedico e medico dell'ospedale dotato dei prescritti DPI”;
- ”In ogni caso, laddove il paziente avesse ritenuto urgente l'assistenza medica (e ciò nonostante la prescrizione ambulatoriale non specificasse il regime appunto di urgenza), Egli avrebbe potuto agevolmente recarsi al pronto soccorso dell'ospedale, il cui accesso dista poche decime di metri da quello degli ambulatori”;
- “A seguito di ciò, si rappresenta che la Società ha prontamente ribadito al personale autorizzato alla verifica della certificazione verde, di informare ulteriormente i pazienti al fine di far comprendere loro le ragioni di tutela della richiesta di effettuazione del tampone preventivo all'accesso in ospedale”;
- “Nell’Informativa trattamento dati ai sensi e per gli effetti dell'art. 13 Regolamento Europeo 2016/679 - controlli e misure di contenimento necessari ad evitare il propagarsi del COVID — 19 anche mediante verifica del Green Pass”, in atti, è inoltre riportato che “Come richiesto dal Protocollo sopra rappresentato. ai sensi dell'art. 2 rubricato " Modalità di ingresso in Azienda", nonché ai sensi del Decreto Legge n. 127/2021 convertito con la Legge n.165/2021 cit. ed ulteriori disposizioni in materia emanate ed emanande, Eurosanità S.p.A prima dell'accesso da parte degli utenti e dei pazienti nei locali della Struttura, effettuerà la rilevazione in tempo reale della temperatura corporea e richiederà l'esibizione della Certificazione Verde. Ciò al fine di salvaguardare la sicurezza e la salute pubblica oltreché il contenimento della diffusione del virus Covid- 19 negli ambienti di lavoro”;
- “Per quanto concerne il controllo della certificazione verde Covid- 19 prevista ai sensi del D.L. n. 127/2021 (convertito con la Legge n. 165/2021) ed ulteriori disposizioni in materia emanate ed emanande, la base giuridica del trattamento si rinviene nel consenso (verbale) dell’interessato manifestato mediante volontaria esibizione della certificazione verde. Qualora il paziente ne fosse sprovvisto al momento dell'ingresso in Struttura, la prestazione sanitaria sarà comunque sempre garantita secondo le modalità indicate e divulgate con ogni mezzo di comunicazione web e cartellonistica presente in Struttura e/o dichiarata dall'operatore al momento della prenotazione della prestazione”.
In relazione a quanto emerso dalla documentazione in atti, l’Ufficio, ha notificato al Policlinico, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981) (nota del XX, prot. n. XX).
In tale atto, l’Ufficio ha rilevato che sull’home page del sito web del Policlinico era ancora indicato quanto segue: “DISPOSIZIONI ACCESSO OSPEDALE E POLIAMBULATORIO. A decorrere dal 15.10.2021 l’accesso ai servizi ospedalieri sarà consentito previa verifica di: Green pass; Temperatura corporea inferiore a 37,5 °C. Ai pazienti che non dispongano del green pass sarà fornito un ulteriore appuntamento al quale dovranno presentarsi muniti di green pass in corso di validità, previa effettuazione di un tampone per Covid-19”, e ha pertanto rappresentato che la richiesta di possedere la certificazione verde a tutti i pazienti diretti agli ambulatori del Policlinico risultava priva di una idonea base giuridica atteso che tale limitazione non era prevista dalla disciplina di settore vigente all’epoca dei fatti lamentati dalla segnalante e non è stata tantomeno mai disposta dalla normativa adottata nella perduranza dello stato emergenziale, ponendosi pertanto in violazione degli artt. 5, par. 1, lett. a) e b) e 9 del Regolamento, dell’art. 75 del Codice e della disciplina di settore (legge n. 87/2021, D.L. 01/04/2021, n. 44 e dPCM 17 giugno 2021).
Con nota del XX (prot. n XX), il Policlinico ha fatto pervenire le proprie memorie difensive, nell’ambito delle quali ha chiesto di essere sentita in audizione e, nell’affermare che le disposizioni oggetto di istruttoria sono allo stato cessate, ha ribadito il peculiare contesto nel quale è stato posto in essere il sistema oggetto di istruttoria, considerato, in buona fede come misura necessaria a prevenire possibili trasmissioni di infezione.
In data XX si è svolta l’audizione a distanza del Policlinico ai sensi dell’art. 166, commi 6 e 7 del Codice, in cui è stato ulteriormente ribadito che “il green pass è stato richiesto su base volontaria, in ossequio all’art. 2 bis, d.l. n. 52/20212” e che per coloro i quali non intendessero esibirlo “la prestazione (non avente carattere di urgenza) veniva comunque erogata di solito anche nell’immediatezza o comunque nelle successive ore o giorni”.
Successivamente, con nota del XX (prot. n. XX) il Policlinico ha ribadito quanto già rappresentato in atti evidenziando nuovamente che “l’art. 2-bis, 1° comma, D.L. 52/2021 pro tempore vigente dispone: “La direzione sanitaria della struttura è tenuta ad adottare le misure necessarie a prevenire possibili trasmissioni di infezione””. “Il Direttore Sanitario del Policlinico era dunque obbligato ad adottare misure di contenimento del virus. In altri termini, la legge imponeva al Direttore Sanitario di adottare puntuali prescrizioni (nessuna esclusa, tantomeno, a quanto consta, la richiesta di esibizione volontaria del green pass) per arginare il dramma del contagio, lasciando alla Direzione Sanitaria la più opportuna e ampia discrezionalità, nei limiti dei diritti disponibili, nell’individuazione dei presìdi ritenuti più efficaci. A fronte di tale norma primaria, a scopo di mera deterrenza, la Direzione Sanitaria ha introdotto, per l’accesso alle visite, la richiesta del green pass, rimettendo poi alla “coscienza” e volontà del singolo utente la concreta esibizione della predetta certificazione”.
E’ stato inoltre rappresentato che “Per la tutela delle altre persone (altri pazienti, personale, ecc.) – come brevemente rappresentato in premessa – coloro che non esibivano il green pass venivano accompagnati in percorsi dedicati, potendo comunque contare sull’effettuazione della prestazione richiesta in tempi pressoché immediati (fatte salve le esigenze di munirsi di DPI per il personale che non ne fosse già munito)”. È stato infine precisato che negli ambulatori, “se non vi fossero state le prescrizioni obbligatorie dettate dal Direttore Sanitario, i 150.000/200.000 accessi annui sarebbero dovuti rimanere senza alcun controllo”.
2. Esito dell’attività istruttoria.
Preso atto di quanto rappresentato dal Policlinico nella documentazione in atti e nelle memorie difensive, si osserva che:
ai sensi del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, il “Regolamento”), i dati personali devono essere “trattati in modo lecito corretto e trasparente” (principio di “liceità, correttezza e trasparenza”), “raccolti per finalità determinate, esplicite e legittime” («limitazione della finalità») (art. 5, par. 1, lett. a) e b), del Regolamento);
sin dalla dichiarazione dello stato di emergenza deliberato dal Consiglio dei Ministri in data 31 gennaio 2020, sono state adottate molti atti normativi d’urgenza, che contengono disposizioni anche relative al trattamento dei dati personali effettuato nell’ambito degli interventi relativi alla predetta emergenza sanitaria. Ciò premesso, si evidenzia che le disposizioni d’urgenza adottate nel corso degli ultimi mesi prevedono degli interventi emergenziali che implicano il trattamento dei dati e che sono frutto di un delicato bilanciamento tra le esigenze di sanità pubblica e quelle relative alla protezione dei dati personali, in conformità a quanto dettato dal Regolamento europeo per il perseguimento di motivi di interesse pubblico nel settore della sanità pubblica (cfr. art. 9, par. 2, lett. i), del Regolamento). Resta ovviamente fermo che il trattamento dei dati personali connesso alla gestione della predetta emergenza sanitaria deve svolgersi nel rispetto della disciplina vigente in materia di protezione dei dati personali e, in particolare, dei principi e dei limiti applicabili al trattamento, di cui all’art. 5 del Regolamento in parte sopra richiamati;
il trattamento dei dati effettuato attraverso il controllo delle certificazioni verdi si qualifica quindi come un trattamento effettuato per motivi di sanità pubblica e in quanto tale trova la relativa base giuridica nella specifica disciplina di settore e non anche sul consenso dell’interessato (cfr. art. 9, par. 2, lett. i), del Regolamento);
con specifico riferimento al trattamento dei dati effettuato attraverso le certificazioni verdi, come noto, il Garante ha reso il parere sullo schema d decreto del Presidente del Consiglio dei Ministri, che deve essere adottato, ai sensi dell’art. 9, comma 10, del d.l. n. 52/2021, di concerto con il Ministro della salute, il Ministro per l’innovazione tecnologica e la transizione digitale e il Ministro dell’economia e delle finanze, in relazione ai trattamenti dei dati personali, anche relativi alla salute, effettuati attraverso la Piattaforma nazionale digital green certificate (“Piattaforma nazionale-DGC”) per l’emissione, il rilascio e la verifica delle certificazioni verdi Covid-19 (EU Digital COVID Certificate, già Digital Green Certificate, di seguito certificazioni verdi) (provvedimento consultabile su www.gpdp.it, doc. web n. 9668064; dpcm 17 giugno 2021). Successivamente, il Garante ha rilasciato il proprio parere anche sui decreti che hanno modificato la predetta disciplina (parere del 31 agosto 2022, doc. web n. 9694010; parere dell’11 ottobre 2022, doc. web n. 9707431, parere del 18 febbraio 2022, doc. web n. 9746905). In tali pareri il Collegio dell’Autorità ha ritenuto che le certificazioni attestanti l’avvenuta vaccinazione o guarigione da Covid-19 o l’esito negativo di un test antigenico o molecolare non possano essere ritenute una condizione necessaria per consentire l’accesso a luoghi o servizi o per l’instaurazione o l’individuazione delle modalità di svolgimento di rapporti giuridici se non nei limiti in cui ciò è previsto da una norma di rango primario, nell’ambito dell’adozione delle misure di sanità pubblica necessarie per il contenimento del virus SARS-CoV-2;
con riferimento al caso di specie, si evidenzia che la disciplina di settore, richiamata anche sul sito del Ministero della salute e del Governo nel corso degli interventi normativi che si sono succeduti dopo l’entrata in vigore delle disposizioni sulle certificazioni verdi, non prevede che sia richiesta la certificazione verde per esigenze di salute, per le quali è sempre consentito l’accesso per l’approvvigionamento di farmaci e dispositivi medici e, comunque, per ogni finalità di prevenzione, diagnosi e cura (https://www.dgc.gov.it/web/per-cosa-serve.html#strutture);
a ciò si aggiunga che la normativa vigente all’epoca dei fatti prevedeva che fosse consentito permanere nelle sale di attesa dei dipartimenti d'emergenza e accettazione dei reparti di pronto soccorso nonché dei reparti delle strutture ospedaliere entri di diagnostica, dei poliambulatori specialistici solo agli accompagnatori dei pazienti non affetti da Covid-19, muniti delle certificazioni verdi, nonché agli accompagnatori dei pazienti in possesso del riconoscimento di disabilità con connotazione di gravità (art. 2- bis decreto legge 22 aprile 2021, n. 52 e dPCM 21 gennaio 2022). Salvi i casi di oggettiva impossibilità dovuta all’urgenza, valutati dal personale sanitario, per l’accesso alle prestazioni di pronto soccorso era inoltre sempre necessario sottoporsi contestualmente al test antigenico rapido o molecolare (art. 2-bis del decreto-legge 22 aprile 2021, n. 52);
gli accompagnatori dei pazienti in possesso del riconoscimento di disabilità con connotazione di gravità ai sensi dell'articolo 3, comma 3, della legge 5 febbraio 1992, n. 104, è stato inoltre sempre consentito di accedere e permanere nelle sale di attesa dei dipartimenti d'emergenza e accettazione e dei reparti di pronto soccorso nonché dei reparti delle strutture ospedaliere, dei centri di diagnostica e dei poliambulatori specialistici. Agli stessi accompagnatori era sempre consentito, inoltre, prestare assistenza, anche nel reparto di degenza, nel rispetto delle indicazioni del direttore sanitario della struttura;
dal 1° aprile 2022, considerata la fine dello stato di emergenza, l’accesso degli utenti e dei loro accompagnatori a strutture sanitarie, sociosanitarie e studi medici, pubblici o privati, per ogni finalità di prevenzione, diagnosi e cura è consentito senza dover esibire la propria certificazione verde. Resta invece necessario esibire la certificazione verde c.d. “BASE” (vaccinazione, guarigione, tampone) per la permanenza degli accompagnatori dei pazienti non affetti da Covid-19 nelle sale di attesa dei dipartimenti di emergenza e accettazione, dei reparti di pronto soccorso e dei reparti delle strutture ospedaliere, dei centri diagnostici e dei poliambulatori specialistici e per la permanenza nelle strutture sanitarie e sociosanitarie degli accompagnatori di pazienti con disabilità gravi o di soggetti affetti da Alzheimer o altre demenze o deficit cognitivi certificati (cfr. tabella redatta dal Governo - all. 1);
a decorrere dal 10 marzo 2022 e fino al 31 dicembre 2022, per l’accesso dei visitatori ai reparti di degenza delle strutture ospedaliere è consentito altresì l'accesso con la certificazione verde COVID-19 c.d. rafforzata (rilasciata a seguito della somministrazione della dose di richiamo successiva al ciclo vaccinale primario) e in taluni casi anche unitamente ad una certificazione che attesti l'esito negativo del test antigenico rapido o molecolare, eseguito nelle quarantotto ore precedenti l'accesso (art. 1 bis, comma 1 sexies, D.L. 01/04/2021, n. 44). Ai direttori sanitari è data facoltà di adottare misure precauzionali più restrittive in relazione allo specifico contesto epidemiologico, garantendo comunque un accesso minimo giornaliero non inferiore a quarantacinque minuti (comma aggiunto dall'art. 7, comma 1, lett. b), D.L. 24 dicembre 2021, n. 221, convertito, con modificazioni, dalla L. 18 febbraio 2022, n. 11, e, successivamente, così modificato dall'art. 7, comma 2, lett. b), D.L. 24 marzo 2022, n. 24);
l’Autorità ha più volte evidenziato che la competenza in merito all’introduzione di misure di limitazione dei diritti e delle libertà fondamentali che implichino il trattamento di dati personali ricade nelle materie assoggettate alla riserva di legge statale (Corte cost., sent. 271/2005 sulla riserva di legge statale sulla protezione dati; Corte cost., sent. 37/21), richiamando anche quanto indicato dalla Corte Costituzionale, secondo cui “la pandemia in corso ha richiesto e richiede interventi rientranti nella materia della profilassi internazionale di competenza esclusiva dello Stato ai sensi dell’art. 117, secondo comma, lettera q), Cost.” (Ordinanza della n. 4/21) (provvedimenti del 25 maggio 2021, doc. web n. 9590466 e del 18 giugno 2021, doc. web n. 9671917);
il Garante ha inoltre più volte ritenuto che la limitazione delle libertà personali effettuata anche attraverso il trattamento di dati sulla salute degli interessati e realizzata mediante la previsione di subordinare l’accesso a luoghi e a servizi al possesso di una certificazione attestante l’avvenuta vaccinazione o guarigione da Covid-19, o l’esito negativo di un test antigenico o molecolare, è ammissibile infatti solo se prevista da una norma di legge statale (artt. 6, par. 2, e 9 del Regolamento e artt. 2-ter e 2-sexies del Codice in materia di protezione dei dati personali, Considerando n. 48 del Regolamento del Parlamento europeo e del Consiglio sull’EU digital COVID certificate adottato il 14 giugno 2021; cfr. anche Corte cost., sent. 271/2005 sulla riserva di legge statale sulla protezione dati; Corte cost., sent. 37/2021, cfr. anche citato provvedimento del 9 giugno 2021);
l’Autorità ha infatti ritenuto che le certificazioni attestanti l’avvenuta vaccinazione o guarigione da Covid-19, o l’esito negativo di un test antigenico o molecolare, non possano essere ritenute una condizione necessaria per consentire l’accesso a luoghi o servizi se non nei limiti in cui ciò sia previsto da una norma di rango primario. Sul punto, si evidenzia che la Corte Costituzionale nella sentenza n. 164/2022 ha ribadito la “competenza esclusiva statale in tema di profilassi internazionale (art. 117, secondo comma, lettera q, Cost.),” e che “l’art. 9, comma 10-bis, del d.l. n. 52 del 2021, come convertito, stabilisce che «[o]gni diverso o nuovo utilizzo delle certificazioni verdi COVID-19 è disposto esclusivamente con legge dello Stato», così confermando espressamente, con previsione aggiunta in sede di conversione in legge, quanto già deducibile dal comma 10 precedente, che affida la regolamentazione della richiamata Piattaforma nazionale-DGC ad un d.P.C.M”. In tale sentenza la Corte ha infine riconosciuto che “spetta allo Stato, e per esso al Garante per la protezione dei dati personali, limitare in via definitiva il trattamento dei dati connessi all’impiego della certificazione verde”;
al riguardo, si rappresenta che il testo del decreto-legge 22 aprile 2021, n. 52 (in G.U. n. 96 del 22 aprile 2021), coordinato con la legge di conversione 17 giugno 2021, n. 87 recante: «Misure urgenti per la graduale ripresa delle attività economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell'epidemia da COVID-19» (in G.U. n. 146 del 21-06-2021) prevede espressamente che le certificazioni verdi possono essere utilizzate esclusivamente ai fini di cui agli articoli 2, comma 1, 2-bis, comma 1, 2-quater, 5, 9 -bis, 9-bis.1, 9-quinquies, 9-sexies e 9-septies del predetto decreto, nonché all'articolo 1-bis del decreto-legge 1° aprile 2021, n. 44, nell’ambito del quale ricadono le previsioni relative al settore sanitario sopra richiamate (art. 9, comma 10-bis, legge n. 87/2021);
in relazione ad alcune iniziative locali nell’ambito delle quali veniva richiesta l’esibizione delle certificazioni verdi nel contesto sanitario anche per finalità diverse da quelle tassativamente previste dalla norma citata, questo Ufficio, con nota del XX (prot. XX) allegata in copia (all. n. 2), ha richiamato l’attenzione delle Regioni e della Conferenza Stato Regioni sulla necessità di soprassedere dall’adottare o dal dare attuazione ad iniziative territoriali che prevedano l’uso delle certificazioni verdi per finalità ulteriori e con modalità difformi rispetto a quelle espressamente previste dalla legge nazionale. In tale occasione è stato fatto inoltre presente che, con riferimento ai predetti eventuali trattamenti, l’Autorità si riservava ogni valutazione in ordine all’adozione di provvedimenti finalizzati ad imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento (art. 58, par. 2, lett. f) del Regolamento).
un sistema non coordinato a livello nazionale per la verifica delle certificazioni verdi rischia di compromettere l’efficienza dell’intera misura non potendo assicurare l’esattezza e l’aggiornamento dei dati (art. 5, par. 1, lett. d) del Regolamento), nonché la possibilità per l’interessato di utilizzare la predetta certificazione su tutto il territorio nazionale;
nel contemperamento tra la tutela dei diritti degli interessati e la tutela della salute dei pazienti, va tenuto in considerazione che, ad oggi, non è stata effettuata alcuna mappatura dell’intera popolazione in merito al contagio da Covid-19. Pertanto, coerentemente a quanto raccomandato dall’ISS, fino al perdurare della diffusione del virus Sars Cov 2, le misure di protezione individuale devono essere adottate in occasione di ogni visita, in quanto lo stato di positività al Coronavirus del visitatore potrebbe non essere stata ancora accertata. Si rappresenta inoltre che il possesso della certificazione verde non attesta la negatività al virus. Pertanto si evidenzia la non proporzionalità della misura adottata dal Policlinico secondo cui il personale viene dotato di specifici dispositivi di protezione individuale solo se in contatto con i soggetti che non presentino le certificazioni verdi. Tale misura, unitamente alla previsione di percorsi differenziati per tali pazienti, oltre a non rispettare le indicazioni nazionali, rischia infatti di discriminare gli stessi.
3. Conclusioni.
Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Per tali ragioni, si rileva l’illiceità del trattamento di dati personali effettuato al Policlinico Casilino, nei termini di cui in motivazione, in violazione degli artt. 5, par.1, lett. a) e b), e 9 del Regolamento, dell’art. 75 del Codice e della disciplina di settore (legge n. 87/2021, D.L. 01/04/2021, n. 44 e dPCM 17 giugno 2021).
In tale quadro, fermo restando che il Policlinico ha dichiarato di aver modificato le procedure per l’accesso degli interessati alle prestazioni ambulatoriali, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.
4. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).
La violazione degli artt. 5, par.1, lett. a) e b), e 9 del Regolamento, dell’art. 75 del Codice e della disciplina di settore (legge n. 87/2021, D.L. 01/04/2021, n. 44 e dPCM 17 giugno 2021), causata dalla condotta posta in essere dal Policlinico, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, del Regolamento e dell’art. 166, comma 2 del Codice.
Si consideri che il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i), e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).
La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 85, par. 2, del Regolamento in relazione ai quali si osserva che:
l’Autorità ha preso conoscenza dell’evento a seguito di una segnalazione (art. 83, par. 2, lett. h), del Regolamento);
il trattamento, che si è protratto fino al mese di giugno 2022, riguarda potenzialmente dati idonei a rilevare informazioni sulla salute di un numero significativo di interessati (150.000/200.000 accessi ambulatoriali) (art. 83, par. 2, lett. a) e g), del Regolamento);
l’Autorità è già intervenuta sul tema con i numerosi provvedimenti citati nel presente provvedimento (art. 83, par. 2, lett. a) del Regolamento);
il Policlinico ha cooperato al fine di porre rimedio alla violazione (art. 83, par. 2, lett. f) del Regolamento);
il Policlinico ha asserito di aver operato in buona fede al fine di tutelare lo stato di salute dei pazienti e dei professionisti sanitari (art. 83, par. 2, lett. k), del Regolamento);
il Policlinico è stato già destinatario di un provvedimento sanzionatorio per la violazione degli artt. 5 e 9 del Regolamento seppur attinente ad una eterogenea fattispecie (provvedimento del 21 aprile 2021, n. 148, doc. web n. 9675228) (art. 83, par. 2, lett. e), del Regolamento).
In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a), del Regolamento, nella misura di 30.000 euro (trentamila) per la violazione degli artt. 5, par.1, lett. a) e b), e 9 del Regolamento, dell’art. 75 del Codice e della disciplina di settore (legge n. 87/2021, D.L. 01/04/2021, n. 44 e dPCM 17 giugno 2021), quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.
Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e dall’art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
TUTTO CIÒ PREMESSO IL GARANTE
dichiara l’illiceità del trattamento di dati personali effettuato dal Policlinico Casilino di Roma per la violazione degli artt. 5, par.1, lett. a) e b), e 9 del Regolamento, dell’art. 75 del Codice e della disciplina di settore (legge n. 87/2021, D.L. 01/04/2021, n. 44 e dPCM 17 giugno 2021) nei termini di cui in motivazione.
ORDINA
ai sensi degli artt. 58, par. 2, lett. i), e 83 del Regolamento, nonché dell’art. 166 del Codice, al Policlinico Casilino di Roma, C.F. e P.I. 06726891002, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 30.000 (trentamila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.
INGIUNGE
alla predetta Azienda, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 30.000 (trentamila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.
DISPONE
ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento.
ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 20 ottobre 2022
IL PRESIDENTE
Stanzione
IL RELATORE
Cerrina Feroni
IL VICE SEGRETARIO GENERALE
Filippi
