g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Azienda ULSS n.5 Polesana - 26 gennaio 2023 [9861289]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9861289]

Ordinanza ingiunzione nei confronti di Azienda ULSS n.5 Polesana - 26 gennaio 2023

Registro dei provvedimenti
n. 26 del 26 gennaio 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito il “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante il “Codice in materia di protezione dei dati personali”, contenente disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito il “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. La notifica di violazione e l’attività istruttoria

Con comunicazione del XX, integrata con successiva nota del XX, l’Azienda ULSS n.5 Polesana, sita in Rovigo, Viale Tre Martiri 89, c.a.p. 45100 – C.F. 01013470297, PEC: protocollo.aulss5@pecveneto.it. (di seguito “Azienda”) ha notificato, ai sensi dell’art. 33 del Regolamento, una violazione di dati personali avente ad oggetto una comunicazione di dati relativi alla salute a soggetto terzo non autorizzato.

In particolare, l’Azienda, in ordine a tale accadimento, ha dichiarato che, “la cartella clinica è stata consegnata in data XX. Con pec del XX il paziente ha comunicato che la copia di cartella clinica consegnata conteneva documentazione non riconducibile a sé stesso. Solo successivamente (in data XX), a restituzione di copia della cartella clinica, si è potuto verificare che la documentazione sanitaria riconducibile a soggetto diverso, riportava il nominativo del soggetto terzo”.

L’Azienda ha, inoltre, precisato che dalla verifica effettuata dalla Direzione Medica dell’Ospedale di Rovigo “è emersa la presenza della seguente documentazione appartenente ad un soggetto terzo: n. 30 pagine di cartella clinica di cui n. 3 pagine riconducibili al diario clinico, n. 15 riconducibili alle terapie prescritte ed eseguite e n. 12 pagine riconducibili allo storico delle diarie mediche e delle terapie prescritte e somministrate (sovrapponibile per contenuti al diario clinico e terapie prescritte e somministrate, con specifica di data e orario di compilazione da parte del personale sanitario)”.

Quali misure tecniche e organizzative adottate (o di cui si propone l’adozione) per prevenire simili violazioni future, oltre alla richiesta della restituzione di tutta la documentazione consegnata, dall’Azienda sono state indicate: “Aggiornamento della procedura interna di rilascio della cartella clinica, accompagnato da una checklist di controllo da compilare a campione per la verifica della integrità delle singole cartelle cliniche. Richiesta a chiunque abbia un ruolo nel processo di confezionamento della cartella clinica di consegnare al Direttore della U.O.C. la cartella clinica di cui sia stata richiesta copia prima della riproduzione affinché lo stesso ne possa controllare ulteriormente la completezza e corretta composizione. Inoltre verrà previsto un corso di specifica formazione da far seguire a tutti gli addetti alla collazione e completamento, movimentazione e riproduzione delle cartelle cliniche”.

Sulla base di quanto rappresentato dal titolare del trattamento nell’atto di notifica di violazione nonché delle successive valutazioni, l’Ufficio, con atto del XX (prot. n. XX), ha notificato all’Azienda, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del Regolamento.

In particolare, l’Ufficio, nel predetto atto ha rilevato che l’Azienda ha effettuato - mediante l’inserimento di documentazione sanitaria di un paziente in una cartella clinica relativa a diverso paziente e a quest’ultimo consegnata - una comunicazione di dati personali e relativi alla salute in assenza di un idoneo presupposto giuridico in violazione dei principi di base del trattamento di cui agli artt. 5 e 9 del Regolamento e degli obblighi in materia di sicurezza di cui all’art. 32 del Regolamento medesimo.

In relazione a ciò, l’Ufficio ha, altresì, invitato tale titolare del trattamento a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

Con nota del XX (prot. n. XX), l’Azienda ha prodotto una memoria difensiva, nella quale, oltre a quanto rappresentato nell’atto di notifica di violazione, ha evidenziato, fra altro, che:

- “i fatti oggetto della vicenda si sono svolti all’interno dell'Ospedale di Trecenta, all’epoca (e tutt'ora) individuato quale Covid Hospital per la Provincia di Rovigo, con un numero di 72 posti letto destinati alla cura di pazienti che hanno richiesto un elevato impegno assistenziale e organizzativo. Data la tipologia dei pazienti ricoverati, al fine di preservare la sicurezza degli operatori (sia di quelli tenuti alla compilazione della cartella clinica, sia di quelli che poi avrebbero dovuto gestirne la conservazione e l'eventuale estrazione di copia su richiesta), la sezione di cartella compilata all’interno del reparto e, quindi, a stretto contatto con i pazienti, veniva conservata, per un certo periodo di tempo, in uno spazio separato rispetto a quello in cui veniva compilata e conservata la restante parte di cartella prima dell'invio alla Direzione Medica per la successiva archiviazione. Solo in un momento successivo le due sezioni della cartella clinica venivano assemblate e confluivano nella cartella clinica ospedaliera del paziente. Questa particolare tipologia di “percorso” della cartella clinica può aver influito sulla commissione dell'errore umano/materiale poi verificatosi”; 

- “Per effetto dell’evolversi dell'emergenza pandemica, tale prassi operativa straordinaria di gestione separata della cartella clinica è stata superata in quanto ritenuta non più necessaria e comunque la procedura della complessiva gestione della cartella clinica (…) è stata revisionata”; 

- “(…) a seguito della segnalazione l’Ufficio Ritiro Referti ha contattato il paziente affinché riconsegnasse l’intera cartella clinica ricevuta, comprensiva della documentazione relativa a diverso paziente; e in data XX la moglie del segnalante, munita di delega, ha provveduto a restituire l’intero plico della documentazione sanitaria ricevuta ed a ritirare la cartella clinica del marito. (…) Il segnalante, oltre ad aver restituito l’intera documentazione ricevuta in copia, ha confermato telefonicamente a questa Azienda di non averne estratto ulteriori copie e che avrebbe osservato il massimo riserbo in ordine alle informazioni eventualmente apprese”;

- “La violazione ha riguardato un solo interessato (un paziente della scrivente Azienda), ha coinvolto dati di natura comune e dati di natura particolare (in quanto relativi alla salute) ed ha cessato i propri effetti già alla data della notificazione preliminare, inoltrata a codesta Autorità in data pari a quella in cui il segnalante ha restituito la documentazione”;

- “Questa Azienda da tempo adotta misure per evitare eventi come quello oggetto della violazione: in particolare sono state adottate procedure ed organizzati corsi di formazione riguardanti la corretta compilazione e gestione delle cartelle cliniche. L'efficacia di tali misure è confermata dalla circostanza che la violazione dei dati personali in questione risulta essere la prima ad essersi verificata con riguardo al rilascio di copie di cartelle cliniche ed è, altresì, riconducibile ad un mero errore umano, peraltro verificatosi in uno stato di emergenza pandemica con inevitabili ricadute anche sull’organizzazione aziendale”;

- “La procedura operativa riguardante le modalità di verifica della completezza della cartella clinica è stata aggiornata in data XX — a pochi giorni di distanza dalla rilevazione dell'evento — anche al fine di prevedere diversi livelli di controllo delle cartelle, così da limitare ulteriormente la probabilità che eventi come quello in questione si ripetano. La citata procedura prevede che la verifica della completezza della cartella clinica sia affidata al controllo incrociato del Direttore/Responsabile e del Coordinatore Infermieristico dell'unità operativa presso cui il paziente è ricoverato, i quali dovranno verificare la presenza dei diversi documenti all’interno della cartella clinica mediante la compilazione e sottoscrizione della relativa check-list, ciascuno per la parte di propria competenza. In caso di mancata compilazione della citata check-list, la cartella clinica non potrà essere presa in custodia dall'Archivio Cartelle Cliniche. Da ultimo si è previsto un controllo successivo a campione sulla conformità delle cartelle cliniche depositate in Archivio Cartelle Cliniche”;

- “Nel corso dei mesi di XX, l'Azienda ha tenuto nell’ambito del proprio programma formativo, uno specifico evento ripetuto in quattro diverse date, concernente “La sicurezza clinica a tutela della responsabilità: nozioni di rischio clinico e di medicina legale”, in cui è stato affrontato anche il tema della gestione della documentazione sanitaria e delle informazioni cliniche”.

In ultimo, l’Azienda, per i motivi sopra esposti, ha richiesto l’archiviazione del procedimento o, in subordine, “l’applicazione della sanzione minima ritenuta necessaria”.

2. Esito dell’attività istruttoria

Preso atto di quanto rappresentato e documentato nel corso del procedimento istruttorio dalla Azienda, con gli atti di notifica di violazione e, successivamente, con la memoria difensiva prodotta a seguito dell’atto notificato dall’Autorità medesima, ai sensi dell’art. 166, si osserva che:

1. il trattamento di dati personali deve avvenire nel rispetto della normativa applicabile in materia di protezione dei dati personali e, in particolare, delle disposizioni del Regolamento e del Codice. Con particolare riferimento alla questione prospettata, si evidenzia che sono qualificabili “dati relativi alla salute” “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, n. 15 del Regolamento) e che, pertanto, le informazioni oggetto della notifica costituiscono dati relativi alla salute;

2. la disciplina in materia di protezione dei dati personali prevede - in ambito sanitario – che le informazioni sullo stato di salute possano essere comunicate unicamente all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o previa delega scritta dell’interessato (art. 9 Regolamento e art. 84 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101);

3. il titolare del trattamento è, in ogni caso, tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di «integrità e riservatezza», secondo il quale i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (art. 5, par. 1, lett. f) del Regolamento);

4. l’adeguatezza di tali misure deve essere valutata da parte del titolare del trattamento rispetto alla natura dei dati, all’oggetto, alle finalità del trattamento e al rischio per i diritti e le libertà fondamentali degli interessati, tenendo conto dei rischi che derivano dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso a dati personali trasmessi, conservati o comunque trattati (art. 32, par. 1 e 2 del Regolamento).

5. l’Azienda ha confermato, nella memoria difensiva, l’avvenuta comunicazione dei dati relativi alla salute di n. 1 paziente interessato ad altro paziente non autorizzato a riceverli e ha, altresì, evidenziato che si è trattato di un caso isolato nel rilascio di copia della cartella clinica, avvenuto a causa di un errore umano. Inoltre, ha ribadito che, appena venuta a conoscenza dell’accadimento da tale terzo destinatario ha chiesto a quest’ultimo, e ottenuto, la riconsegna dell’intera cartella clinica ricevuta, nonché la conferma del massimo riserbo in ordine alle informazioni eventualmente apprese e che nei giorni immediatamente successivi alla rilevazione dell’evento ha provveduto ad aggiornare la procedura operativa relativa alle modalità di verifica della completezza della cartella clinica e organizzato eventi formativi per il personale in materia di gestione della documentazione medica.

3. Conclusioni

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell'art. 168 del Codice (“Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”)˗ si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni si confermano le valutazioni preliminari dell’Ufficio e si accerta l’illiceità del trattamento di dati personali effettuato dalla Azienda per aver posto in essere - mediante l’inserimento di documentazione sanitaria di un paziente in una cartella clinica relativa a diverso paziente e a quest’ultimo consegnata - una comunicazione di dati personali e relativi alla salute in assenza di un idoneo presupposto giuridico in violazione dei principi di base del trattamento di cui agli artt. 5, par. 1, lett. a) ed f) e 9 del Regolamento e degli obblighi in materia di sicurezza di cui all’art. 32 del Regolamento medesimo.

La violazione delle predette disposizioni rende applicabile, ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, la sanzione amministrativa prevista dall’art. 83, par. 4, lett. a) e par. 5, lett. a) del medesimo Regolamento, come richiamato anche dall’art. 166, comma 1 e 2, del Codice.

In tale quadro, considerando, in ogni caso, che l’Azienda ha dichiarato che, appena venuta a conoscenza dell’accadimento dal terzo destinatario non autorizzato, ha chiesto a quest’ultimo, e ottenuto, la riconsegna dell’intera cartella clinica ricevuta oltre alla conferma del massimo riserbo in ordine alle informazioni eventualmente apprese e che, nei giorni immediatamente successivi alla rilevazione dell’evento, ha provveduto ad aggiornare la procedura operativa relativa alle modalità di verifica della completezza della cartella clinica e organizzato eventi formativi per il personale in materia di gestione della documentazione medica, non ricorrono i presupposti per l’adozione di provvedimenti, di tipo prescrittivo o inibitorio, di cui all’art. 58, par. 2 del Regolamento.

4. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, par. 1, lett. a) ed f), 9 e 32 del Regolamento causata dalla condotta posta in essere dalla Azienda, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 4, lett. a) e par. 5, lett. a) del Regolamento e 166, commi 1 e 2, del Codice.

Si consideri che il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2, del Regolamento in relazione ai quali si osserva che:

- la comunicazione effettuata dalla Azienda ha riguardato dati relativi alla salute di un solo paziente (art. 83, par. 2, lett. a) e g) del Regolamento);

- si è trattato di un caso isolato e rispetto alla vicenda non emerge alcun comportamento doloso da parte del titolare del trattamento essendo la violazione avvenuta per errore dell’operatore (cfr. memoria difensiva, del XX - prot. n. XX: “la violazione dei dati personali in questione risulta essere la prima ad essersi verificata con riguardo al rilascio di copie di cartelle cliniche ed è, altresì, riconducibile ad un mero errore umano, peraltro verificatosi in uno stato di emergenza pandemica con inevitabili ricadute anche sull’organizzazione aziendale”) (art. 83, par. 2, lett. b) del Regolamento);

- nei confronti della Azienda sanitaria medesima non sono stati in precedenza adottati provvedimenti riguardanti violazioni pertinenti (art. 83, par. 2, lett. e) del Regolamento);

- l’Azienda ha tenuto un comportamento collaborativo con l’Autorità (art. 83, par. 2, lett. f) del Regolamento);  

- l’Azienda si è attivata prontamente nell’adozione di misure volte a scongiurare il ripetersi dell’accaduto (art. 83, par. 2, lett. f) del Regolamento);

- l’Azienda sanitaria, venuta a conoscenza della violazione a seguito della comunicazione da parte del destinatario della documentazione, non autorizzato a riceverla, ha provveduto a notificare tempestivamente e autonomamente tale violazione all’Autorità ai sensi dell’art. 33 del Regolamento (art. 83, par. 2, lett. h) del Regolamento);

- la condotta è maturata anche nell’ambito delle modifiche della gestione delle procedure di compilazione differenziata della cartella clinica, come sopra descritto, determinate da specifiche esigenze di sicurezza degli operatori, dovute al contesto emergenziale derivante dall’epidemia da Covid-19 (art. 83, par. 2, lett. k) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, nella misura di euro 5.000,00 (cinquemila) per la violazione degli artt. 5, par. 1, lett. f), 9 e 32 del Regolamento quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che, in ragione della natura dei dati oggetto dell’illecito trattamento, debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dall’Azienda ULSS n.5 Polesana, sita in Rovigo, Viale Tre Martiri 89, c.a.p. 45100 – C.F. 01013470297 per la violazione degli artt. 5, par. 1, lett. f), 9 e 32 del Regolamento nei termini di cui in motivazione;

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, alla citata Azienda, di pagare la somma di euro 5.000,00 (cinquemila) a titolo di sanzione amministrativa pecuniaria per la violazione indicata nel presente provvedimento; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Azienda sanitaria, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 5.000,00 (cinquemila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 26 gennaio 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei