g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Azienda Ospedaliero Universitaria Senese - 27 gennaio 2021 [9544457]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

VEDI ANCHE NEWSLETTER DEL 19 FEBBRAIO 2021

 

[doc. web n. 9544457]

Ordinanza ingiunzione nei confronti di Azienda Ospedaliero Universitaria Senese - 27 gennaio 2021

Registro dei provvedimenti
n. 29 del 27 gennaio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vice presidente, il dott. Agostino Ghiglia, l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. La violazione dei dati personali.

L’Azienda Ospedaliero Universitaria Senese (di seguito Azienda) ha inviato all’Autorità una comunicazione relativa a violazione di dati personali ai sensi dell’art. 33 del Regolamento, in quanto, “a causa di un errore materiale in fase di imbustamento, soggetti terzi hanno ricevuto per posta presso la loro residenza, un relazione medica cartacea riferita ad altri soggetti interessati” (comunicazioni del 5 luglio 2018, prot. n. 26398 e del 25.1.2019 - prot. n. 3726, integrata con nota 7.2.2019). Secondo quanto comunicato, l’Azienda è venuta a conoscenza di tale errato invio dal soggetto cui è stata erroneamente trasmessa la predetta relazione relativa ad una “consulenza genetica” effettuata dall’UOC di Genetica. Secondo quando indicato nella predetta comunicazione, tale relazione “non contiene dati genetici (non è stato effettuato alcun prelievo di campione biologico degli interessati)”, bensì “dati relativi alla salute e alla vita sessuale di due persone fisiche e informazioni sulla salute dei loro familiari, non identificati direttamente, ma “citati per rapporto di parentela”.

Al riguardo, è stato inoltre rappresentato che:

-  “il documento cartaceo erroneamente consegnato ai terzi segnalanti è stato recuperato presso la loro residenza il 3/10 e il 4/10/2019 consegnato al direttore della struttura aziendale UOC Genetica medica”;

- “si è inteso modificare la collocazione fisica dell’operatore addetto alla spedizione delle relazioni mediche (…) in altro spazio più idoneo all’interno della struttura per ridurre al minimo il rischio di errore”;

- “si è provveduto all’acquisizione di un indirizzo di posta elettronica certificata di reparto per invio sicuro (…) in sostituzione dell’invio cartaceo ove possibile e alla generazione di codici a barre specifici per pazienti”.

2. L’attività istruttoria.

L’Ufficio, con atto n. 36542 del 24 ottobre 2019, con riferimento alle specifiche situazioni di illiceità in esso richiamate, ha notificato all’Azienda, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, paragrafo 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

In particolare l’Ufficio, nel predetto atto, ha ritenuto che la violazione di dati personali notificata al Garante ai sensi dell’art. 33 del Regolamento, abbia rilevato la sussistenza di elementi idonei a configurare da parte dell’Azienda la violazione dell’art. 9 del Regolamento, anche alla luce dei principi di integrità e riservatezza richiamati nell’atto (art. 5, par. 1, lett. f) del Regolamento), rappresentando che la condotta descritta nella comunicazione di violazione (invio di una relazione medica, effettuata nell’ambito di una consulenza genetica, contenente dati sulla salute e sulla vita sessuale degli interessati a terzi) integra una comunicazione di dati relativi alla salute a terzi in assenza di un idoneo presupposto giuridico.

Con nota del 13 novembre 2019 (prot. n. 24111), l’Azienda, ha fatto pervenire le proprie memorie difensive, in cui, in particolare, è stato rappresentato che:

- “In attesa di svolgere l'audit, ad una prima verifica dell'accaduto, veniva constatato che la relazione medica della consulenza effettuata dai coniugi Sig.ri X/Y non era stata inviata, come richiesto nel consenso sottoscritto, ma risultava archiviata nella cartella ambulatoriale. In data 27/09/2019 si è provveduto all'invio. Il 30/09/2019 ne è stata data comunicazione agli interessati per posta elettronica e nella stessa data il medico che aveva effettuato la consulenza genetica ha contattato la Sig.ra Y per chiarire quanto accaduto, scusandosene e comunicando altresì di aver provveduto all'invio della relazione medica. Nel corso della telefonata sono stati presi accordi sulle modalità con le quali l' Azienda potesse rientrare in possesso della relazione sanitaria non di loro pertinenza, stante la necessità di non coinvolgere ulteriori soggetti esterni non legittimati e proponendo il ritiro del referto a mezzo di un corriere appositamente inviato dall'Azienda al quale consegnare il documento, in busta chiusa, indirizzata al Direttore UOC Genetica Medica, restando da confermare la data e l'ora del ritiro secondo le disponibilità dei Sig.ri X/Y”;

- “In data 2/10/2019 si è tenuto l'audit in presenza del Clinical Risk Manager, oltre che del Direttore della UOC Genetica Medica, ed altro personale della stessa unità operativa. Nel corso dell'audit è intervenuto il Direttore UOC Medicina Legale e si sono ricostruite le dinamiche dell'accaduto, analizzate le cause e definite le azioni correttive. In particolare è stato ipotizzato che verosimilmente ai Sig.ri X/Y, anziché la loro relazione medica, sia stata erroneamente inviata una seconda copia della relazione medica riferita ad altri due interessati, Sig.ri S/Z”;

- “In data 3/10/2019 i Sig.ri X/Y hanno consegnato, alle 18.30, al corriere inviato dall'Azienda in busta chiusa, la relazione medica erroneamente ricevuta, che è stata recapitata il 4/10/2019 al Direttore UOC Genetica Medica, la quale ha potuto accertare trattarsi della relazione medica effettivamente riferita, come ipotizzato in sede di audit, ai Sig.ri S/Z”;

- “Infine, il 23/10/2019, con lettera raccomandata (prot. AOUS n. 22273 del 23/10/2019) il Titolare ha fornito risposta ai Sig.ri X/Y alla loro richiesta del 26/9/2019 di accesso ai dati personali, ai sensi dell'art. 15 del Regolamento UE 2016/679, nei termini previsti di trenta giorni dalla ricezione della richiesta stessa”;

- “L'Azienda ha immediatamente riconosciuto l'errore e la necessità di acquisire tutte le informazioni utili per circostanziare l'evento, limitarne i potenziali effetti negativi, in particolare la perdita di riservatezza dei dati personali protetti da segreto professionale riferiti ai Sig.ri S/Z, i cui dati personali e particolari ex art. 9 del Regolamento UE 2016/679 sono stati - per mero errore materiale e involontario - resi noti a terzi non legittimati”;

- “Oltre a provvedere agli adempimenti previsti dalla normativa in termini di istruttoria e piena conoscenza della violazione dati personali, il personale medico della UOC Genetica Medica ha contattato i soggetti coinvolti (Sig.ri X/Y e Sig.ri S/Z) al fine di rendere note le circostanze di quanto accaduto, analizzarne le cause, adottare le misure organizzative immediate per limitare gli effetti negativi e pianificando le ulteriori misure tecniche e organizzative ritenute necessarie per ridurre al minimo l'errore umano”;

- “la violazione di dati personali è avvenuta per errore materiale involontario (errore imbustamento della relazione medica in una busta riportante l'indirizzo di residenza di soggetti terzi) e non presenta i caratteri del dolo”.

3. Esito dell’attività istruttoria.

Preso atto di quanto rappresentato dall’Azienda nella documentazione in atti e nelle memorie difensive, si osserva che:

- la disciplina in materia di protezione dei dati personali prevede –in ambito sanitario- che le informazioni sullo stato di salute possano essere comunicate solo all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso previa delega scritta di quest’ultimo (art. 9 Regolamento e art. 83 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101; cfr. anche provv. generale del 9 novembre 2005, consultabile in www.gpdt.it, doc. web n. 1191411, ritenuto compatibile con il suddetto Regolamento e con le disposizioni del decreto n. 101/2018; cfr. art. 22, comma 4, del citato d.lgs. n. 101//2018).

- il Regolamento, stabilisce inoltre che i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)” (art. 5, par. 1, lett. f), del Regolamento);

- l’invio di una relazione medica, effettuata nell’ambito di una consulenza genetica, contenente dati sulla salute e sulla vita sessuale degli interessati, ha determinato una comunicazione dei predetti dati a terzi in assenza di un idoneo presupposto giuridico.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni si rileva l’illiceità del trattamento di dati personali effettuato dall’Azienda Ospedaliero Universitaria Senese, nei termini di cui in motivazione, in violazione degli artt. 5 par. 1, lett. f) e 9 del Regolamento.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che l’Azienda ha dichiarato che i documenti erroneamente consegnati a terzi sono stati restituiti e di aver pianificato le ulteriori misure tecniche e organizzative ritenute necessarie per ridurre al minimo l’errore umano, non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, par. 2, lett. f) e 9 del Regolamento, causata dalla condotta posta in essere dall’Azienda Ospedaliero Universitaria Senese, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par.5, del Regolamento.

Si consideri che il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 85, par. 2, del Regolamento in relazione ai quali si osserva che:

l’Autorità ha preso conoscenza dell’evento a seguito della notifica di violazione dei dati personali effettuata dallo stesso titolare e non sono pervenuti reclami o segnalazioni al Garante sull’accaduto (art. 83, par. 2, lett. a) e h) del Regolamento);

il trattamento dei dati effettuato dall’Azienda riguarda dati idonei a rilevare informazioni sulla salute di un numero esiguo di interessati (art. 4, par. 1, n. 15 del Regolamento e art. 83, par. 2, lett. a) e g) del Regolamento);

l’episodio risulta isolato e caratterizzato dall’assenza di elementi di volontarietà da parte dell’Azienda nella causazione dell’evento (art. 83, par. 2, lett. b) del Regolamento);

l’Azienda ha fin da subito dimostrato un elevato grado di cooperazione (art. 83, par. 2, lett. c), d) e f) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, tenendo anche conto della fase di prima applicazione delle disposizioni sanzionatorie ai sensi dell’art. 22, comma 13, del d. lgs. 10/08/2018, n. 101, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, nella misura di euro 10.000 (diecimila) per la violazione degli artt. 5, par. 1, lett. f) e 9 del Regolamento quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dall’Azienda Ospedaliero Universitaria Senese, per la violazione degli art. 5, par. 1, lett. f) e 9 del Regolamento nei termini di cui in motivazione.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, all’Azienda Ospedaliero Universitaria Senese con sede legale in Siena, Strade delle Scotte, 14 – C.F./P.IVA 00388300527, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 10.000 (diecimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento, secondo le modalità indicate in allegato, entro 30 giorni dalla notifica in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

alla predetta Azienda, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 10.000 (diecimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 27 gennaio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei