g-docweb-display Portlet

Provvedimento correttivo e sanzionatorio nei confronti dell’Azienda Universitaria Giuliano Isontina - 15 dicembre 2022 [9845312]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

VEDI ANCHE: Newsletter del 24 gennaio 2023

 

[doc. web n. 9845312]

Provvedimento correttivo e sanzionatorio nei confronti dell’Azienda Universitaria Giuliano Isontina - 15 dicembre 2022*
* Il provvedimento è stato impugnato innanzi al Tribunale di Trieste; il Tribunale ha disposto in via cautelare la sospensione dell’efficacia esecutiva del provvedimento.

Registro dei provvedimenti
n. 417 del 15 dicembre 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE” (di seguito “Codice”);

VISTO il decreto legge 19 maggio 2020, n. 34 legge, convertito con modificazioni in legge 17 luglio 2020, n. 77, e, in particolare, l’art. 7 relativo alle metodologie predittive dell'evoluzione del fabbisogno di salute della popolazione;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Premessa

E’ stato segnalato a questa Autorità che la delibera della Giunta della Regione Friuli Venezia Giulia, n. XX del XX, ha indicato ai Medici di Medicina Generale (di seguito anche solo MMG) di validare, al fine della corresponsione pro rata di parte del compenso variabile, “attraverso il portale informatico regionale, una lista di utenti/assistiti preventivamente individuati dall’Azienda sanitaria, secondo proprio criterio (non noto), come in condizioni di complessità e comorbidità al fine (apparente) di stratificazione statistica compilando schede informatiche in cui riportare dati bio-umorali personali, terapie, stato patologico, indirizzi familiari, condizioni/abitudini di vita, ecc.”. Unitamente alla segnalazione è stata fornita copia dell’allegato alla richiamata delibera recante il “verbale di intesa tra la Regione FVG e le organizzazioni sindacali dei MMG per la disciplina dei rapporti biennio 2020 -2021 e delle attività connesse all’emergenza epidemiologica da Covid-19”. Il primo degli obiettivi indicati nel predetto verbale riguarda la ”stratificazione, complessità e comorbidità ad alto rischio di complicanze maggiori per infezioni da Covid-19”, rispetto al quale nella sezione “note” del verbale sono fornite sintetiche indicazioni sulla predisposizione degli elenchi degli assistiti da sottoporre ai piani di medicina d’iniziativa e sulle modalità attraverso le quali gli stessi, tramite la società Insiel, sono scaricati “dal portale della continuità delle cure” e resi poi disponibili alle aziende sanitarie.

È stato inoltre segnalato che la predetta delibera imporrebbe ai MMG una comunicazione dei dati sulla salute dei propri pazienti senza possibilità per gli stessi di verificare “se l’Azienda sanitaria abbia [preventivamente] assunto il consenso” al trattamento dei dati personali degli stessi per finalità di “stratificazione statistica”, evidenziando, inoltre, come tale specifica disciplina preveda “la trasmissione ai fini statistici o amministrativi dei dati in modo anonimo”.

2. L’attività istruttoria

In relazione a quanto sopra richiamato, l’Ufficio ha avviato un’istruttoria preliminare (nota del XX, prot. n. XX) richiedendo alla Regione Friuli Venezia Giulia e ad altra azienda sanitaria regionale specifici elementi informativi in ordine in particolare a:

le iniziative assunte al fine di assicurare che i trattamenti necessari per svolgere le predette attività di medicina d’iniziativa fossero poste in essere in conformità alla disciplina in materia di protezione dei dati personali, con particolare riferimento a quanto indicato nei provvedimenti del Garante adottati sul tema (Parere al Consiglio di Stato sulle nuove modalità di ripartizione del fondo sanitario tra le regioni proposte dal Ministero della salute e basate sulla stratificazione della popolazione, del 5 marzo 2020, doc. web n. 9304455, parere sul disegno di legge della Provincia autonoma di Trento che reca specifiche disposizioni in materia di medicina di iniziativa, dell’8 maggio 2020, doc. web n. 9344635, parere sullo schema di regolamento relativo alle disposizioni attuative della legge provinciale trentino per la medicina di iniziativa nel servizio sanitario provinciale, del 1° ottobre 2020, doc. web 9469372, provvedimento del 17 dicembre 2020, doc. web n. 9529527; provvedimenti del 24 febbraio 2022 n. 63, 64, 65, 66, 67, 65, 68, 69 e 70, doc. web n. 9752177, 9752221, 9752260, 9752299, 9752410, 9752433, 9752490 e 9752524);

le finalità perseguite con il trattamento dei dati previsto dal verbale allegato alla citata delibera, e per ognuna di esse la relativa base giuridica del trattamento, nonché i relativi titolari e responsabili, ai sensi degli artt. 9, 24 e 28 del Regolamento;

qualora il trattamento sebbene volto al perseguimento di finalità di cura, non è strettamente necessario a tale scopo, le modalità di acquisizione preventiva del consenso informato e esplicito degli interessati, ai sensi dell’art. 9, par. 2, lett. a) del Regolamento;

la descrizione dei flussi di dati personali indicati nel verbale allegato alla delibera sopra richiamata, specificando se il trattamento avesse ad oggetto dati sulla salute ovvero anonimi e aggregati;

la valutazione d’impatto effettuata, ai sensi dell’art. 35 del Regolamento, considerato che trattasi di trattamenti su larga scala di categorie particolari di dati personali e quindi ad alto rischio.

La Regione, con nota del XX prot. n. XX ha dichiarato che: “per quanto riguarda, in particolare, l’obiettivo n. 1 [della richiama intesa] relativo alla validazione [della] lista assistiti in condizioni di complessità e comorbidità (popolazione target) ai fini della messa a disposizione degli Elenchi sul Portale Continuità delle Cure, si invitano i Direttori Generali dell’Azienda di pertinenza del singolo MMG a fornire quanto prima ad INSIEL, come per gli anni precedenti, l’indicazione operativa di rendere visibili le funzioni relative per i soli assistiti che abbiano espresso lo specifico consenso alla comunicazione dei loro dati al proprio MMG”. È stato precisato inoltre che, per tale finalità, “ARCS ha fornito il supporto metodologico per la predisposizione dell’algoritmo di definizione degli elenchi dei soggetti fragili appartenenti alle categorie RUB 4 e 5. Lo strumento utilizzato da ARCS per la predisposizione dell’algoritmo non contiene informazioni nominative dei pazienti ma un identificativo numerico anonimo, soggetto a variazione ogni 6 mesi. All’interno delle Regole sintattiche utilizzate è stato inserito un filtro di estrazione dei soggetti appartenenti alle categorie RUB 4 e 5 che avevano già manifestato il consenso alla visibilità da parte del MMG. (...). Le liste, già epurate, vengono pubblicate da INSIEL, per conto delle Aziende Sanitarie, per ogni MMG che, potendo identificare i loro assistiti, procedono alla validazione delle stesse”.

Con riferimento alle richiamate operazioni di trattamento di dati personali, la Regione ha dichiarato che “l’identificazione degli assistiti e il loro inserimento nelle liste trova il fondamento giuridico nel consenso generico fornito dall’interessato e relativo alla visibilità da parte del MMG”.

In relazione alla necessità di redigere una valutazione di impatto, è stato rappresentato anche che “nessuna attività di medicina di iniziativa può, pertanto, ravvisarsi nell’attività sopra descritta e, conseguentemente, nessuna attività di valutazione di rischio specifico risulta necessaria in primis da parte della Regione, che in ogni caso non ha mai accesso a dati personali, ma nemmeno da parte delle Aziende sanitarie regionali”.

L’Ufficio, nel prendere atto di quanto indicato dalla Regione e delle risultanze di una analoga istruttoria avviata nei confronti di un’altra Azienda sanitaria regionale, ossia che il trattamento in esame aveva coinvolto tutte le aziende sanitarie regionali, ha effettuato un supplemento istruttorio nei confronti di quest’ultime, tra cui l’Azienda sanitaria Universitario Giuliano Isontina (di seguito anche ASUGI o Azienda) e della Regione Friuli Venezia Giulia (nota del XX, prot. n. XX).

In particolare, l’Ufficio ha chiesto alla Regione e a Insiel S.p.a. di indicare le specifiche banche dati dalle quali sono state estratte le informazioni utilizzate per effettuare la predetta attività di stratificazione degli assistiti e i relativi titolari e responsabili del trattamento; la tipologia di informazioni e documenti clinici che sono stati trattati per l’attività di stratificazione, evidenziando le tecniche eventualmente utilizzate per assicurare la non identificabilità, anche indirettamente, dei soggetti interessati; il presupposto giuridico dei richiamati trattamenti; il numero di assistiti coinvolti dalla suddetta attività di stratificazione.

In risposta alla predetta richiesta di informazioni la Regione Friuli Venezia Giulia, con nota del XX (prot. n. XX), ha dichiarato, in particolare, che:

− “la scrivente, quale ente sovraordinato, gestisce il governo dell’infrastruttura sanitaria nell’ambito dei suoi compiti di programmazione sanitaria, verifica delle qualità delle cure e valutazione dell’assistenza sanitaria. Le Aziende sanitarie, per l’ambito di competenza, sono titolari dei dati contenuti nelle banche dati dell’infrastruttura ai sensi dell’art.24 del GDPR. ARCS è l’Azienda Regionale di coordinamento alla salute e svolge attività di supporto e collegamento fra la Regione e le Aziende. Insiel S.p.A. è la società in house nominata dalle Aziende responsabile ai sensi dell’art. 28 del GDPR”;

− “per fronteggiare la diffusione dei contagi e soprattutto prevenire accessi impropri alle strutture ospedaliere, in ottemperanza al DL 23/2020 e DL 34/2020, provvedeva alla promozione della vaccinazione attivando i MMG sulla base dell’intesa di cui alla delibera n. 1737/2020”;

− “In questo percorso la Regione, firmataria dell’accordo AIR con i MMG, ha avuto il ruolo di organizzazione e governo demandando alle Aziende sanitarie e ai MMG, titolari per le rispettive aree di competenza dei dati sanitari dei propri assistiti, nonché al Responsabile incaricato, la realizzazione del programma previsto dall’AIR”;

− “La coorte di soggetti così identificata da ogni medico diventa quindi la base per la valutazione delle attività successive: (…) qualora non fosse già stata compilata, così come previsto dalla normativa vigente (Nel DPCM n. 178/2015 viene introdotto il concetto di profilo sanitario sintetico o “patient summary”, che è il documento sociosanitario informatico redatto e aggiornato dal medico di medicina generale o pediatra di libera scelta, che riassume la storia clinica dell’assistito e la sua situazione corrente conosciuta. La finalità di tale documento è quella di favorire la continuità di cura, permettendo un rapido inquadramento dell’assistito al momento di un contatto con il SSN)”;

- “gli elenchi messi a disposizione ai MMG, come indicato espressamente nell’accordo AIR, sono definiti utilizzando lo strumento denominato ACG attraverso la selezione degli assistiti a cui il sistema ha assegnato le classi RUB 4 e 5”. In particolare, è stato rappresentato che i “RUBs (Resource Utilization Bands) sono delle misure sintetiche del grado di complessità assistenziale di una popolazione intesa in termini di consumi attesi di risorse” e che essi “classificano in una scala da 0 a 5 il livello atteso di assorbimento di risorse sanitarie, (…) e non forniscono una quantificazione economica o una descrizione della tipologia di risorse attese”. L’algoritmo del “sistema Johns Hopkins ACG System viene implementato (…) da Insiel che ne ottiene i risultati”, ossia la lista degli assistiti che è stata fornita a ciascun medico di medicina generale (MMG) che relativamente ai propri assistiti, avrebbero potuto modificarla o validarla sulla base delle informazioni a sua disposizione.

In risposta alla predetta richiesta di informazioni Insiel S.p.a., con nota del XX (prot. n. XX), in qualità di responsabile delle aziende sanitarie regionali, ha dichiarato, in particolare, che:

− “Le informazioni utilizzate per effettuare l’attività di elaborazione richiesta sono state estratte dal data warehouse regionale. Ogni Azienda Sanitaria (ASU GI, ASU FC, AS FO) è Titolare del trattamento dei dati personali dei propri assistiti contenuti nel suddetto data warehouse regionale”.

Sul punto, ARCS ha rappresentato che Insiel avrebbe provveduto ad alimentare il “sistema Johns Hopkins ACG System” con dei dataset di input, contenenti informazioni su diagnosi codificate, farmaci assunti, costi sostenuti dal SSR, età e genere (cfr. nota ARCS del XX prot. XX).

Secondo quanto dichiarato in atti, i dati trattati sono stati pseudonimizzati attraverso l’apposizione di codici numerici casuali elaborati da ARCS per l’attribuzione “dei filtri sulle classi Rub 4 e 5 e sulla presenza del consenso alla visualizzazione del fascicolo sanitario” e resi disponibili alla società Insiel. Tale società, “Al fine di comunicare i dati ad ogni MMG in relazione ai propri assistiti, ha aggiunto codice fiscale, cognome e nome all’estrazione e ha reso disponibile l’elenco dei pazienti sull’applicativo regionale Portale di Continuità della Cura secondo il seguente tracciato: − codice fiscale MMG − codice regionale MMG − codice fiscale assistito − cognome assistito − nome assistito − classe di età − piano assistenziale integrato − vaccinati antipneumococco − ACG-RUB”.

Infine, in relazione al numero dei pazienti convolti dalle richiamate operazioni di trattamento, è stato rappresentato che l’elenco si compone di oltre 40.000 (di cui 13.537 ad ASUGI).

In relazione a quanto dichiarato in atti, l’Ufficio, con nota del XX (prot. n. XX), ha richiesto informazioni alle aziende sanitarie della Regione Friuli Venezia Giulia, tra cui ASUGI, affinché fossero indicate le banche dati dalle quali sono state estratte le informazioni utilizzate per effettuare la predetta attività di stratificazione degli assistiti; il presupposto giuridico in base al quale si è consentito ad ARCS di accedere, nelle forme sopra richiamate, ai dati degli assistiti di codeste Aziende, e ad Insiel di elaborare i dati attraverso l’impiego del sistema “Johns Hopkins ACG System”.

In risposta alla predetta richiesta di informazioni, codesta Azienda, con nota del XX, ha rappresentato, in particolare, che:

“Con nota prot. n. XX del XX (All. 1), la Direzione Centrale Salute (DCS) della Regione Friuli Venezia Giulia ha trasmesso alle Aziende sanitarie la Delibera di Giunta regionale (DGR) n. 1737 del 20 novembre 2020 di approvazione dell’Intesa 2020-2021 tra la Regione Friuli Venezia Giulia e le organizzazioni sindacali dei Medici di Medicina Generale (MMG)”

“In tale nota, evidenziando quanto stabilito nella delibera, al punto 3 del dispositivo, la DCS prescriveva che le Aziende sanitarie regionali erano “tenute a dare seguito agli adempimenti attuativi dell’Intesa 2020-2021 nel rispetto delle disposizioni in essa contenute e coerentemente alle disposizioni nazionali e regionali in materia”, richiamando letteralmente la menzionata DGR n. 1737/2020”;

“Con la citata notaDCS prot. n. XX del XX, i Direttori Generali delle Aziende SSR sono, a tal fine, stati chiamati “a fornire quanto prima ad INSIEL […] l’indicazione operativa di rendere visibili le funzioni relative per i soli assistiti che abbiano espresso lo specifico consenso alla comunicazione dei loro dati al proprio MMG”.

“Dagli atti sopraindicati risulta che i trattamenti oggetto dell’attuale richiesta di informazioni e, in particolare, la stratificazione di assistiti attraverso l’applicazione dell’algoritmo ACG e la conseguente elaborazione di elenchi di assistiti rientranti nelle categorie c.d. RUB 4 e RUB 5, siano effettuati da ARCS e Insiel S.p.A., società in-house della Regione Friuli Venezia Giulia, su mandato regionale”;

“Il ruolo delle Aziende sanitarie, tra cui la scrivente, era esclusivamente quello di fornire a Insiel S.p.A. “l’indicazione operativa di rendere visibili le funzioni […] per i soli assistiti che abbiano espresso lo specifico consenso alla comunicazione dei loro dati al proprio MMG”, e di verifica del raggiungimento degli obiettivi da parte dei MMG e conseguente pagamento degli stessi, sulla base della loro percentuale di raggiungimento”;

“Le finalità (programmazione e valutazione dell’assistenza sanitaria) e i mezzi del trattamento (applicazione dell’algoritmo ACG alle banche dati presenti nel datawarehouse regionale) sono interamente stabiliti a livello regionale, attraverso la Delibera di Giunta n. 1737/2020 di approvazione dell’Intesa 2021-2022 tra la Regione stessa e le organizzazioni sindacali dei MMG, dovendo le Aziende sanitarie regionali limitarsi a darne attuazione (cfr. DGR Friuli Venezia Giulia n. 1737/2020 cit.)”;

“Per quanto riguarda le specifiche banche dati/registri/elenchi presenti nel datawarehouse regionale – dalle quali sono state estratte le informazioni utilizzate per effettuare la predetta attività di stratificazione degli assistiti – e la tipologia di informazioni e documenti clinici trattati nel medesimo contesto, si rinvia a quanto rappresentato da ARCS e Insiel S.p.A. (…):

“Per quanto riguarda il presupposto giuridico alla base delle attività oggetto di richiesta, ASUGI ha dato seguito alle prescrizioni – con precipua finalità di governo – contenute nella menzionata Delibera di Giunta, la quale, a sua volta, fa riferimento al dettato normativo di cui agli artt. 3, comma 2, e 4, comma 5, della legge regionale FVG n. 22/2019, a tenore dei quali “[…] il Servizio sanitario regionale attiva modalità organizzative innovative di presa in carico, basate sulla proattività e sulla medicina di iniziativa […]” e “le attività per l’assistenza sociosanitaria sono definite […] nell’ambito delle linee annuali per la gestione del Servizio sanitario regionale”;

“(…) le Linee di gestione del SSR per l’anno 2020 (All. 6) – approvate con Delibera di Giunta Regionale n. 2195/2020 (All. 7) – a pag. 23, prevedano “1. Entro il 31.03.2020 in ogni distretto deve essere disponibile la stratificazione della popolazione di riferimento e per complessità, sulla base dello strumento ACG. La stratificazione dovrà essere strutturata anche per ogni singola AFT e per singolo MMG. 2. Entro il 31.12.2020 i distretti, sulla base della stratificazione della popolazione e sulle ulteriori informazioni a disposizione, definiscono, all’interno del PAT, la committenza 2021 per la popolazione di riferimento. Qualora il distretto non abbia una dimensione sufficientemente consistente, la committenza può essere definita anche a livello sovradistrettuale per aggregazioni di distretti”;

“La finalità di governo alla base delle attività oggetto di indagine da parte di codesta Autorità si evince, poi, dalla precisazione contenuta nelle Linee di gestione del SSR 2021 testé citate (…)”.

Alla luce di tali riscontri, l’Ufficio ha chiesto ulteriori informazioni alla Regione, Insiel S.p.a. e alle aziende sanitarie regionali, tra cui ASUGI, in merito alle specifiche banche dati attraverso le quali Insiel ha alimentato il sistema John Hopkins ACGsystem da cui sono state estratte le informazioni utilizzate per effettuare l’attività di stratificazione degli assistiti in esame, nonché di indicare se le suddette banche dati di titolarità delle singole aziende sanitarie corrispondono a quelle utilizzate dalle stesse per alimentare il FSE ovvero, in caso negativo, da quali banche dati (nota del XX, prot. n. XX).

In riscontro alla predetta nota dell’Ufficio, la Regione Friuli Venezia Giulia, con nota del XX (prot. n. XX), ha precisato che “i MMG avrebbero potuto redigere in autonomia i suddetti elenchi laddove il completamento dei patient summary fosse stato concluso, cosa che ancora non è avvenuta. Pertanto, stante il particolare momento emergenziale, la scrivente ha fornito indicazione ai soggetti autorizzati ed abilitati affinché dessero ai MMG il necessario supporto tecnico per la definizione delle liste”.

La Regione ha inoltre fornito una nota di Insiel S.p.a., del XX (prot. n. XX), con la quale la Società ha indicato le banche dati utilizzate per le predette attività tra le quali figurano anche quelle del Fascicolo sanitario elettronico.

In risposta alla richiamata richiesta di informazioni, ASUGI ha rappresentato che “il proprio ruolo nella vicenda è stato esclusivamente limitato al dare seguito agli adempimenti attuativi previsti nell’Intesa 2020-2021 tra la Regione Friuli Venezia Giulia e le Organizzazioni Sindacali dei Medici di Medicina Generale, ottemperando alla Delibera di Giunta regionale n. 1737 del 20 novembre 2020” (nota del XX).

Nella predetta nota, ASUGI ha inoltre ribadito che:

“(…) il proprio ruolo nella vicenda è stato esclusivamente limitato al dare seguito agli adempimenti attuativi previsti nell’Intesa 2020-2021 tra la Regione Friuli Venezia Giulia e le Organizzazioni Sindacali dei Medici di Medicina Generale, ottemperando alla Delibera di Giunta regionale n. 1737 del 20 novembre 2020”;

di essere stata “invitata dalla Direzione Centrale Salute, con nota DCS prot. n. XX del XX (…) a fornire a Insiel S.p.A. “l’indicazione operativa di rendere visibili le funzioni […] per i soli assistiti che abbiano espresso lo specifico consenso alla comunicazione dei loro dati al proprio MMG” [e al FSE] e che il suo ruolo si è poi limitato alla verifica del raggiungimento dell’obiettivo da parte dei MMG e alla liquidazione dei relativi incentivi”

“Le finalità del trattamento, relative alla programmazione e alla valutazione dell’assistenza sanitaria, sono state quindi interamente definite dalla Regione con la citata Delibera di Giunta”;

“Per quanto riguarda la specifica richiesta di codesta Autorità di essere messa a  conoscenza delle “specifiche banche dati attraverso le quali Insiel ha alimentato il sistema John Hopkins ACG system da cui sono state estratte le informazioni utilizzate per effettuare l’attività di stratificazione degli assistiti in esame” e della loro correlazione con l’architettura funzionale del FSE, si precisa che anche questa specifica attività è stata definita dalla Direzione Centrale Salute,Politiche Sociali e Disabilità della Regione Friuli Venezia Giulia e da ARCS ed attuata dalla società informatica in-house Insiel S.p.A., come peraltro già precisato nella surrichiamata nota prot. n. XX”.

3. La normativa in materia di protezione dei personali e la specifica disciplina dei settori rilevanti

In base al Regolamento, per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4, punto 1, del Regolamento).

Per pseudonimizzazione si intende “il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile” (Cons. 26 e art. 4 (5) del Regolamento).

La normativa in materia di protezione dei dati personali non trova applicazione in riferimento “a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l'identificazione dell'interessato” (cfr. Cons. 26 del Regolamento e WP29 Opinion 05/2014 on Anonymisation techniques, adottato il 10 aprile 2014).

Il dato anonimizzato è tale solo se non consente in alcun modo l’identificazione diretta o indiretta di una persona, tenuto conto di tutti i mezzi (economici, informazioni, risorse tecnologiche, competenze, tempo) nella disponibilità di chi (titolare o altro soggetto) provi a utilizzare tali strumenti per identificare un interessato. L’anonimizzazione non può considerarsi realizzata attraverso la mera rimozione delle generalità dell’interessato o sostituzione delle stesse con un codice pseudonimo. Un processo di anonimizzazione non può definirsi effettivamente tale qualora non risulti idoneo ad impedire che chiunque utilizzi tali dati, in combinazione con i mezzi “ragionevolmente disponibili”, possa:

1. isolare una persona in un gruppo (single-out);

2. collegare un dato anonimizzato a dati riferibili a una persona presenti in un distinto insieme di dati (linkability);

3. dedurre nuove informazioni riferibili a una persona da un dato anonimizzato (inference) (cfr. Parere 05/2014 - WP 216 sulle tecniche di anonimizzazione, adottato il 10 aprile 2014).

Ciò premesso, il trattamento di dati personali deve avvenire nel rispetto dei principi stabiliti e delle ulteriori regole del Regolamento e delle rilavanti disposizioni del Codice.

In relazione al caso in esame si richiamano, in particolare, i principi di liceità, correttezza e trasparenza e di limitazione delle finalità secondo cui i dati personali devono essere trattati in modo lecito, corretto e trasparente e raccolti per finalità determinate, esplicite e legittime e successivamente trattati in modo che non sia incompatibile con tali finalità (art. 5, par. 1 lett. a) e b), del Regolamento; cfr. anche Article 29 Data Protection Working Party, Opinion 03/2013 on purpose limitation del 2 aprile 2013).).

Più nello specifico, il Regolamento prevede un generico divieto al trattamento delle particolari categorie di dati, tra cui rilevano quelli relativi alla salute degli interessati, a meno che non ricorra una delle particolari esenzioni da tale divieto di cui all’art. 9, par. 2 del Regolamento medesimo.

A tale riguardo si segnalano le ipotesi in cui:

- l’interessato abbia prestato il proprio consenso esplicito, salvo nei casi in cui il diritto dell'Unione o degli Stati membri disponga diversamente (art. 9, par. 2, lett. a) del Regolamento);

- il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l'essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato (art. 9, par. 2, lett. g) del Regolamento). In tale ipotesi rileva altresì l’art. 2-sexies del Codice in base al quale “i trattamenti delle categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, del Regolamento, necessari per motivi di interesse pubblico rilevante ai sensi del paragrafo 2, lettera g), del medesimo articolo, sono ammessi qualora siano previsti dal diritto dell'Unione europea ovvero, nell'ordinamento interno, da disposizioni di legge o di regolamento o da atti amministrativi generali che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché' le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato”;

- il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell'Unione o degli Stati membri o conformemente al contratto con un professionista della sanità (art. 9, par. 2, lett. h) e par. 3 del Regolamento e 75 del Codice; provv. del Garante recante Chiarimenti sull'applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario del 7 marzo 2019 doc. web 9091942).

Con riferimento al principio di trasparenza si segnalano altresì i correlati oneri informativi di cui agli artt. 13 e 14 del Regolamento, in base ai quali ogni trattamento deve essere preceduto da una idonea informativa anche al fine di consentire agli interessai di esercitare i diritti loro spettanti (art. 15-22 del Regolamento). Tale principio impone inoltre che le informazioni e le comunicazioni relative al trattamento dei dati personali siano rese in una forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro (cons. 39 e 58 e art. 12 del Regolamento).

Il Regolamento prevede, inoltre, che “quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi” (art. 35; Gruppo art. 29 Linee-guida n. 248 concernenti "La valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento" adottate in forma emendata il 4.10.2017).

Al riguardo, si evidenzia, sin da subito, che tale adempimento non è stato derogato dalla disciplina emergenziale adottata con riferimento al contesto pandemico, come può evincersi, ad esempio, dall’autorizzazione fornita dall’Autorità sulla valutazione di impatto effettuata dal Ministero della salute con riferimento ai trattamenti effettuati nell’ambito del sistema nazionale di contact tracing -App Immuni (cfr. provvedimenti del 1° giugno 2020, 25 febbraio 2021 e del 24 novembre 2022), nonché dai provvedimenti adottati in materia nel contesto emergenziale (cfr. provvedimenti del 13 maggio 2021, doc. web n. 9685332, del 13 gennaio 2022, doc. web n. 9744496).

Rilevato che l’iniziativa esaminata ha previsto l’estrazione di dati sulla salute degli assistiti dal Datawarehouse dell’Azienda per il tramite della Società Insiel SPA, Società ICT in house della Regione, nominata Responsabile del trattamento, attraverso l’utilizzo di un algoritmo fornito dalla Agenzia regionale per il coordinamento della salute, si evidenzia altresì quanto segue.

Tale attività determina la raccolta e l'elaborazione di dati sanitari al fine di realizzare, con riferimento a specifiche patologie (che, nel caso in esame, sono quelle che possono esporre gli assisti più fragili a contrarre infezioni più gravi da SARS Cov-2), un profilo sanitario di rischio dell'interessato, utile per mettere in atto interventi preventivi di presa in carico del paziente.

L’attività di stratificazione del rischio sanitario della popolazione si configura come un’attività amministrativa prodromica all’attività di cura, consistente nella presa in carico del paziente, in quanto consente di classificare gli assistiti ritenuti a maggior rischio, al fine di predisporre nei loro confronti una precoce e specifica attività di presa in carico.

3.1 Attività di stratificazione della popolazione assistita

Con specifico riferimento ai trattamenti effettuati dagli organi sanitari per fini di interesse pubblico, anche alla luce di quanto indicato dal Ministero della salute  in materia e sostenuto dal Garante nei numerosi provvedimenti sul tema sopra richiamati), tali operazioni di trattamento rientrano nell’ambito della c.d. “medicina di iniziativa”, seppure rivolta, nel caso di specie, al solo contesto emergenziale.

Ciò in quanto, attraverso tali trattamenti, si effettua una stratificazione degli assistiti del Servizio sanitario ragionale in base alle informazioni relative allo stato di salute individuale, per la relativa collocazione in classi di rischio sanitario, al fine di individuare modelli assistenziali volti alla promozione attiva di interventi sanitari che mirano a una precoce presa in carico degli stessi (cfr. anche i citati parere sul disegno di legge della Provincia autonoma di Trento che reca specifiche disposizioni in materia di medicina di iniziativa, dell’8 maggio 2020, doc. web n. 9344635, parere sullo schema di regolamento relativo alle disposizioni attuative della legge provinciale trentino per la medicina di iniziativa nel servizio sanitario provinciale, del 1° ottobre 2020, doc. web n. 9469372, provv. nei confronti della dall’Azienda USL Toscana Sud Est del 17 dicembre 2020, doc. web n. 9529527, provvedimenti n. 63, 64, 65, 66, 67, 65, 68, 69 e 70 del 24 febbraio 2022 doc. web n. 9752177, 9752221, 9752260, 9752299, 9752410, 9752433, 9752490 e 9752524).

3.2. Attività di presa in carico del paziente

Con specifico riferimento alle finalità di cura e prevenzione, si rappresenta che il Garante ha già evidenziato che tali trattamenti devono essere considerati ulteriori e autonomi rispetto a quelli strettamente necessari alle ordinarie attività di cura e prevenzione (art. 9, par. 2 lett. h) del Regolamento), e quindi effettuabili solo sulla base dello specifico consenso informato dell’interessato (art. 9, par. 2 lett. a) del Regolamento) (cfr. ex multis, parere sul disegno di legge della Provincia autonoma di Trento che reca specifiche disposizioni in materia di medicina di iniziativa, dell’8 maggio 2020, doc. web n. 9344635).

3.3. I trattamenti effettuati attraverso il Fascicolo sanitario elettronico

Giova altresì evidenziare che attraverso il Fascicolo sanitario elettronico (FSE) possono essere perseguite le finalità previste dalla specifica disciplina di settore e in particolar di: a) diagnosi, cura e riabilitazione; a-bis) prevenzione; a-ter) profilassi internazionale; b) studio e ricerca scientifica in campo medico, biomedico ed epidemiologico; c) programmazione sanitaria, verifica delle qualità delle cure e valutazione dell'assistenza sanitaria (art. 12, 18 ottobre 2012, n. 179, convertito con modificazioni in legge 17 dicembre 2012, n. 221, e dpcm 29 settembre 2015, n. 178).

Tra le finalità perseguibili attraverso il FSE non figura pertanto quella relativa alla medicina predittiva o di iniziativa. Il legislatore, infatti, anche nei recenti interventi effettuati in materia non ha esteso tale finalità tra quelle perseguibili attraverso il FSE. I dati accessibili attraverso il FSE, privati degli elementi identificativi diretti, potranno invece essere trattati dal Ministero della salute, anche mediante l'interconnessione con altre fonti di dati, per le finalità e con le modalità che saranno stabilite con decreto del Ministro della salute, che dovrà essere adottato previo parere del Garante, nel rispetto di quanto previsto dal Regolamento, dal Codice, dal Codice dell'amministrazione digitale e dalle linee guida dell'Agenzia per l’Italia digitale in materia di interoperabilità (art. 2-sexies, comma 1-bis) (cfr. anche pareri resi il 22 agosto 2022, n. 294 e 295 doc. web nn. 9802752 e 9802729).

L’avvenuta prestazione del consenso dell’interessato al trattamento dei dati presenti nel FSE per finalità di cura non legittima pertanto i soggetti che accedono a tale strumento informativo a elaborare le informazioni ivi presenti per delineare specifici profili di rischio sanitario dell’interessato.

3.4. Attività statistica

Tenuto conto che in sede istruttoria si è fatto riferimento ad una attività di “stratificazione statistica”, si evidenzia, infine, che il trattamento di dati personali, svolto per tali finalità da parte di soggetti che partecipano al sistema statistico nazionale (SISTAN), deve in ogni caso avvenire nel rispetto, non solo delle pertinenti disposizioni del Regolamento (artt. 5, par. 1, lett. c) e e) e 89) e del Codice (artt. 2-sexies, comma 2, lett. cc) e 104 e ss.), ma anche delle Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica effettuati nell’ambito del Sistema Statistico nazionale, Allegato A4 al Codice, nonché della specifica disciplina di settore di cui al d.lgs. n. 322/1989, recante “Norme sul Sistema statistico nazionale e sulla riorganizzazione dell’Istituto nazionale di statistica”.

4. Il procedimento sanzionatorio

A seguito dei richiamati riscontri, l’Ufficio, con atto n. XX del XX, ha notificato all’Azienda Sanitaria Universitaria Giuliano Isontina, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, paragrafo 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

In particolare, l’Ufficio ha rilevato la sussistenza di elementi idonei a configurare, da parte dell’Azienda Universitaria Giuliano Isontina, la violazione della normativa in materia di protezione dei dati personali in relazione al trattamento di dati personali relativi alla salute, seppur trattati in forma pseudonimizzata, in assenza di un idoneo presupposto giuridico e, quindi, in violazione dei principi applicabili al trattamento di cui agli artt. 5, par. 1 lett. a) e 9, del Regolamento, nonché dell’art. 2-sexies  del Codice; in violazione del principio di trasparenza, non avendo fornito agli interessati le informazioni specifiche in ordine a tali trattamenti di dati personali come previste dall’art. 14 del Regolamento; in violazione degli obblighi del titolare in ordine alla valutazione d'impatto sulla protezione dei dati personali ai sensi dell'art. 35 del Regolamento.

Con la nota del XX (prot. XX), l’ASUGI ha fatto pervenire un “riscontro parziale” alla notifica di violazione dell’Ufficio di cui all’art. 166 del Codice e ha chiesto di “chiarire la propria posizione in un’audizione”, nonché si è riservata di “produrre ulteriore documentazione utile a meglio chiarire la propria posizione sul punto”.

In data XX, si è svolta la richiesta audizione nell’ambito della quale, ad integrazione di quanto già sopra rappresentato, l’Azienda ha dichiarato in particolare che:

- “è un ente strumentale della Regione e opera nell’ambito delle indicazioni e degli indirizzi formulati dalla stessa in materia sanitaria”

- “[…] la stessa nell’ambito del procedimento in corso non ha autonomia decisionale ed implementativa in quanto tutti i sistemi informativi sono gestiti da Insiel, Società in house della Regione, e che nel caso di specie ha operato in attuazione di atti deliberativi della giunta regionale. Tali elementi portano a ritenere che il titolare di fatto dei trattamenti in esame sia la Regione e non l’Azienda, in quanto è attribuibile alla Regione la determinazione sia della finalità, in base ad un accordo integrativo approvato con delibera di Giunta regionale, che dei mezzi del trattamento (software e algoritmo sono stati scelti dalla Regione). Per tali ragioni si chiede l’archiviazione del procedimento amministrativo in essere”;

- “[…] alcune aziende tra cui ASUGI hanno aggiunto nella nomina a responsabile di Insiel delle clausole ulteriori rispetto a quelle standard previste dalla Regione circa le cautele e le responsabilità sul trattamento dei dati personali effettuato dalla Società”;

- “Con specifico riferimento alla contestazione relativa alla base giuridica del trattamento effettuato per svolgere la stratificazione della popolazione per classi di morbilità, si ritiene che sia da individuare nella delibera di giunta regionale. Si precisa inoltre che la suddetta stratificazione era il mezzo imposto dalla Regione per consentire all’Azienda di perseguire la finalità di valutazione del raggiungimento degli obiettivi della medicina convenzionata. Si precisa che l’Azienda non ha provveduto ad effettuare alcuna attività di stratificazione, che è stata effettuata da Insiel su indicazione della Regione, avendone solo utilizzato i risultati ai fini del raggiungimento della predetta finalità come indicato dalla delibera regionale. Si rappresenta che tale attività non è pertanto riconducibile alla medicina di iniziativa, trattandosi di una modalità individuata dalla Regione per consentire all’Azienda di procedere in modo più agevole alla valutazione degli obiettivi della medicina convenzionata”;

- “non è stata consultata in fase di adozione della delibera e dell’accordo sindacale e non ha mai chiesto che fosse applicato l’algoritmo individuato dalla Regione per procedere alla predetta stratificazione, pertanto non ricadono sulla stessa gli adempimenti in materia di valutazione di impatto. Pertanto, si tiene ad evidenziare che l’Azienda ha agito in buona fede, dando attuazione a quanto già previsto dalla Regione e nell’accordo sindacale. Per tali ragioni non ha ritenuto fosse alla stessa riconducibile l’onere della valutazione di impatto”;

- “Con riferimento al mancato assolvimento degli obblighi di trasparenza (artt. 13 e 14 del Regolamento), […]  in tutte le informative sui trattamenti dei dati sanitari effettuati dall’Azienda vi è un espresso riferimento alla finalità di valutazione dell’assistenza sanitaria anche convenzionata”;

- “Con riferimento ai provvedimenti di ammonimento adottati dal Garante il 24.2.2022 nei confronti di 8 Regioni, […] la fattispecie in esame appare sostanzialmente diversa in quanto l’Azienda era vincolata ad ottemperare a quanto indicato in una delibera di Giunta a differenza del caso già esaminato dal Garante in cui le regioni rispondevano ad un mero invito del Ministero della salute”.

5. Esito dell’attività istruttoria

Preso atto di quanto rappresentato dall’Azienda nella documentazione in atti e nella richiamata audizione alla luce del quadro normativo sopra richiamato e di quanto emerso nell’ambito delle informazioni acquisite dalla Regione Friuli Venezia Giulia, da Insiel s.p.a. e da ARCS si confermano, nei limiti di cui alle seguenti motivazioni, le valutazioni preliminari dell’Ufficio.

5.1 Assenza di un idoneo presupposto giuridico per il trattamento

L’Azienda ha rappresentato, in particolare, che i trattamenti in esame sarebbero stati effettuati sulla base della Delibera della Giunta della Regione Friuli Venezia Giulia, n. 1737 del 20 novembre 2020 che al punto 3 del dispositivo, prescriveva alle Aziende sanitarie regionali di “dare seguito agli adempimenti attuativi dell’Intesa 2020-2021 nel rispetto delle disposizioni in essa contenute e coerentemente alle disposizioni nazionali e regionali in materia” e dunque su mandato regionale. Pertanto l’Azienda avrebbe dato seguito alle prescrizioni – con precipua finalità di governo – contenute nella menzionata Delibera di Giunta, la quale, a sua volta, fa riferimento al dettato normativo di cui agli artt. 3, comma 2, e 4, comma 5, della legge regionale FVG n. 22/2019, a tenore dei quali “[…] il Servizio sanitario regionale attiva modalità organizzative innovative di presa in carico, basate sulla proattività e sulla medicina di iniziativa […]” e “le attività per l’assistenza sociosanitaria sono definite […] nell’ambito delle linee annuali per la gestione del Servizio sanitario regionale”.

Tali linee annuali per l’anno 2020 sono state approvate con Delibera della Giunta della Regione Friuli Venezia Giulia, n. 2195/2019 prevedendo che “Entro il 31.03.2020 in ogni distretto deve essere disponibile la stratificazione della popolazione di riferimento e per complessità, sulla base dello strumento ACG. La stratificazione dovrà essere strutturata anche per ogni singola AFT e per singolo MMG. 2. Entro il 31.12.2020 i distretti, sulla base della stratificazione della popolazione e sulle ulteriori informazioni a disposizione, definiscono, all’interno del PAT, la committenza 2021 per la popolazione di riferimento. (…)”;

A tale riguardo, si evidenzia che il presupposto di liceità di tali trattamenti non può rinvenirsi nel quadro normativo sopra rappresentato e in particolare nelle richiamate DGR n. 1737 del 20 novembre 2020 e n. 2195/2019, ciò in quanto esse non rispettano quanto richiesto dall’art. 2-sexies del Codice essendo prive dell’indicazione dei soggetti che possono effettuare il trattamento, delle operazioni eseguibili e dell’interesse pubblico rilevante (cfr. in tal senso parere sul disegno di legge della Provincia autonoma di Trento che reca specifiche disposizioni in materia di medicina di iniziativa, dell’8 maggio 2020, doc. web n. 9344635, parere sullo schema di regolamento relativo alle disposizioni attuative della legge provinciale trentino per la medicina di iniziativa nel servizio sanitario provinciale, del 1° ottobre 2020, doc. web 9469372).

Come già ribadito dall’Autorità anche nel parere al Consiglio di Stato, la profilazione dell’utente del servizio sanitario, sia questo regionale o nazionale, determinando un trattamento automatizzato di dati personali volto ad analizzare e prevedere l’evoluzione della situazione sanitaria del singolo assistito e l’eventuale correlazione con altri elementi di rischio clinico (nel caso di specie l’infezione da Sars Cov-2), può essere effettuata solo nel rispetto di requisiti specifici e garanzie adeguate per i diritti e le libertà degli interessati (cfr. art. 4, par. 1, n. 4 artt. 13, par. 1 lett. f); 14, par. 2, lett. g), 15, par. 1, lett. h) art. 21, par. 1 e 35, par 3, lett. a) del Regolamento), ovvero sulla base di una disposizione che abbia i requisiti previsti dalla disciplina in materia di protezione dei dati personali, di cui al richiamato articolo 2-sexies, comma 1, del Codice.

Al riguardo si evidenzia che l’utilizzo di sistemi di medicina predittiva da parte del Ministero della salute è infatti stato previsto da una specifica disposizione normativa, ovvero dal richiamato dall’art. 7 del c.d. decreto “Rilancio” (d.l. n. 34 del 2020), che prevede espressamente che il predetto Dicastero, nell’ambito dei propri compiti istituzionali e in particolare, delle funzioni relative a indirizzi generali e di coordinamento in materia di prevenzione, diagnosi, cura e riabilitazione delle malattie, nonché di programmazione tecnico sanitaria e indirizzo, coordinamento, monitoraggio dell'attività tecnico sanitaria regionale, possa trattare dati personali, anche relativi alla salute degli assistiti, raccolti nei sistemi informativi del Servizio sanitario nazionale, per lo sviluppo di metodologie predittive dell’evoluzione del fabbisogno di salute (art. 7, comma 1, d.l. n. 34/202). Tale articolo rinvia ad un regolamento, da adottarsi con decreto del Ministro della salute, previo parere del Garante, nel quale sono individuati i dati personali, anche inerenti alle categorie particolari di dati che possono essere trattati, le operazioni eseguibili, le modalità di acquisizione dei dati dai sistemi informativi dei soggetti che li detengono e le misure appropriate e specifiche per tutelare i diritti degli interessati, nonché i tempi di conservazione dei dati trattati (art. 7, comma 2).

Inoltre, con specifico riferimento alla circostanza che sarebbero stati estratti dalla società Insiel solo i dati di coloro che hanno prestato il consenso alla consultazione del FSE, tenuto conto delle specifiche finalità perseguite attraverso il Fascicolo che non comprendono quelle di medicina di iniziativa, si rappresenta che il consenso manifestato per i trattamenti effettuati attraverso il FSE non può considerarsi un idoneo presupposto di liceità per i trattamenti in esame svolti dell’Azienda.

Né rileva la circostanza che Insiel abbia estratto dai data base dell’Azienda i dati sulla salute degli assistiti senza una espressa autorizzazione del titolare “dando esecuzione alla citata delibera regionale, e che pertanto l’Azienda non si “consideri titolare di tale trattamento. A tale riguardo si precisa quanto segue.

Come evidenziato dalla stessa Azienda, Insiel accede alla predetta banca dati in qualità di responsabile del trattamento, da ciò si evince che la titolarità del trattamento ricade sull’ASUGI, titolarità derivante dalle disposizioni di settore, in quanto l’azienda sanitaria è l’unico soggetto legittimato a trattare le informazioni sulla salute degli assistiti sulla base del quadro normativo vigente.

Tale titolarità è del resto riconosciuta anche nelle dichiarazioni in atti della Regione (nota del XX, prot. n. XX) e di Insiel (nota del XX, prot. n. XX) a cui l’ASUGI rinvia espressamente in merito a quanto sostenuto dai predetti enti in ordine alle banche dati da cui sono stati elaborati i dati da parte di Insiel (nota delXX).

Si rappresenta inoltre che, come evidenziato nelle Linee guida 07/2020 sui concetti di titolare e di responsabile del trattamento dell’EDPB del 7 luglio 2021, è compito del titolare del dato, in questo caso dell’Azienda, decidere cosa il responsabile del trattamento debba fare in relazione ai dati personali, il quale ha il dovere di rispettare le istruzioni del titolare del trattamento, ma ha anche l’obbligo generale di rispettare la normativa di settore (punti 139, 147). Spetta inoltre al titolare adottare la decisione finale con cui si approvano le modalità di esecuzione del trattamento nonché chiedere eventuali modifiche (punto 30 delle predette Linee guida).

Nonostante l’Azienda non abbia autorizzato il trattamento legato alla stratificazione della popolazione assistita attraverso l’elaborazione dei dati presenti nelle banche dati di cui è titolare, allo stato degli atti non risulta che sia intervenuta nei confronti del responsabile per impedire tale trattamento o per chiederne la cessazione qualora lo avesse ritenuto illegittimo.

A tale riguardo, giova ribadire che la circostanza che un soggetto terzo, nel caso in esame rappresentato dalla Regione, chieda a un titolare (Azienda sanitaria), anche per il tramite del responsabile, di effettuare operazioni di trattamento su dati personali rispetto ai quali quest’ultimo è titolare, indicandone anche le modalità, non esclude che spetta a quest’ultimo, anche in base al principio di responsabilizzazione (artt. 5, par. 2 e 24 del Regolamento), valutare la legittimità della richiesta e, in particolare, la sussistenza di una idonea base giuridica per effettuare le operazioni di trattamento richieste, tanto più che, nel caso di specie, le predette operazioni hanno riguardato dati sulla salute di un ingente numero di assistiti livello regionale attraverso l’uso di algoritmi (cfr. in particolare provv. del Garante n. 63, 64, 65, 66, 67, 68, 69 e 70 del 24 febbraio 2022, doc. web n. 9752177, 9752221, 9752260, 9752299, 9752410, 9752433, 9752490 e 9752524).

Tutto ciò premesso, risulta accertato che l’Azienda ha effettuato un trattamento di dati personali, anche relativi alla salute degli assistiti del servizio sanitario regionale in assenza di un idoneo presupposto giuridico e quindi in violazione dei principi applicabili al trattamento e delle disposizioni di cui agli artt. 5, par. 1, lett. a), 9, del Regolamento, nonché dell’art. 2-sexies del Codice.

5.2. Informativa agli interessati

Sul punto l’Azienda ha rappresentato che “[…]  in tutte le informative sui trattamenti dei dati sanitari effettuati dall’Azienda vi è un espresso riferimento alla finalità di valutazione dell’assistenza sanitaria anche convenzionata”.

Emerge chiaramente che il titolare del trattamento non ha ottemperato ai propri oneri informativi non avendo fornito agli interessati le specifiche informazioni in ordine a tali trattamenti di dati personali previste dall’art. 14 del Regolamento, in quanto i dati degli interessati sono stati raccolti presso terzi,

Ciò stante, atteso che per i trattamenti svolti non può ritenersi applicabile alcuna delle esenzioni dallo svolgimento di tale obbligo informativo, di cui all’art. 14, par. 5 del Regolamento e che i dati sono stati ottenuti dall’Azienda accendendo ai propri Datawarehouse risulta accertata la violazione del principio di trasparenza di cui agli artt.  5, par. 1, lett. a) e 14 del Regolamento.

5.3 Valutazione di impatto

I trattamenti effettuati dall’Azienda hanno riguardato dati relativi alla salute di un numero elevato di soggetti vulnerabili, non può pertanto condividersi la posizione del titolare del trattamento in base alla quale una preventiva valutazione di impatto, ai sensi dell’art. 35 del Regolamento, non sarebbe stata necessaria, ciò avuto riguardo a quanto previsto dalla disposizione richiamata che stabilisce la circostanza in cui vige l’obbligo di svolgere tale adempimento, ai criteri individuati dal Gruppo art. 29 nelle Linee guida concernenti “Linee guida in materia di valutazione d'impatto sulla protezione dei dati e determinazione della possibilità che il trattamento "possa presentare un rischio elevato" ai fini del regolamento (UE) 2016/679, adottate il 4 aprile 2017 come modificate e adottate da ultimo il 4 ottobre 2017, nonché ai numerosi precedenti pronunciamenti del Garante.

Sul punto, seppure l’Azienda ha dichiarato di aver agito “in buona fede, dando attuazione a quanto già previsto dalla Regione e nell’accordo sindacale” ritenendo “Per tali ragioni [che] non […] fosse alla stessa riconducibile l’onere della valutazione di impatto”, i trattamenti effettuati sono imputabili all’Azienda, avendo estratto le informazioni dai propri data base in qualità di titolare del trattamento, quest’ultima era tenuta ad effettuare una valutazione d’impatto ai senso dell’art. 35 del Regolamento in quanto la fattispecie in esame rientra tra quelle per le quali il titolare è tenuto ad effettuare, “prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali” (art. 35 del Regolamento). Ciò, in quanto, per il trattamento in esame, ricorrono certamente due dei criteri indicati dal Comitato Europeo per la protezione dei dati per individuare i casi in cui un trattamento debba formare oggetto di una valutazione di impatto. In particolare, si fa riferimento ai seguenti criteri: trattamento di “dati sensibili o aventi carattere altamente personale” e di “dati relativi ad interessati vulnerabili” tra i quali si annoverano i malati (cfr. Linee guida in materia di valutazione d'impatto sulla protezione dei dati e determinazione della possibilità che il trattamento "possa presentare un rischio elevato" ai fini del regolamento (UE) 2016/679 adottate il 4 aprile 2017, come modificate e adottate da ultimo il 4 ottobre 2017, e fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018 -WP 248 rev.01, III, lett. B, punti 4 e 7). Si ritiene, poi, che, con riferimento al caso di specie, possano essere soddisfatti anche i criteri relativi al “trattamento di dati su larga scala” considerato che, secondo quanto dichiarato dall’Azienda il trattamento ha riguardato oltre 13.500 e l’uso innovativo o l’applicazione di nuove soluzioni tecnologiche od organizzative (cfr. richiamate Linee guida, III, lett. B, punti 5 e 8).

Si evidenzia inoltre che le disposizioni d’urgenza adottate nel corso degli ultimi mesi prevedono degli interventi emergenziali che implicano il trattamento dei dati e che sono frutto di un delicato bilanciamento tra le esigenze di sanità pubblica e quelle relative alla protezione dei dati personali, in conformità a quanto dettato dal Regolamento per il perseguimento di motivi di interesse pubblico nei settori della sanità pubblica (cfr. art. 9, par. 1, lett. i)). Resta ovviamente fermo che il trattamento dei dati personali connesso alla gestione della predetta emergenza sanitaria deve svolgersi nel rispetto della disciplina vigente in materia di protezione dei dati personali e, in particolare, dei principi applicabili al trattamento, di cui agli artt. 5 e 25, par. 2, del Regolamento, in parte sopra richiamati.

Ciò stante, si evidenzia che la predetta normativa di urgenza non ha derogato le disposizioni in materia di protezione dei dati personali relative alla valutazione di impatto sulla protezione dei dati (art. 35 del Regolamento), come dimostrano i numerosi interventi dell’Autorità in materia. Il Garante è infatti intervenuto con riferimento alla valutazione d’impatto con riferimento ai trattamenti effettuati in ambito emergenziale relativamente al sistema nazionale di contact tracing -App Immuni (cfr. provvedimenti del 1° giugno 2020, 25 febbraio 2021 e del 24 novembre 2022), alle certificazioni verdi Covid-19 (c.d. green pass, cfr. parere del 9 giugno 2021, doc. web n. 96680064, parere del 31 agosto 2021, doc. web n. 9694010, parere dell’11 ottobre 2021, doc. web n. 9707431, del 27 gennaio 2022, doc. web n. 9742129 e del 18 febbraio 2022, doc. web n. 9746905) e a specifici trattamenti effettuati da Aziende sanitarie in relazione all’emergenza da Covid-19 (cfr. provvedimenti del 13 maggio 2021, doc. web n. 9685332, del 13 gennaio 2022, doc. web n. 9744496).

Risulta pertanto accertata la violazione dell’obbligo di cui all’art. 35 del Regolamento.

6. Conclusioni

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dall’Azienda nel corso dell’istruttoria e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”, gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare tutti i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni, si confermano le valutazioni preliminari dell'Ufficio e si rileva l'illiceità dei trattamenti di dati personali effettuati dall’Azienda Universitaria Friuli Centrale in violazione dei principi del trattamento di cui agli artt. 5, par. 1 lett. a), 9, del Regolamento, nonché dell’art. 2-sexies del Codice; in violazione del principio di trasparenza, non avendo fornito agli interessati le informazioni specifiche in ordine a tali trattamenti di dati personali previste dall’art. 14 del Regolamento; in violazione degli obblighi del titolare in ordine alla valutazione d'impatto sulla protezione dei dati personali ai sensi dell'art. 35 del Regolamento.

La violazione delle predette disposizioni rende, altresì, applicabile la sanzione amministrativa prevista dall’art. 83, par. 4 e 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo.

In tale quadro, considerata l’assenza di un idoneo presupposto giuridico per il trattamento dei dati personali in esame e che l’ASUGI non ha fornito indicazioni in merito alla cancellazione degli stessi, si ritiene di dover ingiungere alla predetta Azienda, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, la cancellazione dei dati  risultanti dalla predetta elaborazione delle informazioni presenti nelle banche dati aziendali oggetto del presente provvedimento, da completarsi entro 90 giorni dall’adozione del presente provvedimento.

7. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice)

La violazione degli artt. 5 par. 1, lett. a), 9, 14 e 35 del Regolamento nonché dell’art. dell’art. 2-sexies del Codice, causata dalla condotta dell’Azienda Universitaria Friuli Centrale è soggetta all’applicazione della sanzione amministrativa pecuniaria, ai sensi dell’art. 83, par. 4, lett. a) e 5, lett. a) e b) del Regolamento.

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2 del Regolamento. In relazione alla violazione di dati personali notificata dal titolare del trattamento, ai sensi dell’art. 33 del Regolamento, si osserva che:

- la condotta ha riguardato dati relativi alla salute di oltre 40.000 assistiti del servizio sanitario regionale di cui oltre 13.500 di ASUGI;

- il trattamento ha avuto luogo nel contesto emergenziale causato dalla pandemia da covid-19;

- non sono pervenute al Garante segnalazioni o reclami da parte di specifici interessati in relazione alla questione esaminata;

- l’Azienda ha collaborato con l’Autorità nel corso dell’istruttoria e del presente procedimento.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 4 lett. a) e 5, lett. a) e b) del Regolamento, nella misura di € 55.000 (cinquantacinquemila) per la violazione degli artt. 5, par. 1 lett. a), 9, 14 e 35 del Regolamento e 2-sexies del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1 e 3, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIO’ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dall’Azienda Universitaria Giuliano Isontina, per la violazione degli dell’art. 5, par. 1, lett. a), 9, 14 e 35 del Regolamento e degli artt. degli artt. 2-sexies del Codice nei termini di cui in motivazione.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, all’Azienda Universitaria Giuliano Isontina con sede legale in Via Costantino Costantinides, 2, 34128 Trieste (TS), C.F. e P.IVA 01337320327, di pagare la somma di € 55.000 (cinquantacinquemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

alla predetta Azienda:

- in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di € 55.000 (cinquantacinquemila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981;

- ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, all’Azienda Universitaria Giuliano Isontina entro il termine di giorni 90 dalla notifica del presente provvedimento, di procedere alla cancellazione dei dati risultanti dall’elaborazione delle informazioni presenti nelle banche dati aziendali oggetto del presente provvedimento.

- ai sensi dell’art. 58, par. 1 lett. a) del Regolamento e 157 del Codice, di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto sopra ingiunto con il presente provvedimento e di fornire comunque riscontro adeguatamente documentato, entro il termine di giorni 20 dalla scadenza del termine sopra indicato; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 15 dicembre 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei

 

(1) Per “medicina di iniziativa” si intende un modello assistenziale orientato alla “promozione attiva” della salute dell’individuo, specie se affetto da malattie croniche o disabilità, e alla responsabilizzazione delle persone nel proprio percorso di cura (fonte Ministero della salute http://www.salute.gov.it/portale/temi/p2_6. jsp?id=496 &area=Cure%20primarie&menu=cure, cfr., tra i molti richiami, Ministero della salute, Assemblea generale del Consiglio Superiore di Sanità, “Telemedicina- linee guida nazionali”, 10 luglio 2012, cfr. par. 2.3.2, Decreto 02 aprile 2015 , n. 70 -Regolamento recante definizione degli standard qualitativi, strutturali, tecnologici e quantitativi relativi all'assistenza ospedaliera, Accordo tra il Governo, le Regioni e le Province autonome di Trento e Bolzano sulle linee progettuali per l’utilizzo da parte delle Regioni delle risorse vincolate ai sensi dell’articolo 1, commi 34 e 34 bis, della legge 23 dicembre 1996, n. 662 per la realizzazione degli obiettivi di carattere prioritario e di rilievo nazionale per l’anno 2014.