g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Ordinanza ingiunzione o revoca
  4. Provvedimento del 26 ottobre 2023 [9964729]

Provvedimento del 26 ottobre 2023 [9964729]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9964729]

Provvedimento del 26 ottobre 2023

Registro dei provvedimenti
n. 500 del 26 ottobre 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, l’avv. Guido Scorza, componente, e il Cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE” (di seguito “Codice”);

VISTO il d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Le notifiche di data breach e il procedimento istruttorio

Con nota del XX, l’Azienda Sanitaria Locale TO3, sita in Collegno (TO),  Via Martiri XXX Aprile, 30 – c.a.p. 10093 – Codice Fiscale/P.IVA: 09735650013, PEC: aslto3@cert.aslto3.piemonte.it, (di seguito “Azienda sanitaria”) ha notificato una violazione di dati personali, ai sensi dell’art. 33 del Regolamento, avente ad oggetto l’errata consegna di referti radiologici contenuti su CD.

In particolare, l’Azienda sanitaria ha rappresentato che:

- “la violazione si riferisce allo scambio di n. 3 CD contenenti immagini radiografiche e relativi referti radiologici cartacei. In data XX il Sig. XX richiedeva copia dei propri referti radiografici su supporto CD all’ufficio Cartelle Cliniche dell’Ospedale di Rivoli. In data XX il Sig. XX riceveva un CD contenente esami identificati con i numeri XX e XX. In data XX la Sig.ra XX richiedeva la documentazione del padre defunto Sig. XX (cartella clinica e i CD dei referti radiografici). In data XX riceveva 2 CD contenente esami identificati con numeri XX e XX. In data XX la Sig.ra XX si accorgeva che nel bustone contenente la cartella clinica, la busta del CD a lei consegnato, era etichettata con un nominativo di altro paziente (il Sig. XX). In data XX la Sig.ra XX inviava e.mail all’Ufficio Relazioni con il pubblico segnalando l’accaduto. In data XX la Direzione Medica dell'Ospedale di Rivoli prendeva atto dell'errore e procedeva a prendere contatti con la Sig. XX per concordare un appuntamento per la restituzione del CD corretto. In data XX la Sig.ra XX riconsegnava la busta dalla stessa non aperta, contenente due CD del Sig. XX all'Ufficio cartelle cliniche dell'Ospedale di Rivoli e ritirava il CD contenente le immagini radiografiche del Sig. XX In pari data la Direzione Medica dell'Ospedale di Rivoli procedeva a prendere contatti con la Sig.ra XX (delegata dal Sig. XX) per concordare un appuntamento per la restituzione dei CD corretti ed in quell’occasione riceveva conferma dalla medesima, tramite e.mail, dell’avvenuto errore di consegna. In data XX la Sig.ra XX si recava presso l'Ufficio cartelle cliniche dell'Ospedale di Rivoli per riconsegnare il CD contenente le immagini radiografiche del Sig. XX e ritirare i CD contenente le immagini radiografiche del Sig. XX”;

- “al momento della violazione esisteva un'apposita istruzione operativa per la consegna da parte degli operatori dell'Ufficio Cartelle Cliniche. A seguito di tali istruzioni (…)  in caso di richiesta di documentazione iconografica, l'uff. Cartelle Cliniche richiede la preparazione del CD immagini alla Struttura di competenza; (...) il rilascio della documentazione avviene in busta chiusa anonima, pinzata con relativo modulo di richiesta compilato e autorizzato e copia dei documenti d'identità; (...) al momento del ritiro in presenza della documentazione richiesta l'utente deve esibire un documento di riconoscimento; l'operatore ne verifica la congruenza; (...) l'operatore dell'Uff., Cartelle Cliniche fa firmare il modulo nell'apposita sezione destinata al ritiro, stacca il modulo che viene conservato presso il presidio e consegna la busta chiusa all'utente. L'Azienda ha formato i Designati al trattamento dei dati in materia di data protection e gestione di data breach. L'Azienda, inoltre, ha adottato una procedura in caso di data breach (violazione dei dati) approvata in ultima versione con Delibera n.150 del 28/02/2020”;

- “in data XX, la Direzione Medica dell'Ospedale di Rivoli ha indirizzato una mail ai funzionari preposti per richiamare l'attenzione su quanto accaduto al fine di prevenire eventuali episodi analoghi. L'uff. Cartelle Cliniche si è occupato di recuperare la documentazione oggetto di violazione nel minor tempo possibile e consegnare la documentazione corretta al fine di evitare ulteriori disagi a carico degli interessati”;

- sono state pianificate le seguenti misure tecniche e organizzative: ”1) Il Titolare del trattamento ha pianificato un aggiornamento formativo specifico nell'ambito della gestione delle violazioni dati personali e nell'ambito corretta gestione del dato anagrafico del paziente. 2) Il Titolare ha avviato la revisione della procedura di preparazione e consegna della documentazione clinica dell'Uff. Cartelle Cliniche. 3) Il Titolare ha avviato le attività tecnico informatiche previste per dare la possibilità agli utenti di utilizzare il FSE regionale anche per la visione delle immagini radiografiche. 4) Il Titolare valuterà, nell'ambito della consegna materiale dei referti, misure di sicurezza tali da minimizzare l'esposizione in chiaro dei dati trattati e limitare l'accesso ai referti da parte dei soli autorizzati”;

- “in concreto l'evento di violazione dati ha riguardato un numero ridotto di interessati e un tempo di violazione contenuto. Gli interessati non hanno di fatto lamentato ulteriori danni oltre al disagio di recarsi nuovamente presso la struttura ospedaliera. L'episodio si deve intendere accidentale e isolato derivante da errore umano e infine attualmente non risultano esserci state conseguenze significative relativa alla condizione sociale ed alla salute psico-fisica degli interessati. Tuttavia, vista la particolarità dei dati oggetto della violazione, il Titolare del trattamento ha effettuato la comunicazione della violazione agli interessati”.

Successivamente, con nota del XX, l’Azienda sanitaria ha notificato all’Autorità un’altra violazione di dati personali, ai sensi dell’art. 33 del Regolamento, riguardante, anche in tal caso, una consegna errata di CD contenenti referti radiologici, dichiarando che “la violazione si riferisce allo scambio di n. 2 CD contenenti immagini radiografiche di n. 2 pazienti afferenti l'Ospedale di Rivoli. In data XX al paziente XX presso lo sportello della segreteria della S.C. Radiologia dell'Ospedale di Rivoli, veniva consegnata una busta contenente il referto cartaceo corretto ed un CD errato con immagini radiografiche della paziente XX In data XX alle ore 17.42, il paziente XX inviava una e.mail all'URP dell'Azienda per segnalare l'accaduto. In data XX la Direzione Medica e il Responsabile della S.C. Radiologia del P.O. di Rivoli, prendevano atto del problema e procedevano, nella medesima data, a prendere contatti con il paziente XX per concordare che il XX sarebbe stato consegnato presso il domicilio del paziente il CD corretto e ritirato quello errato appartenente alla paziente XX Anche la paziente XX in data XX è stata contattata dalla segreteria della S.C. Radiologia dell'Ospedale per comunicarle l'accaduto e contestualmente provvedere nella medesima giornata alla consegna presso il suo domicilio e del CD corretto e al ritiro di quello errato appartenente al paziente XX”

Nella stessa occasione, nell’evidenziare che si sarebbe trattato di un errore umano, è stato precisato che “al momento della violazione esisteva un'apposita istruzione operativa per la consegna dei referti da parte degli operatori della segreteria della S.C. Radiologia dell'Ospedale di Rivoli secondo cui: "Nessun referto di diagnostica per immagini può essere consegnato al paziente se non previo accurato controllo della corrispondenza fra cognome, nome, id utente presente in etichetta e contenuto della busta che deve corrispondere (referto cartaceo e cd)".

L’Azienda sanitaria ha, altresì, dichiarato che “in data XX il Responsabile della S.C. Radiologia del P.O. di Rivoli ha indirizzato apposita comunicazione via e.mail alle strutture addette alla consegna dei referti per ribadire che nessun referto di diagnostica per immagini deve essere consegnato al paziente se non previo accurato controllo della corrispondenza fra cognome, nome, id utente presente in etichetta e contenuto della busta che deve corrispondere (referto cartaceo e cd)”.

E’ stato, inoltre, valutato che la violazione non fosse suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, in quanto “in concreto l'evento di violazione dati ha riguardato un numero ridotto di interessati e un tempo di violazione contenuto. Gli interessati non hanno di fatto lamentato ulteriori danni, dovuto anche al fatto che i referti cartacei erano corretti. Il paziente XX che ha soltanto lamentato la necessità di dover ripetere una visita specialistica. L'episodio si deve intendere accidentale e isolato derivante da errore umano e, infine, attualmente non risultano esserci state conseguenze significative relative alla condizione sociale ed alla salute psico-fisica degli interessati. Tuttavia, vista la particolarità dei dati oggetto della violazione, il Titolare del trattamento ha effettuato la comunicazione della violazione agli interessati”.

In relazione a quanto rappresentato negli atti di notifica di violazione, l’Ufficio, con nota del XX (prot. n. XX), disponendo la riunione - ai sensi dell’art. 10, comma 4, del Regolamento n. 1/2019 del 4 aprile 2019, concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante disponibile sul sito istituzionale www.garanteprivacy.it, doc. web n. 9107633 - dei procedimenti istruttori relativi a entrambe le notifiche di violazione sopra citate in quanto riguardanti fattispecie analoghe (fasc. nn. DB001930 e DB001989), ha notificato all’Azienda sanitaria, in qualità di titolare del trattamento, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitandola a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

Ciò, in quanto, sulla base degli elementi in atti e delle relative valutazioni dell’Ufficio è risultato che l’Azienda sanitaria ha effettuato alcune comunicazioni di dati relativi alla salute in assenza di un idoneo presupposto giuridico, in violazione dei principi di base del trattamento e degli obblighi in materia di sicurezza del trattamento (artt. 5, 9 e 32 del Regolamento).

In data XX, l’Azienda sanitaria ha prodotto una memoria difensiva al fine di rappresentare, fra altro, che:

- “Ad avviso di questa Amministrazione, l’evento ha avuto natura accidentale. La procedura “Gestione della cartella clinica” prevede infatti che, nel caso di referti di diagnostica per immagini (…)  al momento della formazione e archiviazione del documento: - il referto viene stilato dal medico responsabile in duplice copia; - il medico esecutore firma il referto; - ogni referto è identificato con i dati anagrafici del paziente (nome cognome e data di nascita) il reparto e la data dell’esecuzione dell’esame; - una copia viene inviata al reparto con le radiografie in visione e viene allegata alla cartella clinica altrimenti consegnata al paziente; - una copia viene archiviata in sala referti; - alla dimissione vengono raggruppati il referto e le radiografie e archiviati; - in sala referti rimane il registro degli esami eseguiti redatto in duplice forma archiviato per numero progressivo di registrazione e per ordine alfabetico. Successivamente, al momento dell’estrazione di copia (…), l’operatore consegni in busta chiusa all’interessato richiedente le copie dei documenti richiesti solo a seguito di verifica della sua identità. Ulteriori, specifiche istruzioni venivano inoltre fornite dalla Direzione Medica (…) affinché l’operatore verificasse accuratamente la rispondenza dei dati identificativi sulla busta con i dati del richiedente”;

- “In ordine alla gravità della violazione, si rinvia a quanto già esposto negli atti di notifica, in quanto pur constatando che gli eventi di cui si discute abbiano un rischio teorico alto, tuttavia l’impatto, misurato sulla tabella 1 del manuale ENISA WP2017 0-2-2-5 (tabella della gravità in ragione delle potenziali conseguenze per l’interessato), riportato al caso concreto ha evidenziato che in effetti gli interessati risultano aver patito conseguenze compatibili con la gravità “bassa” dell’evento”;

- “Il numero di interessati coinvolti nella violazione è pari a 2 per ciascun evento, per un totale di quattro persone”;

- “La violazione ha avuto complessivamente una durata contenuta; si osserva infatti che i due eventi qui riuniti si sono verificati entrambi nel lasso di tempo intercorrente tra il XX (giorno in cui veniva avveniva lo scambio di CD relativo al DB001989) e il XX (giorno della consegna erronea del secondo set di CD relativo al DB001930)”;

- “Entrambe le violazioni hanno avuto carattere colposo. La condotta risulta essere stata accidentale, e rettificata non appena appresa, come riportato nella notificazione (…) Questa Amministrazione ha provveduto tempestivamente, non appena appreso dell’evento, a organizzare il ritiro dei referti per immagini consegnati erroneamente e la loro riconsegna al destinatario corretto”;

- “(…) il personale addetto all’ufficio Cartelle Cliniche e allo sportello ha ricevuto formazione sul trattamento dei dati personali (…) La procedura è attualmente in fase di revisione, allo scopo di ridurre l’uso di dati anagrafici del paziente in chiaro sulla busta di consegna (…) e migliorare le istruzioni finalizzate alla preparazione delle buste, aumentando i controlli, compatibilmente con le risorse disponibili. Trattandosi di operazione in larga parte manuale, la direzione competente ha proceduto ad un richiamo degli operatori alle regole di procedura (…). L’Amministrazione ha proceduto immediatamente alla predisposizione e somministrazione di formazione supplementare (affidata al Data Protection Officer aziendale) in merito all’importanza della tutela del dato del paziente, e al trattamento dei rischi di data breach”;

- “la struttura "Direzione Medica Ospedaliera", nel corso dell'ultimo quinquennio, ha subito l'avvicendarsi di diversi responsabili nonché momenti di assenza di un Responsabile di struttura (…). Tale circostanza ha sicuramente interferito nell’attività di controllo dell’efficace svolgimento delle procedure, così come con l’attività di aggiornamento e completamento della procedura stessa”;

- “(…) al tempo della rilevazione dell’evento, la struttura in questione si trovava sotto stress indotto dalla situazione pandemica. In particolare, nel XX (…) questa Amministrazione doveva 7 attivare lo scenario 2 del Piano di Emergenza Aziendale Covid4, il quale prevedeva che tutta l'attività ambulatoriale non urgente, territoriale e ospedaliera, fosse progressivamente temporaneamente sospesa; (…) il carico maggiore dell’attività clinica volta al contrasto della pandemia ricadeva proprio sulla struttura di Rivoli, in cui si verificarono gli eventi rilevati. Anche sotto il profilo della dotazione organica, la situazione diveniva critica; il Piano di scenario 2 prevedeva infatti che i Punti di Primo Intervento, di Venaria e Giaveno sarebbero stati temporaneamente riconvertiti ad Hub vaccinali, per dedicare il personale medico al necessario incremento della campagna per le vaccinazioni onde far fronte all’istruzione, diramata dalla Regione Piemonte, di aumentare del 50% l'attività vaccinale, che per l’Azienda avrebbe comportato un obiettivo da raggiungere di circa 7.000 vaccini al giorno. A causa di tale sovraccarico, l’intera struttura organizzativa aziendale veniva riorganizzata in senso emergenziale, con sospensione dell’attività chirurgica d’elezione negli Ospedali di Rivoli e Pinerolo, garantendo unicamente, in tutti i presidi ospedalieri l'attività chirurgica in emergenza, l'attività chirurgica oncologica e le urgenze indifferibili. L’attività di supporto amministrativo pativa peraltro allo stesso modo”;

- “l’Amministrazione esponente (…) ha approvato il bilancio previsionale 2021 con un disavanzo ante imposte pari a € 27.243.601,00, in crescita, rispetto al disavanzo 2020, di ben € 11.730.336,00 (…); al riguardo, come chiaramente indicato nella Relazione al bilancio previsionale 2021, il disavanzo complessivo (comprensivo delle imposte), pari a € 43.029.000,00 è imputabile per € 41.023.000,00 a costi Covid, direttamente collegati, quindi, con le necessità indotte dal contesto pandemico”;

L’Azienda sanitaria ha, poi, effettuato considerazioni sulla qualificazione della violazione, ritenendo trattarsi di una divulgazione di dati relativi alla salute imprevista e accidentale determinante una violazione della riservatezza che non rientrava nella finalità del trattamento. Il titolare ha, altresì, evidenziato di ritenere che in tale fattispecie, per quanto attiene alla inosservanza degli aspetti riguardanti la protezione dei dati e la sicurezza del trattamento, rilevi unicamente la portata dell’art. 32 del Regolamento, che contempla anche i casi di violazione per errore umano, in ragione della sussistenza delle misure, dal titolare valutate ex ante come adeguate, per effettuare il trattamento oggetto della vicenda in questione.

Ciò, comportando che “l’applicazione della sanzione amministrativa prevista dall’articolo 83, par. 4 e 5 del Regolamento dovrebbe essere corretta nel senso che esse potrebbero comportare unicamente l’applicazione della sanzione prevista dall’articolo 83 par. 4, con esclusione ab origine dell’applicabilità del par.5”.

Infine, l’Azienda sanitaria ha evidenziato la tempestività nella riparazione degli errori di trasmissione, l’individuazione di misure correttive che si “prospettano idonee a ridurre il rischio di una ripetizione dell’evento in futuro”, il numero “esiguo di persone fisiche” interessate delle quali “nessuna di esse ha lamentato effetti significativi sull’esercizio dei propri diritti e libertà fondamentali”.

Per quanto sopra, il titolare del trattamento ha chiesto, in via principale, l’archiviazione dei procedimenti e, in subordine, che l’Autorità rivolga al medesimo ammonimenti in luogo della sanzione amministrativa, da adottare, in via ulteriormente subordinata, nella misura “più bassa possibile considerato che la violazione ha avuto breve durata e in particolare solo 9 giorni, che il numero di interessati potenzialmente lesi è di sole quattro unità e che comunque essa ha avuto carattere colposo”.

In data XX si è svolta l’audizione, nel corso della quale il titolare del trattamento ha tenuto a precisare quanto segue: 

- “gli eventi notificati si sono verificati in tempi ravvicinati in un periodo di forte stress anche organizzativo determinato dalla situazione emergenziale pandemica, considerato, altresì, che parte del personale è stato dirottato in tutte le attività necessarie alla gestone della pandemia (effettuazione tamponi, vaccini, ecc.)”;

- “considerato che la media di consegna è di 120 cartelle cliniche al mese, i casi notificati possono essere considerati casi isolati”;

- “ciononostante si è proceduto alla revisione della procedura della consegna della documentazione per limitare il ripetersi di eventi analoghi”;

- “nell’ambito della revisione della procedura si è posta particolare attenzione alla minimizzazione dei dati necessari ad identificare gli interessati nelle buste, indicando soltanto nome, cognome, il numero identificativo del paziente e la data dell’esame”:

- “le comunicazioni sono state determinate da un errore umano nella fase di imbustamento da parte dell’operatore; non è, quindi, possibile, eliminare del tutto il rischio; l’evento si è verificato come interferenza nel programma di trattamento e, in nessun caso, come scelta di accettazione del rischio”;

- “nonostante i precedenti interventi formativi, si è ritenuto necessario potenziare l’attività di formazione, anche attraverso la sensibilizzazione del personale, in relazione alle ipotesi di errore umano. In particolare, l’approccio della formazione è orientato al ritenere che il dato personale del paziente venga tutelato allo stesso modo della salute dello stesso; è considerato estensione e parte della sfera morale del paziente”.

2. Esito dell’attività istruttoria

Preso atto di quanto rappresentato e documentato nel corso del procedimento istruttorio dalla Azienda sanitaria, dapprima con gli atti di notifica di violazione e, successivamente, con la memoria difensiva e nel corso dell’audizione, si osserva che:

- per “dati relativi alla salute” si intendono “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, n. 15 del Regolamento). Le informazioni oggetto della notifica costituiscono, pertanto, dati relativi alla salute;

- per “comunicazione” si intende “il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato, dal rappresentante del titolare nel territorio dell’Unione europea, dal responsabile o dal suo rappresentante nel territorio dell’Unione europea, dalle persone autorizzate, ai sensi dell’art. 2-qiaterdecies, al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile, in qualunque forma, anche mediante la loro messa a disposizione, consultazione o mediante interconnessione” (art. 2-ter, comma 4, lett. a) del Codice);

- la disciplina in materia di protezione dei dati personali prevede – in ambito sanitario - che le informazioni sullo stato di salute possono essere comunicate solo all’interessato e possono essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico (art. 9 Regolamento e art. 84 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101);

- il titolare del trattamento è, inoltre, tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di «integrità e riservatezza», secondo il quale i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza dei dati personali (medesimi), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (art. 5, par. 1, lett. f) del Regolamento);

- più precisamente, in materia di sicurezza del trattamento, l’art. 32 del Regolamento, stabilisce che “tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio […]” (par. 1) e che “nel valutare l’adeguato livello di sicurezza si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati” (par. 2);

- l’Azienda sanitaria ha dichiarato che, successivamente al primo data breach (notificato il XX), “in data XX, la Direzione Medica dell'Ospedale di Rivoli ha indirizzato una mail ai funzionari preposti per richiamare l'attenzione su quanto accaduto al fine di prevenire eventuali episodi analoghi”. Episodio analogo si è, tuttavia, verificato a breve distanza di tempo tanto che l’Azienda medesima, nella notifica di tale ulteriore data breach del XX, ha dichiarato che “in data XX il Responsabile della S.C. Radiologia del P.O. di Rivoli ha indirizzato apposita comunicazione via e.mail alle strutture addette alla consegna dei referti per ribadire che nessun referto di diagnostica per immagini deve essere consegnato al paziente se non previo accurato controllo della corrispondenza fra cognome, nome, id utente presente in etichetta e contenuto della busta che deve corrispondere (referto cartaceo e cd)”;

- l’Azienda sanitaria ha riferito di aver agito prontamente, in entrambi gli episodi oggetto di notifica all’Autorità, al fine di “(…) organizzare il ritiro dei referti per immagini consegnati erroneamente e la loro riconsegna al destinatario corretto”. Sulla base di quanto dichiarato dal titolare, la condotta riferita ai due episodi oggetto di notifica, è di natura colposa e gli eventi di carattere accidentale, il numero di soggetti coinvolti nelle vicende in questione “è pari a 2 per ciascun evento, per un totale di quattro persone”, i due eventi si sono verificati nel lasso di tempo intercorrente tra il XX e il XX e l’Azienda sanitaria ha potenziato l’attività di aggiornamento formativo specifico. Quanto alla procedura di consegna dei referti, il titolare ha dichiarato che “(…) è attualmente in fase di revisione, allo scopo di ridurre l’uso di dati anagrafici del paziente in chiaro sulla busta di consegna (…) e migliorare le istruzioni finalizzate alla preparazione delle buste, aumentando i controlli, compatibilmente con le risorse disponibili”. L’Azienda sanitaria, ha avuto cura di precisare quale fosse la situazione al tempo degli accadimenti occorsi, evidenziando di trovarsi in un contesto di pressione e “(…) stress indotto dalla situazione pandemica” a causa dei disagi organizzativi determinati dalla situazione emergenziale. In ultimo, l’Azienda ha evidenziato lo stato di difficoltà economico-finanziario, nel quale attualmente versa, rappresentato da un bilancio deficitario.

3. Conclusioni

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ gli elementi forniti dal titolare del trattamento nelle memorie difensive e nel corso dell’audizione sopra richiamate, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Le argomentazioni addotte dal titolare non risultano, infatti, idonee ad escludere la responsabilità della parte in relazione a quanto contestato, in quanto, con riferimento all’errore in cui sarebbe incorso l’autorizzato che ha effettuato le operazioni di trattamento in questione, non si ravvisa la condizione che permette di affermare che l’errore sia stato inevitabile e incolpevole, tale cioè da essere evitato con l'ordinaria diligenza. Alla luce di consolidata giurisprudenza della S.C. (Cass. n. 5426/2006, Cass. n. 7885/2011, Cass. n. 16320/2010, Cass. n. 19759/2015, Cass. n. 33441/2019 e Cass. n.17822/2021), ai fini dell’applicazione dell’art. 3 della legge n. 689/1981 è necessario che la buona fede o l’errore si fondino su un elemento positivo, estraneo all’agente e idoneo a determinare in lui la convinzione della liceità del suo comportamento (errore scusabile). Tale elemento positivo deve risultare non ovviabile dall’agente con l’uso dell’ordinaria diligenza. Nel caso di specie, l’operatore avrebbe potuto diligentemente accertare, attraverso un più accurato controllo dei dati, la correttezza delle operazioni effettuate in occasione dell’imbustamento dei referti, evitando in tal modo di comunicare dati sulla salute a soggetti terzi, non autorizzati.

Per tali ragioni si confermano le valutazioni preliminari dell'Ufficio e si accerta l’illiceità del trattamento dei dati personali effettuato dall’Azienda Socio Sanitaria Locale TO 3 con sede in Collegno (TO), nei termini di cui in motivazione.  

L’Azienda, infatti, nelle due vicende oggetto di notifica di data breach, ha - sebbene involontariamente, come dichiarato dalla stessa, a causa dell’errore dell’operatore nella fase dell’imbustamento dei referti (cfr. verbale di audizione del XX) - consegnato alcuni referti (riferiti, complessivamente, nelle due vicende, a n. 4 pazienti) a soggetti terzi (due nel primo caso di data breach e due nel secondo caso) non autorizzati a riceverli. Ciò, effettuando una comunicazione illecita di dati relativi alla salute, in quanto avvenuta in assenza di un presupposto giuridico che legittimasse la conoscenza delle predette informazioni da parte dei destinatari, in violazione dei principi di base di cui all’art. 5, lett. f) (principio di “integrità e riservatezza”) e all’art. 9 del Regolamento, nonché degli obblighi di sicurezza dei dati personali di cui all’art. 32 del Regolamento medesimo. 

In tale quadro, considerato che l’Azienda Sanitaria Locale TO3, a seguito degli eventi occorsi, ha provveduto al ritiro dei referti in questione e adottato ulteriori misure tecniche e organizzative ritenute necessarie per scongiurare futuri analoghi accadimenti e, comunque, per ridurre al minimo l’errore umano, non ricorrono i presupposti per l’adozione di provvedimenti, di tipo prescrittivo o inibitorio, di cui all’art. 58, par. 2, del Regolamento.

4. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, par. 1, lett. f), 9 e 32 del Regolamento, causata dalla condotta posta in essere dalla ASL TO3, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 4, lett. a) e par. 5, lett. a) del Regolamento e 166, commi 1 e 2, del Codice.

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2, del Regolamento, in relazione ai quali si osserva che:

- la comunicazione, effettuata dalla Azienda sanitaria, dei dati contenuti nei referti inviati a soggetti terzi non autorizzati a riceverli ha riguardato dati relativi alla salute di n. 4 interessati. L’Azienda sanitaria ha riferito di aver agito prontamente, in entrambi gli episodi oggetto di notifica all’Autorità, al fine di “(…) organizzare il ritiro dei referti per immagini consegnati erroneamente e la loro riconsegna al destinatario corretto”. Al riguardo, non sono stati presentati reclami o segnalazioni all’Autorità (art. 83, par. 2, lett. a) e g) del Regolamento);

- sulla base di quanto dichiarato dal titolare, rispetto alla vicenda non emerge alcun comportamento doloso, in quanto si è trattato di un errore umano verificatosi nella fase di imbustamento della documentazione successivamente consegnata ai terzi non autorizzati (art. 83, par. 2, lett. b) del Regolamento);

- nei confronti della Azienda sanitaria medesima non sono state in precedenza adottati provvedimenti riguardanti violazioni pertinenti (art. 83, par. 2, lett. e) del Regolamento);

- l’Azienda ha tenuto un comportamento collaborativo con l’Autorità e si è attivata prontamente nel perfezionare le misure tecniche e organizzative al fine di scongiurare il ripetersi dell’accaduto (art. 83, par. 2, lett. f) del Regolamento);

- l’Azienda sanitaria, venuta a conoscenza dei due episodi di violazione a seguito della comunicazione da parte di segnalanti, ha provveduto a notificare tale violazione all’Autorità ai sensi dell’art. 33 del Regolamento (art. 83, par. 2, lett. h) del Regolamento);

- il titolare del trattamento ha precisato che il contesto storico, al momento degli accadimenti occorsi, era di “(…) stress indotto dalla situazione pandemica” a causa dei disagi organizzativi determinati dalla situazione emergenziale ed ha, altresì, evidenziato lo stato di difficoltà economico-finanziario, nel quale attualmente versa l’Azienda sanitaria, rappresentato da un bilancio deficitario (art. 83, par. 2, lett. k) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 4, lett. a) e par. 5, lett. a) del Regolamento, nella misura di euro 6.000,00 (seimila) per la violazione degli artt. 5, par. 1, lett. f), 9 e 32 del Regolamento quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dalla Azienda Sanitaria Locale TO3 sita in Collegno (TO), Via Martiri XXX Aprile, 30 – c.a.p. 10093 – Codice Fiscale/P.IVA: 09735650013, per la violazione degli art. 5, par. 1, lett. f), 9 e 32 del Regolamento nei termini di cui in motivazione;

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, alla Azienda Sanitaria Locale TO3 di pagare la somma di euro 6.000,00 (seimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento, secondo le modalità evidenziate in allegato, entro 30 giorni dalla notifica in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

alla predetta Azienda sanitaria, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 6.000,00 (seimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 26 ottobre 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
9964729

Argomenti

Dati sanitari Pazienti Data breach

Tipologie

Ordinanza ingiunzione o revoca

Vedi anche (10)