Provvedimento del 7 dicembre 2023 [9978342]
Provvedimento del 7 dicembre 2023 [9978342]
Condividi[doc. web n. 9978342]
Provvedimento del 7 dicembre 2023
Registro dei provvedimenti
n. 587 del 7 dicembre 2023
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il Cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n.9107633 (di seguito “Regolamento del Garante n. 1/2019”);
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n.1098801;
Relatore la prof.ssa Ginevra Cerrina Feroni;
PREMESSO
1. Il reclamo e l’attività istruttoria
L’Azienda socio sanitaria territoriale nord Milano (di seguito Azienda) il 25 febbraio 2022 ha notificato, ai sensi dell’art. 33 del Regolamento, una violazione di dati personali nell’ambito della quale è stato rappresentato che “Il sig. (Y) in data 29 gennaio 2022 si è recato ad effettuare un tampone per verificare la positività o meno al COVID. Il risultato avrebbe potuto essere verificato dal 3 febbraio c.a.. In data 31 gennaio 2022 la Sig.ra (X) (che da indagini svolte da questo ufficio è risultata coniuge del Sig. (Y) nonché dipendente di questa ASST Nord Milano) senza nessuna delega riesce a ricevere da un'operatrice sanitaria aziendale una stampa del referto”.
Con nota del 23 maggio 2022 l’Ufficio ha richiesto informazioni alla predetta Azienda in merito al rispetto dei principi di protezione dei dati personali nel trattamento effettuato attraverso il dossier sanitario aziendale, in relazione ai fatti sopra rappresentati.
Il 16 marzo 2023 il sig. (Y) ha inviato un reclamo in merito ai fatti oggetto della citata notifica di violazione con riferimento al quale l’Ufficio ha nuovamente chiesto informazioni alla predetta Azienda con la nota del 9 maggio 2023 (prot. n. 74006). Con il riscontro fornito dall’Azienda con nota del 12 maggio 2023, sono state riportate le dichiarazioni rese dalla operatrice socio sanitaria (Oss) e dall’infermiera (sig.ra X) sui fatti oggetto del reclamo e sono state indicate le attività formative svolte dall’Azienda rappresentando, in particolare, che:
“I sistemi informativi aziendali sono stati abbastanza stabili nelle loro funzioni di amministrazione fino a marzo 2020, quando a causa dell'emergenza Covid, per dare la precedenza alle necessità di cura del pazienti a fronte di un organico che accusava anch'esso problemi di disponibilità, si è deciso di dare maggiore disponibilità di accesso agli esercenti le professioni sanitarie (medici e infermieri) in quanto questi ultimi venivano destinati nei vari reparti e servizi con una cadenza quotidiana, il più delle volte senza preavviso, incompatibile con una corretta gestione delle utenze. Con lo scemare della pandemia, la componente medica è stata pian piano ricondotta alle configurazioni corrette mentre la componente infermieristica, stanti altri fattori che hanno portato a turnover oltre la media e ad un uso ancora frequentemente improvviso delle sostituzioni incrociate tra reparti, è ancora configurata con accesso su tutti i servizi";
“Risulta necessario, per esigenze organizzative, quali ad esempio l'assenza improvvisa di personale infermieristico e/o Oss, dovuta a malattia, infortuni ecc, o per aumentato flusso di pazienti da ricoverare presso alcuni Reparti, provenienti da Pronto soccorso, che si assegni personale proveniente da altre Unità operative. Tale compensazione organizzativa temporanea, risulta necessaria al fine di evitare l'interruzione di pubblico servizio”.
Successivamente, con nota del 9 giugno 2023 questo Ufficio ha chiesto ulteriori elementi informativi che sono stati forniti dalla predetta Azienda con nota del 6 luglio 2023 in cui è stato rappresentato, in particolare, che:
“Per quanto concerne gli infermieri e i medici ospedalieri durante il periodo pandemico si è approntata la medesima soluzione, ossia consentire l'accesso ai dati di tutti i reparti dell'ospedale e del pronto soccorso senza specifiche limitazioni” in relazione alla “continua e non programmabile rotazione e spostamento da un reparto all'altro in base alle esigenze del momento”;
“Al termine del periodo pandemico, per il primo gruppo preso in considerazione (infermieri e medici ospedalieri) la situazione è rimasta quasi inalterata e si sta predisponendo un processo di revisione degli accessi e dei profili; mentre per quanto riguarda il secondo gruppo (medici ambulatoriali) è stato eliminato l'accesso ai dati del pronto soccorso e sono stati inseriti in "gruppi di lavoro" relativamente all'accesso dei dati dei reparti”;
“è in atto un processo di revisione generale dei profili aziendali che porterà non semplicemente ad una loro modifica, ma a una creazione di profili ex novo calati sui reali diritti di accesso distinti per "gruppi di lavoro". Tale soluzione ha come progetto pilota le utenze del pronto soccorso, con l'obiettivo di estendere poi tale modalità a tutti i reparti. Nel frattempo, si è provveduto a eliminare tutte le utenze non più operative perché l'assegnatario della stessa non lavora più per l'ASST Nord Milano o perché non veniva più eseguito l'accesso alle stesse da un congruo lasso di tempo”;
“L'infermiera professionale (X), con mansioni relative alla Job infermieristica del reparto di Riabilitazione, ha il compito di assistenza al paziente, (in precedenza anche controllo green pass), distribuzione terapia medica, ricoveri e dimissioni, compilazione cartella, ordini alla farmacia e stampa esami dai gestionali aziendali Hopera e Concerto. La sua Responsabile conferma che non ha avuto mai in cura il Sig. (Y)”.
Con la predetta nota del 6 luglio 2023 l’Azienda ha anche allegato un documento denominato “Delega moglie del reclamante”, che tuttavia non contiene un atto di delega al ritiro del referto del reclamante (come del resto dichiarato anche nella citata notifica di violazione), ma solo una dichiarazione della sig.ra (X), moglie del reclamante, che chiede ad una collega di stampare il referto del marito (“Io (X) chiedo alla collega in mia presenza di stampare il referto del tampone di mio marito (Y) in data 31/01/22”).
In relazione alle risultanze della predetta attività istruttoria, l’Ufficio, con nota del 21 luglio 2023 (prot. n. 111862), ha notificato all’Azienda socio sanitaria territoriale nord Milano, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).
In particolare, nella predetta nota l’Ufficio ha evidenziato che la configurazione del dossier sanitario effettuata dalla predetta Azienda è stata effettuata in violazione dei principi di base del trattamento di cui agli artt. 5, par. 1, lett. a) e f), 9, 25 e 32 del Regolamento. La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 4, lett. a) e par. 5, lett. a) del Regolamento.
Con nota del 31 luglio 2023, l’Azienda ha inviato gli scritti difensivi, ribadendo quanto già rappresentato in atti e evidenziando, in particolare, che:
“La natura della violazione è da individuare in una perdita di riservatezza dei dati personali dell’interessato, in quanto agli stessi hanno avuto accesso soggetti terzi non autorizzati. (…) La violazione è circoscritta a tale evento e non ha avuto ulteriori effetti”;
“l’accesso a tali informazioni è rimasto circoscritto ai due soggetti sopraindicati, di cui uno, nel ruolo che svolgeva in tale frangente era ed è comunque tenuto al segreto professionale”;
“La violazione a parer dell’ASST denota carattere colposo, in quanto l’operatrice, che ha stampato il referto per la moglie del Sig. (Y), l’ha fatto a seguito di una specifica richiesta di quest’ultima ed era stata indotta a ritenere plausibile tale domanda a seguito della consegna di un documento in cui veniva messa per iscritto tale richiesta (non equiparabile a una delega per mancanza di più elementi)”, “contravvenendo a istruzioni aziendali (che l’avrebbero dovuta portare a non stampare il documento e a verificare l’esattezza del documento presentatole dalla Sig.ra (X)”;
“Per quanto riguarda le misure tecniche organizzative in atto per la violazione oggetto di tale prospetto, si rileva quanto segue:
- sono stati adottati, diffusi e messi a disposizione sull’intranet aziendale regolamenti e procedure aziendali. In particolar modo nel caso in specie: un Regolamento Informatico Aziendale, nel quale sono riportate precise informazioni in merito all’accesso agli applicativi, e istruzioni in merito alla gestione di atti di delega (per il quale è in uso in Azienda uno specifico modello). Inoltre, è opportuno rilevare che tali regolamenti, procedure e istruzioni interne sono in fase di revisione, questo al fine di rendere ancora più chiare e stringenti le regole interne in materia di gestione e protezione dei dati personali;
- è in fase di revisione e integrazione il sistema dei profili aziendali, questo anche in virtù della prossima attivazione del sistema di CCE;
- si è provveduto a dei controlli degli accessi ai profili aziendali, che ha portato all’eliminazione dei profili non più operativi o che non si collegavano al sistema da tempo;
- sono attivi corsi di formazione in materia di privacy”.
2. Esito dell’attività istruttoria.
2.1. Quadro giuridico di riferimento.
In via preliminare, si rappresenta che il trattamento di dati personali deve avvenire nel rispetto della normativa applicabile in materia di protezione dei dati personali e, in particolare, delle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, il “Regolamento”) e del d.lgs. n. 196 del 30 giugno 2003 (Codice in materia di protezione dei dati personali – di seguito, il “Codice”).
Con particolare riferimento alla questione in esame, si evidenzia che i dati personali devono essere “trattati in modo lecito corretto e trasparente” (principio di “liceità, correttezza e trasparenza” e “in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti (principio di “integrità e riservatezza”)” (art. 5, par. 1, lett. a) e f) del Regolamento).
Il Regolamento prevede poi che il titolare del trattamento metta in atto “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”, tenendo conto, tra l’altro, “della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” (art. 32 del Regolamento).
Tenendo conto tra l’altro della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso il titolare del trattamento deve poi mettere in atto misure tecniche e organizzative adeguate, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione e a garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento (art. 25 del Regolamento).
Con riferimento ai trattamenti oggetto del citato reclamo, il Garante ha adottato le “Linee guida in materia di Dossier sanitario - 4 giugno 2015” (Provvedimento del 4.6.2015, pubblicato in G.U. 164 del 17 luglio 2015, consultabile su www.gpdp.it doc web n. 4084632), nelle quali sono state individuate un primo quadro di cautele, al fine di delineare specifiche garanzie e responsabilità, nonché misure e accorgimenti necessari ed opportuni da porre a garanzia dei cittadini, in relazione ai trattamenti di dati sanitari che li riguardano, che, al pari degli altri provvedimenti dell’Autorità, continuano ad applicarsi anche dopo la piena applicazione del Regolamento, in quanto compatibili con lo stesso (art. 22, comma 4, d.lgs n. 101/2018).
Nelle richiamate linee guida del 2015 il Garante ha specificato che il dossier sanitario, costituendo l’insieme dei dati personali generati da eventi clinici presenti e trascorsi riguardanti l’interessato, costituisce un trattamento di dati personali specifico e ulteriore rispetto a quello effettuato dal professionista sanitario con le informazioni acquisite in occasione della cura del singolo evento clinico; come tale, quindi, si configura come un trattamento facoltativo. All’interessato, infatti, deve essere consentito di scegliere, in piena libertà, che le informazioni cliniche che lo riguardano siano trattate o meno in un dossier sanitario, garantendogli anche la possibilità che i dati sanitari restino disponibili solo al professionista sanitario che li ha redatti, senza la loro necessaria inclusione in tale strumento. Ciò significa che qualora l’interessato non manifesti il suo consenso al trattamento dei dati personali mediante il dossier sanitario il professionista che lo prende in cura avrà a disposizioni solo le informazioni rese in quel momento dallo stesso interessato (es. raccolta dell’anamnesi, delle informazioni relative all’esame della documentazione diagnostica prodotta) e quelle relative alle precedenti prestazioni erogate dallo stesso professionista. Analogamente, in tale circostanza, il personale sanitario di reparto/ambulatorio avrà accesso solo alle informazioni relative all’episodio per il quale si è rivolto presso quella struttura l’interessato e alle altre informazioni relative alle eventuali prestazioni sanitarie erogate in passato a quel soggetto da quel reparto/ambulatorio (c.d. accesso agli applicativi verticali dipartimentali).
Nelle predette Linee guida il Garante, al fine di scongiurare il rischio di un accesso alle informazioni trattate mediante il dossier sanitario da parte di soggetti non autorizzati o di comunicazione a terzi di dati sanitari da parte di soggetti a ciò abilitati, ha specificamente chiesto al titolare del trattamento di porre particolare attenzione nell’individuazione dei profili di autorizzazione e nella formazione dei soggetti abilitati, dovendo essere limitato l’accesso al dossier al solo personale sanitario che interviene nel processo di cura del paziente ed essere adottate modalità tecniche di autenticazione al dossier che rispecchino le casistiche di accesso a tale strumento proprie di ciascuna struttura sanitaria. A tal fine, nelle predette Linee guida, il Garante ha indicato ai titolari del trattamento di effettuare un monitoraggio delle ipotesi in cui il relativo personale sanitario può avere necessità di consultare il dossier sanitario, per finalità di cura dell’interessato e, in base a tale ricognizione, individuare i diversi profili di autorizzazione all’accesso.
Si rappresenta inoltre che nelle predette Linee guida l’Autorità ha ritenuto che “il titolare del trattamento deve mettere in opera sistemi per il controllo degli accessi anche al database e per il rilevamento di eventuali anomalie che possano configurare trattamenti illeciti, attraverso l’utilizzo di indicatori di anomalie (c.d. alert) utili per orientare successivi interventi di audit. Il titolare deve prefigurare, quindi, l’attivazione di specifici alert che individuino comportamenti anomali o a rischio relativi alle operazioni eseguite dagli incaricati del trattamento (es. relativi al numero degli accessi eseguiti, alla tipologia o all’ambito temporale degli stessi)”.
Sin dalla dichiarazione dello stato di emergenza deliberato dal Consiglio dei Ministri in data 31 gennaio 2020, sono state adottati molti atti normativi d’urgenza, che contengono disposizioni anche relative al trattamento dei dati sulla salute effettuato nell’ambito degli interventi relativi alla predetta emergenza sanitaria. Le disposizioni d’urgenza prevedono degli interventi emergenziali che implicano il trattamento dei dati e che sono frutto di un delicato bilanciamento tra le esigenze di sanità pubblica e quelle relative alla protezione dei dati personali, in conformità a quanto dettato dal Regolamento europeo per il perseguimento di motivi di interesse pubblico nel settore della sanità pubblica (cfr. art. 9, par. 2, lett. i), del Regolamento).
In particolare, la disciplina dettata dall’art. 17-bis del d.l. n. 18/2020, che non ha e non avrebbe potuto derogare la disciplina sulla protezione dei dati che si fonda sul Regolamento europeo 2016/679, ha previsto esclusivamente alcune semplificazioni nel trattamento e nella comunicazione dei dati personali fra diversi titolari del trattamento, solo qualora le stesse risultino indispensabili ai fini dello svolgimento delle attività connesse alla gestione dell'emergenza sanitaria in atto e comunque nel rispetto dei princìpi di cui all'articolo 5 del Regolamento, adottando misure appropriate a tutela dei diritti e delle libertà degli interessati. Si fa ad ogni buon conto presente che la validità delle previsioni contenute nella citata disposizione è cessata il 31 dicembre 2022 (cfr. art. 10, comma 1, D.L. 24 marzo 2022, n. 24, convertito, con modificazioni, dalla L. 19 maggio 2022, n. 52).
Il trattamento dei dati personali connesso alla gestione della predetta emergenza sanitaria doveva svolgersi pertanto nel rispetto della disciplina vigente in materia di protezione dei dati personali e, in particolare, dei principi e dei limiti applicabili al trattamento, di cui all’art. 5 del Regolamento, secondo cui i dati devono essere trattati in modo lecito, corretto e trasparente nei confronti dell'interessato («liceità, correttezza e trasparenza»), “raccolti per finalità determinate, esplicite e legittime” («limitazione della finalità») e, comunque, “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (principio di minimizzazione dei dati).
Al riguardo, si rappresenta che l’Autorità ha più volte evidenziato la necessità di valutare l’applicabilità della disciplina di cui al citato art. 17-bis del d.l. n. 18 del 2020, caso per caso, richiamando l’attenzione dei titolari del trattamento operanti anche in ambito sanitario sulla circostanza che non tutti i trattamenti e le comunicazioni di dati sulla salute possono essere ricondotte a tale disposizione (cfr. tra molti, nota del 9 giugno 2020, doc. web n. 9429175).
Con specifico riferimento alla fattispecie in esame, si richiama inoltre quanto evidenziato dall’Autorità nel provvedimento del 10 novembre 2022 adottato nei confronti di una azienda sanitaria che, durante il periodo di emergenza sanitaria, aveva rimosso le misure poste a tutela dei dati dei pazienti presenti nel dossier sanitario aziendale (doc. web n. 9819792 - provvedimento confermato nel merito con sentenza del Tribunale civile di Aosta n. 144/2023.).
2.1 Ambito del trattamento e natura dei dati trattati.
Alla luce di quanto emerso negli atti istruttori, l’Azienda ha configurato il dossier sanitario nel contesto emergenziale da Covid-19 con modalità, tutt’ora parzialmente in atto, che hanno consentito al personale sanitario (medici, infermieri e Oss) di accedere a tale strumento informativo relativo a qualunque paziente sia presente nei reparti aziendali o in pronto soccorso.
Si rileva inoltre che, sebbene la predetta scelta aziendale sia stata effettuata in relazione all’emergenza da Covid-19, la rimozione dei predetti filtri non ha riguardato solo i pazienti affetti da tale patologia, ma tutti quelli afferenti all’Azienda e non è stata limitata alle sole prestazioni sanitarie rese in emergenza, bensì a tutte quelle erogate dall’Azienda dal marzo del 2020 ad oggi e quindi ben oltre il termine di cessazione dello stato di emergenza sanitaria (31.3.2022).
Ciò stante, si rileva che la scelta operata dall’Azienda ha consentito di fatto ad una operatrice socio sanitaria di accedere (e poi comunicare a terzi) alle informazioni relative alle prestazioni sanitarie erogate al reclamante alle quali non avrebbe avuto accesso se non fossero state modificate dall’Azienda le condizioni di accesso al dossier sanitario, ciò in quanto la predetta operatrice non era coinvolta nel percorso di cura dell’interessato.
Pertanto, si rileva che la scelta effettuata dell’Azienda ha reso di fatto accessibili i dossier sanitari di tutti gli assistiti della stessa a prescindere dal coinvolgimento nel percorso di cura dell’operatore sanitario e dalla circostanza che la prestazione sanitaria fosse effettivamente resa ad un paziente Covid-19 e senza neanche prevedere distinte profondità di accesso al dossier da parte delle diverse figure abilitate (Oss, medici infermieri, personale di pronto soccorso).
Da ciò si rileva che l’Azienda non ha adottato, come richiesto dalle richiamate Linee guida del Garante e dai principi di protezione dei dati personali sopra richiamati (richiamati anche dalle disposizioni emergenziali), misure che limitino l’accesso al dossier al solo personale sanitario che ha in cura l’interessato all’atto dell’accesso.
L’accesso al dossier deve essere, infatti, limitato al solo personale sanitario che verosimilmente può interviene nel tempo nel processo di cura del paziente, ovvero che, sulla base delle prestazioni erogate e dei percorsi clinici attivati, può effettivamente essere coinvolto nel percorso di cura del paziente, ferma restando la possibilità per lo stesso di accedere a dossier sanitari per i quali non è stata di default abilitato l’accesso al ricorre di specifici eventi (anche emergenziali) dichiarati dallo stesso professionista sanitario all’atto dell’accesso.
La scelta operata dall’Azienda di “consentire l’accesso ai dati di tutti i reparti dell’ospedale e del pronto soccorso senza specifiche limitazioni”, non trova, inoltre, come già rappresentato, neanche fondamento, nel richiamato art. 17-bis del d.l.n. 18 del 2020, che peraltro, come sopra evidenziato, non è più vigente dal 1° gennaio 2023.
Nel derogare alle limitazioni relative all’accesso al dossier sanitario dettate dall’applicazione della disciplina sulla protezione dei dati personali l’Azienda non ha neppure adottato un sistema per il rilevamento di eventuali anomalie che potessero configurare trattamenti illeciti, ovvero l’utilizzo di indicatori di anomalie (c.d. alert) volti ad individuare comportamenti anomali o a rischio relativi alle operazioni eseguite dai soggetti autorizzati al trattamento (es. numero degli accessi eseguiti, tipologia o ambito temporale degli stessi), utili per orientare successivi interventi di audit, in violazione quindi dei principi di integrità e riservatezza dei dati personali (art. 5, par. 1, lett. f), del Regolamento).
Si rappresenta inoltre che l’Azienda, in violazione dei principi di integrità e sicurezza dei dati (artt. 5, par. 1, lett. f), e 32 del Regolamento), non ha neanche provveduto a verificare periodicamente la persistenza delle condizioni per la validità delle utenze dei soggetti abilitati all’accesso al dossier sanitario, provvedendo -solo dopo l’intervento istruttorio di questa Autorità- ad “eliminare tutte le utenze non più operative perché l’assegnatario della stessa non lavora più per l’ASST Nord Milano o perché non veniva più eseguito l’accesso alle stesse da un congruo lasso di tempo”.
Gli elementi sopra descritti hanno reso possibile che -a seguito della richiesta della Sig.ra (X) ad una sua collega- è stato acceduto il dossier sanitario del reclamante da parte di personale sanitario che non lo aveva in cura, comunicando informazioni sanitarie ivi presenti a terzi senza alcuna delega dell’interessato.
Si rappresenta inoltre che, secondo quanto rappresentato in atti, anche al termine del periodo pandemico, “la situazione è rimasta quasi inalterata”. L’Azienda ha infatti dichiarato che “si sta predisponendo un processo di revisione degli accessi e dei profili” che “porterà non semplicemente ad una loro modifica, ma a una creazione di profili ex novo calati sui reali diritti di accesso distinti per “gruppi di lavoro”. Secondo quanto dichiarato infatti le “procedure e istruzioni interne sono in fase di revisione, questo al fine di rendere ancora più chiare e stringenti le regole interne in materia di gestione e protezione dei dati personali”.
Si rileva inoltre che, sebbene il 31 marzo 2022 sia terminato lo stato di emergenza, la predetta Azienda ha mantenuto per quanto concerne gli infermieri e i medici ospedalieri “l'accesso ai dati di tutti i reparti dell'ospedale e del pronto soccorso senza specifiche limitazioni” eliminando per i soli medici ambulatoriali l'accesso ai dati del pronto soccorso e inserendo tale categoria di professionisti in “"gruppi di lavoro" relativamente all'accesso dei dati dei reparti”.
Come dimostra il caso in esame e come espressamente dichiarato in atti, tale configurazione ha dunque reso possibile che attraverso l’utenza di un professionista sanitario operante presso l’Azienda si potesse accedere al dossier sanitario di interessati che non erano in cura presso il titolare dell’utenza, in violazione dei principi di base del trattamento di cui agli artt. 5, par. 1, lett. a) e f) e 9 del Regolamento, nonché dei principi di protezione dei dati fin dalla progettazione (privacy by design) e per impostazione predefinita (privacy by default) contemplati all’art. 25 del Regolamento.
3. Conclusioni.
Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive relative ai richiamati procedimenti non consentono di superare i rilievi notificati dall’Ufficio con gli atti di avvio dei procedimenti per l’adozione dei provvedimenti correttivi e sanzionatori, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Per tali ragioni si rileva l’illiceità del trattamento di dati personali effettuato dall’Azienda socio sanitaria territoriale nord Milano con riferimento al procedimento avviato a seguito del reclamo e della notifica di violazione, nei termini di cui in motivazione, in particolare, per aver trattato dati personali in violazione degli artt. 5, par. 1, lett. a) e f), 9, 25 e 32 del Regolamento.
In tale quadro, considerando che secondo quanto dichiarato in atti dall’Azienda le misure adottate a marzio 2020 che hanno consentito “ l'accesso ai dati di tutti i reparti dell'ospedale e del pronto soccorso senza specifiche limitazioni” sono ancora previste per gli infermieri e i medici ospedalieri, si ritiene di dover ingiungere alla predetta Azienda, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, le seguenti misure correttive da adottarsi entro 90 giorni dall’adozione del presente provvedimento:
limitare l’’accesso al dossier sanitario aziendale al solo personale sanitario che verosimilmente può interviene nel tempo nel processo di cura del paziente, ovvero che, sulla base delle prestazioni erogate e dei percorsi clinici attivati, può effettivamente essere coinvolto nel percorso di cura del paziente, ferma restando la possibilità per lo stesso di accedere a dossier sanitari per i quali non è stata di default abilitato l’accesso al ricorre di specifici eventi (anche emergenziali) dichiarati dallo stesso professionista sanitario all’atto dell’accesso;
adottare un sistema per il rilevamento di eventuali anomalie che possano configurare trattamenti illeciti, ovvero l’utilizzo di indicatori di anomalie (c.d. alert) volti ad individuare comportamenti anomali o a rischio relativi alle operazioni eseguite dai soggetti autorizzati al trattamento (es. numero degli accessi eseguiti, tipologia o ambito temporale degli stessi), utili per orientare successivi interventi di audit.
4. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).
La violazione degli artt. 5, par. 2, lett. a) e f), 9, 25 e 32 del Regolamento, causata dalla condotta dell’Azienda socio sanitaria territoriale nord Milano, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 3, 4 e 5, del Regolamento.
Si consideri che il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).
La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 85, par. 2, del Regolamento in relazione ai quali per entrambi i procedimenti si osserva che:
- l’Autorità ha preso conoscenza dell’evento a seguito della notifica di violazione effettuata dal titolare e, successivamente, mediante il reclamo dell’interessato (art. 83, par. 2, lett. h) del Regolamento);
- gli accessi illeciti hanno riguardato il dossier sanitario di un paziente da parte di una professionista sanitaria che non era coinvolta nel processo di cura delle stessa (art. 83, par. 2, lett. a) e b) del Regolamento);
- gli accessi al dossier sanitario del reclamante sono stati possibili in quanto l’Azienda ha modificato le configurazioni previste per l’accesso al dossier dei pazienti in occasione dell’emergenza da Covid-19 (art. 83, par. 2, lett. a) e d) del Regolamento);
- l’Azienda ha scelto consapevolmente di procedere alla modifica delle impostazioni per l’accesso a tutti i dossier sanitari aziendali di tutta la popolazione assistita determinando la possibilità che il dossier fosse consultato, senza neanche diverse profondità di accesso, da parte di tutti gli operatori sanitari aziendali a prescindere dal loro coinvolgimento nel percorso di cura dell’interessato (art. 83, par. 2, lett. b) e d) del Regolamento);
- la predetta scelta aziendale, sebbene sia stata effettuata in relazione all’emergenza da Covid-19, non ha riguardato solo i pazienti affetti da tale patologia, ma tutti quelli afferenti all’Azienda e alle sue articolazioni e non è stata limitata alle sole prestazioni sanitarie rese in emergenza, bensì a tutte quelle erogate dall’Azienda dal marzo del 2020 ad oggi e quindi ben oltre il periodo di emergenza sanitaria cessato il 3.3.2022 (art. 83, par. 2, lett. a), b), c) e d) del Regolamento);
- nel derogare alle limitazioni relative all’accesso al dossier sanitario dettate dall’applicazione della disciplina sulla protezione dei dati personali, l’Azienda non ha adottato un sistema per il rilevamento di eventuali anomalie che possano configurare trattamenti illeciti, ovvero l’utilizzo di indicatori di anomalie (c.d. alert) volti ad individuare comportamenti anomali o a rischio relativi alle operazioni eseguite dai soggetti autorizzati al trattamento (es. numero degli accessi eseguiti, tipologia o ambito temporale degli stessi), utili per orientare successivi interventi di audit, in violazione dei principi di integrità e riservatezza dei dati personali (art. 83, par. 2, lett. d) del Regolamento);
- l’Azienda ha avviato, ma non ancora concluso, la “fase di revisione e integrazione” del “sistema dei profili aziendali” per l’accesso al dossier dopo le modifiche introdotte a marzo 2020 in occasione dell’emergenza sanitaria da Covid-19 (art. 83, par. 2, lett. a) e c) del Regolamento);
- l’Azienda è stata destinataria di un provvedimento sanzionatorio dell’Autorità avente ad oggetto violazioni pertinenti con quella in esame (provvedimento del 27.1.2022, n. 34) (art. 83, par. 2, lett. e) del Regolamento).
In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, per la violazione degli artt. 5, par. 2, lett. a) e f), 9, 25 e 32 nella misura di 40.000 (quarantamila) per il procedimento avviato a seguito del reclamo quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettive, proporzionate e dissuasive.
Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
TUTTO CIÒ PREMESSO IL GARANTE
dichiara l’illiceità del trattamento di dati personali effettuato, in entrambi i procedimenti descritti, dall’Azienda socio sanitaria territoriale nord Milano, per la violazione degli art. 5, par. 1, lett. a) e f), 9, 25 e 32 del Regolamento nei termini di cui in motivazione.
INGIUNGE
ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, all’Azienda socio sanitaria territoriale nord Milano, entro il termine di giorni 90 dalla notifica del presente provvedimento, di:
limitare l’’accesso al dossier sanitario aziendale al solo personale sanitario che verosimilmente può interviene nel tempo nel processo di cura del paziente, ovvero che, sulla base delle prestazioni erogate e dei percorsi clinici attivati, può effettivamente essere coinvolto nel percorso di cura del paziente, ferma restando la possibilità per lo stesso di accedere a dossier sanitari per i quali non è stata di default abilitato l’accesso al ricorre di specifici eventi (anche emergenziali) dichiarati dallo stesso professionista sanitario all’atto dell’accesso;
adottare un sistema per il rilevamento di eventuali anomalie che possano configurare trattamenti illeciti, ovvero l’utilizzo di indicatori di anomalie (c.d. alert) volti ad individuare comportamenti anomali o a rischio relativi alle operazioni eseguite dai soggetti autorizzati al trattamento (es. numero degli accessi eseguiti, tipologia o ambito temporale degli stessi), utili per orientare successivi interventi di audit.
Al riguardo, si richiede all’Azienda di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto sopra ingiunto con il presente provvedimento e di fornire comunque riscontro adeguatamente documentato, ai sensi dell’art. 157 del Codice, entro il termine di giorni 20 dalla scadenza del termine sopra indicato; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento
ORDINA
ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, all’Azienda socio sanitaria territoriale nord Milano, C.F. 09320420962, di pagare la somma di euro 40.000 (quarantamila) a titolo di sanzione amministrativa pecuniaria per le predette violazioni secondo le modalità indicate in allegato, entro 30 giorni dalla notifica in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà delle sanzioni comminate.
INGIUNGE
alla predetta Azienda, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare le somme di euro 40.000 (quarantamila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.
DISPONE
ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 7 dicembre 2023
IL PRESIDENTE
Stanzione
IL RELATORE
Cerrina Feroni
IL SEGRETARIO GENERALE
Mattei
