[doc. web n. 10144184]

Provvedimento del 10 aprile 2025

Registro dei provvedimenti
n. 206 del 10 aprile 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dr. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dr. Claudio Filippi, Segretario generale reggente;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n.9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n.1098801;

Relatore l’avv. Guido Scorza;

PREMESSO

1. La violazione dei dati personali e l’attività istruttoria

L’Autorità ha ricevuto una notifica di violazione in merito al trattamento di dati personali effettuato dall’Azienda Ulss n. 3 Serenissima della Regione Veneto (di seguito Azienda) mediante il dossier sanitario aziendale. In particolare, l’Azienda ha rappresentato che, a seguito della segnalazione di una interessata, è stato appurato un accesso al dossier sanitario della stessa da parte di un dipendente dettato da un “comportamento abusivo autonomo e indipendente” con riferimento al quale è stato avviato un procedimento disciplinare nei confronti dell’autore dell’accesso.

A seguito della predetta notifica di violazione, questo Ufficio ha chiesto informazioni all’Azienda con la nota del XX (prot. n. XX) a cui è stato fornito riscontro con la nota del XX in cui è stato rappresentato, in particolare, che:

“In base al Regolamento sul trattamento dei dati aziendale (allegato n. 10 e n. 10 bis) ogni responsabile di Unità Operativa, responsabile del trattamento dei dati, deve curare che, all’interno della struttura diretta, sia garantito il puntuale e rigoroso rispetto di tutte le indicazioni e le prescrizioni previste ai fini del legittimo utilizzo del Dossier Sanitario Elettronico, impartendo idonee istruzioni”;

“Ogni dipendente preposto a un determinato servizio, e tenuto ad effettuare operazioni tecniche di trattamento, è Incaricato autorizzato al trattamento dei dati nell’ambito di quel servizio”;

“Gli Incaricati ricevono idonee istruzioni riguardo le attività sui dati affidate e gli adempimenti a cui sono tenuti. I dipendenti sono stati istruiti dal Titolare in merito al corretto utilizzo del DSE (dossier) mediante organizzazione di incontri ormativi/informativi e l’invio di note contenenti le istruzioni”;

“La dipendente Infermiera XX, incaricata a svolgere attività di assistenza domiciliare, è stata autorizzata all’accesso al sistema (allegato n. 12) ai fini di esercizio dell’attività istituzionale e per il tempo strettamente necessario all’assistenza nell’ambito del servizio al quale è stata assegnata”;

“L’ambito di accesso ai dati autorizzato è quello individuato dalle schede del registro dei trattamenti (allegato n. 13: schede n. 14, n.15 e n.27)”;

“Il dettaglio dei flussi operativi e delle procedure attivate presso l’area nella quale si sono svolti i fatti (Distretto n. 4 area di Chioggia – Cavarzere), relativamente alla gestione delle credenziali utente (user e password personali) utilizzate per l’accesso ai sistemi e per la profilatura applicativa all’interno delle procedure stesse, sono riportate in dettaglio nell’allegata relazione (allegato n. 14)”;

“Ogni accesso e ogni operazione effettuata, anche la semplice consultazione, sono tracciati e registrati automaticamente in appositi file di log”;

“L’attività di cui si tratta (assistenza domiciliare) prevede un’assistenza assolutamente trasversale, sia per la tipologia dei professionisti coinvolti (medici, infermieri, professionisti della riabilitazione), sia per la connotazione socio-assistenziale e per l’estrema varietà degli assistiti potenzialmente coinvolti. Tale particolare natura trasversale dell’ADI rende quindi problematica la creazione di misure tecniche specifiche di accesso al DSE e l’impostazione di automatismi tecnici e di alert per l’individuazione di anomalie”;

“Il SIO prevede strumenti di controllo ancora più rigorosi con un’implementazione delle misure di sicurezza, mediante stringenti limitazioni nell’accesso degli operatori nel caso di pazienti non in cura”;

“L’ULSS 3 ha la gestione dei log che sono estratti da TrakCare. In questa fase transitoria viene effettuato in via generale sull’attuale DSE un controllo sui dati e log a campione”;

“E’ in corso di predisposizione la richiesta a tutti i Responsabili di verificare l’aggiornamento e di confermare i profili attualmente autorizzati nell’Unità Operativa da loro diretta”.

Successivamente, alla luce di quanto dichiarato in atti, l’Ufficio ha chiesto ulteriori informazioni (nota del XX, prot. n. XX) con specifico riferimento ai profili di autorizzazione dei soggetti abilitati all’accesso al dossier sanitario aziendale e alle connesse limitazioni di tipo soggettivo e oggettivo. È stato chiesto inoltre di illustrare le motivazioni tecniche e organizzative che non rendono possibile impostare l’accesso degli operatori sanitari che prestano assistenza domiciliare (ADI) ai soli dossier dei pazienti che sono stati autorizzati a ricevere tali prestazioni sanitarie.

Con nota del XX l’Azienda ha rappresentato, in particolare, che:

“l'ULSS n. 12 ha modificato la propria denominazione in "Azienda ULSS n. 3 Serenissima", mantenendo la propria sede legale in Venezia e ha incorporato le soppresse ULSS n. 13 Mirano e ULSS n. 14 Chioggia “;

“Ad oggi, quindi, all’interno della Azienda ULSS 3 Serenissima vi sono tre “dossier” distinti, relativi alle precedenti: ULSS 12 Venezia (incorporante); ULSS 13 Mirano (soppressa per incorporazione); ULSS 14 Chioggia (soppressa per incorporazione)”. Si tratta di tre applicativi “verticali” non collegati fra loro”;

“In un’ottica di massima adesione ai principi di protezione dei dati e di piena garanzia della sicurezza, Azienda ULSS 3 Serenissima ha ritenuto, quindi, di non rendere possibile l’interconnessione fra i sistemi in essere delle precedenti ULSS. I “dossier” sono oggi compartimentati e l’uno non condivide i dati con l’altro”;

“Come detto, dunque, il “dossier” interessato dalla vicenda - gestito tramite l’applicativo Trakcare fornito da Intersystems – non è tecnicamente il DSE della ULSS 3, ma è solo quello della ex ULSS 14 Chioggia e limita i trattamenti agli assistiti che si affidano alle prestazioni ed ai percorsi di cura offerti dalla struttura ospedaliera di Chioggia”. “Possono utilizzare tale sistema solo operatori sanitari che lavorano nella struttura intra-aziendale di Chioggia: gli operatori sanitari dei Presidi Ospedalieri e dei Distretti di Mestre, di Venezia, di Mirano e di Dolo NON hanno, quindi, accesso al “dossier” di Chioggia”;

“Si è ritenuto, in ogni caso, in un’ottica di massima attenzione ai principi dettati dal RGPD, di continuare ad applicare allo strumento in uso le regole di indirizzo delle Linee Guida del 2015”;

con riferimento “alla tipologia di soggetti abilitati all’accesso, sia in relazione all’ambito di visibilità/operatività, così come di seguito descritto:

1. profilo di autorizzazione dei medici: i medici sono autorizzati per finalità cliniche e di cura all’accesso al “dossier” di Chioggia;

2. profilo di autorizzazione degli infermieri: gli infermieri accedono al “dossier” solo in relazione agli episodi di cura relativi alle specifiche Unità operative alle quali sono assegnati, secondo una divisione “per area omogenea” (per es: area medica, area chirurgica, ecc.) e ciò tenendo conto della necessità operativa che gli infermieri operino in più reparti;

3. profilo di autorizzazione degli Operatori Socio Sanitari: gli OSS accedono solo agli specifici episodi dell’Unità Operativa a cui sono assegnati e possono esclusivamente compilare il loro specifico diario”;

“Per quanto riguarda il personale ADI (Assistenza Domiciliare Integrata, ossia l’assistenza sanitaria e socio-sanitaria territoriale), vale invece un discorso più complesso. Proprio in relazione alla tipologia di attività, allo stato attuale, il profilo di autorizzazione dell’infermiere dell’ADI non può che essere unico e più ampio rispetto a quello dell’infermiere che opera in reparto ospedaliero, potendo astrattamente dover assumere le informazioni necessarie al proseguo delle cure a domicilio, da qualsiasi ambito di ricovero. “Gli attuali operatori infermieristici ADI del distretto di Chioggia sono 16: hanno un profilo di autorizzazione al “dossier” diverso e specifico rispetto agli altri infermieri e agli altri operatori del Distretto”;

“L’assegnazione al percorso di ADI è avviato tramite: il Medico di Medicina Generale (MMG) / Pediatra di Libera Scelta (PLS); il reparto ospedaliero che ha in cura il paziente e provvede alla sua dimissione”;

“Non è stato ritenuto che ci potesse essere una valida alternativa al fatto di consentire l’accesso al “dossier” agli operatori interessati (si ribadisce si tratta di 16 infermieri con specifico profilo, il cui accesso viene loggato)”;

“Sulla base dei dati attualmente a disposizione da XX sono stati presi in carico dall’ADI di Chioggia 1.564 pazienti. I “dossier” relativi ai pazienti che hanno ricevuto cure nell’area di Chioggia (ex ULSS 14) nell’anno XX ad oggi sono 63.080”;

“l’Azienda ha intensificato l’attuale sistema di controllo a campione. Inoltre è in fase di elaborazione l’impostazione di due alert: quando l’età del paziente a cui accede il personale ADI è inferiore a 60 anni (dal momento che l’età media in questo ambito è superiore); quanto il paziente a cui accede il personale ADI non presenta eventi di cura nei 6 mesi antecedenti. Il problema poi, sarà completamente superato dall’utilizzo della piattaforma “Centrale COT” (a far data da XX) che porterà a far immediatamente cessare i profili di autorizzazione degli infermieri dell’ADI di Chioggia al “dossier””;

“Alla luce dei risultati delle prime indagini svolte nell’immediatezza dei fatti si era ritenuto di procedere, oltre alla denuncia in via prudenziale del Data Breach, al contestuale avvio, in data XX, di procedimento disciplinare nei confronti della dipendente. Dal momento che, alla luce delle risultanze dell’istruttoria compiuta, nessuna delle due argomentazioni è risultata supportata da elementi oggettivi che rendessero plausibile il quadro difensivo, il procedimento si è concluso con provvedimento n.XX, disponendo di comminare la sanzione della sospensione dal servizio con privazione dello stipendio per mesi 2 (due) ai sensi dell’art. 84, comma 8, lett. e) del CCNL del 2 novembre 2022. In data XX, prot. XX è stata, quindi, trasmessa la segnalazione in Procura”.

In relazione alle risultanze della predetta attività istruttoria, l’Ufficio, con atto n. XX del XX, ha notificato all’Azienda, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

Non avendo l’Azienda inviato le proprie memorie difensive, l’Ufficio, con le note del XX e del XX (prot. nn. XX e XX), ha sollecitato un riscontro a cui l’Azienda ha risposto con le note del 10, del XX e del XX dichiarando di aver trasmesso le memorie difensive con PEC del XX, che tuttavia non risulta pervenuta all’Ufficio (ricevute di consegna e non di accettazione in atti), e inoltrando nuovamente le medesime. Atteso il tempo trascorso, l’Ufficio ha chiesto se fossero state adottate ulteriori misure a tutela dei dati personali sul dossier sanitario aziendale rispetto a quelle presenti alla data della notifica di violazione con particolare riferimento ai seguenti elementi informativi: effettivo utilizzo, ad aprile XX, “della piattaforma “Centrale COT”” che avrebbe dovuto portare “a far immediatamente cessare i profili di autorizzazione degli infermieri dell’ADI di Chioggia al “dossier””; eventuali misure adottate per limitare l’accesso del personale ADI ai soli dossier dei pazienti in assistenza domiciliare, e non anche a tutti i pazienti assistiti dai relativi distretti di appartenenza (nel caso di specie il distretto di Chioggia) e del personale medico ai dossier sanitari dei soli pazienti in cura; eventuale implementazione di alert relativi all’età del paziente e al periodo di tempo relativo all’assenza di cure indicati in atti.

Nelle memorie ricevute a gennaio XX, l’Azienda ha rappresentato, in particolare, che:

- “L’attuale Azienda ULSS 3 Serenissima è infatti l’esito della fusione per incorporazione, intervenuta giusta art. 14 della Legge Regionale 25 ottobre 2016 n. 19 (“LR 19/2016”) a far data dal 1° gennaio 2017, nella incorporante ex ULSS 12 (Venezia Mestre) ivi ridenominata Azienda ULSS 3 Serenissima, delle incorporate allora ex ULSS 13 (Mirano- Dolo) e ex ULSS 14 (Chioggia)”;

- “Per effetto di quella fusione, i comparti amministrativi ed organizzativi aziendali sono stati fusi, ma i sistemi informativi, in particolare ospedalieri, ad oggi non ancora”; “L’effetto pratico di quella fusione è ad oggi quello per cui, dal punto di vista dei sistemi informativi ospedalieri (nei precedenti scritti denominati “dossier intra-aziendali” definibili anche quali “dossier distrettuali”), l’attuale organizzazione informatica aziendale è la seguente: (…)-Distretto Venezia-Mestre (ex ULSS 12) è dotata di un proprio sistema informativo ospedaliero e di un proprio Dossier distrettuale; (…) il Distretto di Mirano-Dolo (VE) (ex ULSS 13) ha un proprio sistema informativo ospedaliero e ha un proprio Dossier (“dossier intra-aziendali” / “dossier distrettuale”); (…) il Distretto di Chioggia (VE) (ex ULSS 14) ha un proprio sistema informativo ospedaliero e ha un proprio Dossier (“dossier intra-aziendali” / “dossier distrettuale”);

- “Tali “dossier distrettuali” non sono collegati l’un l’altro, quindi non pare potersi ad oggi definire l’esistenza di un unico e complessivo “dossier elettronico aziendale”, ossia di un sistema informativo aziendale che permetta di accedere, complessivamente ed unitariamente, ai dati personali di tutti gli assistiti dell’Azienda”;

- “In ogni caso, il personale di ognuno dei tre singoli Distretti è abilitato ciascuno esclusivamente al sistema informativo distrettuale (“dossier distrettuale”) di propria competenza, afferenza ed attribuzione, per cui: medici del Distretto di Chioggia ex ULSS 14 accedono unicamente al “dossier distrettuale”, rectius al software verticale informativo ospedaliero, della sola ed esclusiva struttura di Chioggia; non accedono e non possono accedere alle informazioni di pertinenza degli altri Distretti (ex ULSS 12, ex ULSS 13); i medici del Distretto di Mirano ex ULSS 13 accedono unicamente al “dossier distrettuale”, rectius al software verticale informativo ospedaliero, della sola ed esclusiva struttura di Mirano; non accedono e non possono accedere alle informazioni di pertinenza degli altri Distretti (ex ULSS 12, ex ULSS 14); i medici del Distretto di Venezia-Mestre ex ULSS 12 accedono unicamente al “dossier distrettuale”, rectius al software verticale informativo ospedaliero, della sola ed esclusiva struttura di Venezia- Mestre; non accedono e non possono accedere alle informazioni di pertinenza degli altri Distretti (ex ULSS 14, ex ULSS 13); ciascun infermiere del Distretto di Chioggia ex ULSS 14 accede unicamente agli episodi di cura relativi alle specifiche unità operative alle quali sono assegnati e non possono accedere alle informazioni di pertinenza degli altri reparti e degli altri Distretti; così anche gli infermieri degli altri Distretti di Venezia Mestre ex ULSS 12 e Mirano ex ULSS 13 accedono unicamente agli episodi di cura relativi alle specifiche unità operative alle quali sono assegnati e non possono accedere alle informazioni di pertinenza degli altri reparti e degli altri Distretti”;

- “Nell’evoluzione del processo di fusione, giusto art. 14 LR 19/2016, appare fondamentale il progetto regionale di implementazione del nuovo SIO (Sistema Informativo Ospedaliero) che prenderà le mosse con le prime installazioni, per quanto concerne Azienda ULSS 3 Serenissima, proprio presso la struttura di Chioggia a far data da XX; (…)  Il SIO, in attesa di attivazione, prevede funzioni specifiche per la profilazione utente (nel senso tecnico informatico di creazione di profili con attribuzione di specifiche funzioni di consultazione/scrittura di dati e documenti in capo agli utenti/operatori, quali medici, infermieri etc.) e per la granularizzazione dei consensi attraverso uno strumento definito “Policy Manager”, in un’ottica di maggiorata privacy by design e privacy by default. Il Policy Manager è un protocollo di definizione dei profili e dei poteri abilitativi dell’utente/operatore che, sulla scorta dei consensi applicabili agli insiemi di informazioni definibili quali dossier aziendali e delle funzioni di attribuzione, permette di assegnare a soggetti legittimati ed abilitati per ruolo (medici, infermieri etc.) poteri di accesso, consultazione e gestione delle informazioni degli assistiti in modo quanto mai analitico, sulla base di regole di implementazione decise a livello di modello organizzativo aziendale (quindi fin dalla progettazione e per impostazione predefinita)”;

- La contestazione “3.1. controllo degli accessi al dossier” (rectius, 3.2, essendo il secondo capo di contestazione) potrà essere risolta grazie all’installazione ed avvio del nuovo SIO”.
Nella replica fornita il XX l’Azienda ha rappresentato che:

- “ove si è parlato di “dossier” l’Azienda scrivente ha sempre ritenuto fare riferimento ai particolari software di gestione informativa ospedaliera verticali di ciascun distretto corrispondente alle precedenti organizzazioni sanitarie facenti capo alle ex ULSS 12 (Venezia Mestre), 13 (Mirano) e 14 (Chioggia), fuse nell’attuale Azienda ULSS 3 Serenissima (in forza della L.R. 19/2016) le quali hanno però mantenuto i propri precedenti sistemi informativi, appunto denominati per semplicità “dossier distrettuali” o “dossier intra-aziendali”, ma tecnicamente non qualificabili quali “dossier sanitari elettronici” secondo la definizione di cui alle Linee Guida del 2015”;

- “il nuovo programma è diventato completamente operativo e utilizzato dall’intera ADI del Distretto di Chioggia a partire dal XX”. “L’utilizzo testato e rodato della piattaforma Centrale COT ha consentito, come preannunciato, la cessazione dei profili degli infermieri dell’ADI di Chioggia al “dossier distrettuale” (nella struttura non opera personale medico). Nel corso del XX, durante la fase sperimentale della COT, il Direttore del Distretto ha chiesto di mantenere gli accessi degli infermieri ADI al “dossier distrettuale” dell’Azienda ex ULSS 14 Chioggia indispensabili al percorso di cura. La finalità sottesa di garantire che le attività di presa in carico delle dimissioni protette si realizzassero nella piena tutela della salute dei pazienti ha trovato adeguato contemperamento nel sistema dei controlli intensificato”;

- “la UOC Sistemi Informativi ha curato l’estrapolazione periodica dei dati mediante sistemi di alert secondo i seguenti parametri: - quando l’età del paziente a cui accede il personale ADI è inferiore a 60 anni (dal momento che l’età media in questo ambito è superiore); - quando il paziente a cui accede il personale ADI non presenta eventi di cura nei 6 mesi antecedenti”;

- “La UOC Sistemi Informativi dell’Azienda ha predisposto e attivato un apposito portale WEB, tramite il quale è stato possibile effettuare il monitoraggio puntuale delle autorizzazioni rimaste necessariamente attive per finalità di cura. Lo strumento ha rilevato, con frequenza quotidiana, tutti gli accessi al “dossier distrettuale”. Il Responsabile, esprimendo la propria autorizzazione cliccando un apposito campo, ha consentito di tracciare uno stretto e costante monitoraggio (…). Nel bilanciamento degli interessi in gioco l’Azienda ha, dunque, intensificato sempre più i controlli, fino a farli diventare un sistema continuo e strutturato e non più sviluppato mediante estrapolazione di dati su alert basati su criteri predefiniti o a campione. Il sistema degli alert ora risulta totalmente superato in virtù della chiusura dei profili di accesso al “dossier distrettuale” da parte degli operatori ADI”;

- “Occorre precisare che tutte le verifiche effettuate ad oggi non hanno rilevato anomalie e ciò a riprova che l’episodio di violazione di cui si tratta ha rappresentato un unico episodio isolato e decontestualizzato dovuto alla condotta autonoma della dipendente per motivi familiari – affettivi che nulla hanno a che vedere con i compiti istituzionali cui la dipendente è assegnata”;

- “Ad oggi all’interno della Azienda ULSS 3 Serenissima vi sono ancora tre “dossier distrettuali” distinti e non collegati fra loro, corrispondenti alle ex ULSS 12, 13 e 14. Su questi “dossier” non si è ancora potuti intervenire autonomamente, in considerazione del previsto avvio del progetto regionale di implementazione del nuovo SIO “Sistema Informativo Ospedaliero” che andrà a sostituire tutti quelli attualmente in essere, facilitando la gestione dei percorsi di cura e rappresentando il primo vero e proprio Dossier dell’ULSS 3”;

- “L’attuale impianto del SSR della Regione Veneto, come impostato dalla L.R. 19/2016, non permette infatti autonomia di intervento in tale settore in capo all’Azienda Sanitaria, anche alla luce della centralizzazione degli investimenti regolata dalla medesima L.R. L’ultima previsione dell’avvio per l’ULSS 3, a far data dall’XX, ha subito un ulteriore rinvio dal momento che la programmazione regionale ha riarticolato il calendario delle priorità. I vari ritardi nell’attuazione del sistema, indipendenti dalle scelte decisionali interne, hanno comportato che – nelle more – le singole aziende non abbiano potuto e non possano procedere a nuovi investimenti per l’implementazione degli applicativi esistenti”;

- con riferimento all’accesso “del personale ADI ai soli dossier dei pazienti in assistenza domiciliare”: con la “disattivazione dei precedenti accessi, (…) la misura può considerarsi totalmente adempiuta”;

-  con riferimento all’accesso “del personale medico ai dossier sanitari dei soli pazienti in cura”: già in precedenza gli accessi erano organizzativamente assegnati al solo personale medico che ha il paziente in cura e la misura permane tuttora, con possibile evidenza, quale regime di controllo, dei log di accesso. Ad oggi, alcuna segnalazione di ancorché solo possibili violazioni è giunta. Anche questa organizzazione degli accessi è peraltro già oggetto di regolazione, con impostazioni di ancora maggiore privacy by design e by default, nel predetto progetto di nuovo SIO che permetterà un’ancora più specifica profilazione utente (profilazione nel senso informatico del termine)”.

L’Azienda ha infine inviato un documento che illustra le fasi di implementazione del SIO che dovrebbero concludersi entro XX.

2. Esito dell’attività istruttoria.

In via preliminare, si rappresenta che il trattamento di dati personali deve avvenire nel rispetto della normativa applicabile in materia di protezione dei dati personali e, in particolare, delle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, il “Regolamento”) e del d.lgs. n. 196 del 30 giugno 2003 (Codice in materia di protezione dei dati personali – di seguito, il “Codice”).

Con particolare riferimento alla questione in esame, si evidenzia che i dati personali devono essere “trattati in modo lecito corretto e trasparente” (principio di “liceità, correttezza e trasparenza” e “in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti (principio di “integrità e riservatezza”)” (art. 5, par. 1, lett. a) e f) del Regolamento).

Il Regolamento prevede poi che il titolare del trattamento metta in atto “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”, tenendo conto, tra l’altro, “della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” (art. 32 del Regolamento).

In base al principio della “protezione dei dati fin dalla progettazione” (art. 25, par. 1, del Regolamento), il titolare deve inoltre adottare misure tecniche e organizzative adeguate ad attuare i principi di protezione dei dati (art. 5 del Regolamento) e integrare nel trattamento le necessarie garanzie per soddisfare i requisiti del Regolamento e tutelare i diritti e le libertà degli interessati.

Con riferimento ai trattamenti oggetto del presente provvedimento, il Garante ha adottato le “Linee guida in materia di Dossier sanitario - 4 giugno 2015” (Provvedimento del 4.6.2015, pubblicato in G.U. 164 del 17 luglio 2015, consultabile su www.gpdp.it doc web n. 4084632), nelle quali sono state individuate un primo quadro di cautele, al fine di delineare specifiche garanzie e responsabilità, nonché misure e accorgimenti necessari ed opportuni da porre a garanzia dei cittadini, in relazione ai trattamenti di dati sanitari che li riguardano.

Nelle predette Linee guida il Garante, al fine di scongiurare il rischio di un accesso alle informazioni trattate mediante il dossier sanitario da parte di soggetti non autorizzati o di comunicazione a terzi di dati sanitari da parte di soggetti a ciò abilitati, ha specificamente chiesto al titolare del trattamento di porre particolare attenzione nell’individuazione dei profili di autorizzazione e nella formazione dei soggetti abilitati, dovendo essere limitato l’accesso al dossier al solo personale sanitario che interviene nel processo di cura del paziente ed essere adottate modalità tecniche di autenticazione al dossier che rispecchino le casistiche di accesso a tale strumento proprie di ciascuna struttura sanitaria.

A tal fine, nelle predette Linee guida, il Garante ha indicato ai titolari del trattamento di effettuare un monitoraggio delle ipotesi in cui il relativo personale sanitario può avere necessità di consultare il dossier sanitario, per finalità di cura dell’interessato e, in base a tale ricognizione, individuare i diversi profili di autorizzazione all’accesso.

L’accesso al dossier deve essere, pertanto, limitato al solo personale sanitario che interviene nel tempo nel processo di cura del paziente. Ciò significa che deve essere consentito l’accesso solo al personale che a vario titolo interviene nel processo di cura. L’accesso al dossier deve essere limitato, poi, al tempo in cui si articola il processo di cura, ferma restando la possibilità di accedere nuovamente al dossier qualora ciò si renda necessario in merito al tipo di trattamento medico da prestare all’interessato.

Si rappresenta inoltre che nelle predette Linee guida l’Autorità ha ritenuto che il titolare del trattamento deve mettere in opera sistemi per il controllo degli accessi anche al database e per il rilevamento di eventuali anomalie che possano configurare trattamenti illeciti, attraverso l’utilizzo di indicatori di anomalie (c.d. alert) utili per orientare successivi interventi di audit. Il titolare deve prefigurare, quindi, l’attivazione di specifici alert che individuino comportamenti anomali o a rischio relativi alle operazioni eseguite dagli incaricati del trattamento (es. relativi al numero degli accessi eseguiti, alla tipologia o all’ambito temporale degli stessi).

Ciò premesso, preso atto di quanto rappresentato dall’Azienda nelle memorie difensive relative ai procedimenti indicati nei precedenti punti, si osserva che:

1. Riconducibilità dei trattamenti in esame al dossier sanitario.

Nelle memorie difensive ricevute a XX, l’Azienda evidenzia che l’ex ULSS 12 (Venezia Mestre), l’ex ULSS 13 (Mirano- Dolo) e l’ex ULSS 14 (Chioggia), ora riunite per incorporazione nell’Azienda Ulss n. 3 Serenissima, avevano ciascuna dei “dossier distrettuali” che, anche attualmente, non sono collegati l’un l’altro. Sulla base di tale evidenza l’Azienda ritiene che “non pare potersi ad oggi definire l’esistenza di un unico e complessivo “dossier elettronico aziendale”, ossia di un sistema informativo aziendale che permetta di accedere, complessivamente ed unitariamente, ai dati personali di tutti gli assistiti dell’Azienda”. Nella nota del XX, l’Azienda ribadisce che “ove si è parlato di “dossier” l’Azienda scrivente ha sempre ritenuto fare riferimento ai particolari software di gestione informativa ospedaliera verticali di ciascun distretto corrispondente alle precedenti organizzazioni sanitarie facenti capo alle ex ULSS 12 (Venezia Mestre), 13 (Mirano) e 14 (Chioggia), fuse nell’attuale Azienda ULSS 3 Serenissima (in forza della L.R. 19/2016) le quali hanno però mantenuto i propri precedenti sistemi informativi, appunto denominati per semplicità “dossier distrettuali” o “dossier intra-aziendali”, ma tecnicamente non qualificabili quali “dossier sanitari elettronici” secondo la definizione di cui alle Linee Guida del 2015”.

Tale posizione discorda con quanto affermato dalla stessa Azienda già nella nota del XX e nelle seguenti in cui, riferendosi al dossier sanitario utilizzato dal distretto di Chioggia, si richiamava “il puntuale e rigoroso rispetto di tutte le indicazioni e le prescrizioni previste ai fini del legittimo utilizzo del Dossier Sanitario Elettronico”, facendo quindi espresso riferimento al ““dossier” interessato dalla vicenda - gestito tramite l’applicativo Trakcare fornito da Intersystems” “della ex ULSS 14 Chioggia” (vd. nota del XX). Ciò è ribadito persino nell’ultima nota in cui, nell’indicare i sistemi informativi in uso presso le predette aziende incorporate e l’incorporante, si fa espresso riferimento al dossier sanitario (vd. nota XX).

La circostanza che i dossier sanitari delle tre aziende sanitarie sopra indicate non siano stati integrati in un unico dossier sanitario dell’Ulss n. 3 Serenissima e che quindi vi siano all’interno della stessa tre dossier sanitari distinti non fa perdere a tali strumenti la natura di dossier, in quanto sono stati istituiti e sono attualmente utilizzati per rendere accessibili informazioni, inerenti allo stato di salute di un individuo, relative ad eventi clinici presenti e trascorsi (es., referti di laboratorio, documentazione relativa a ricoveri, accessi al pronto soccorso), ai professionisti sanitari ivi operanti. Del resto, al fine di configurare un dossier sanitario, non è necessario che attraverso tale strumento siano accessibili tutti i reparti o i dipartimenti di cui si compone la struttura del titolare.

Come confermato in atti dalla stessa Azienda, il sistema informativo in esame, fino alla fusione dell’ex Ulss 14 di Chioggia, era considerato il dossier sanitario dell’Ulss e ora continua ad essere lo strumento attraverso il quale il personale sanitario di tale ex Ulss 14 accede ai dati dei loro pazienti.

Nel ritenere che tale sistema informativo si qualifichi come dossier sanitario, si evidenzia che la garanzia di una corretta profilazione/autorizzazione dei soggetti abilitati ad accedere e l’adozione di sistemi automatici di alert, elementi che sono stati contestati nell’atto di avvio del procedimento sanzionatorio nei confronti dell’Azienda, devono essere assicurate anche con riguardo ai c.d. dossier distrettuali a cui fa riferimento l’Azienda, in quanto tale garanzia risponde ai principi di liceità del trattamento, di integrità e riservatezza dei dati e di privacy by design (artt. 5 e 25 del Regolamento).

2. Profili di autorizzazione per l’accesso al dossier. Alla luce di quanto dichiarato in atti, si rileva che la configurazione del dossier sanitario presente nell’ex Ulss 14 Chioggia, ora incorporata dall’Azienda Ulss n. 3 Serenissima, non è conforme ai richiamati principi generali del trattamento e a quanto indicato nelle Linee guida del Garante del 2015, in quanto non ha individuato specifici e distinti profili di autorizzazione dei soggetti abilitati all’accesso appartenenti alla categoria dei “medici” e del “personale ADI” che fossero idonei a limitare in via preventiva la consultabilità da parte dei predetti professionisti sanitari ai soli dossier degli interessati che sono loro in carico.

In particolare, dalla documentazione in atti è emerso che tutti i medici e il personale ADI (16 persone) dei Presidi Ospedalieri e dei Distretti di Mestre, di Venezia, di Mirano, medici (ex Ulss di Chioggia) sono tutt’oggi abilitati all’accesso al dossier sanitario di qualsiasi paziente della struttura intra-aziendale di Chioggia senza alcuna limitazione dettata dall’effettivo coinvolgimento degli stessi nel percorso di cura dell’interessato cui il dossier si riferisce.
Nella relazione su ”La gestione delle credenziali applicative” emerge infatti che quando un operatore sanitario “prende servizio” il responsabile del reparto o del servizio effettua la richiesta di abilitazione agli applicativi aziendali attraverso la compilazione di un modulo (c.d. MICT1920) che non prevede la possibilità di attribuire distinti profili di autorizzazione al dossier sanitario, ma esclusivamente quella di chiedere l’attivazione a favore del dipendente di un account aziendale necessario per usufruire di servizi informatici e telefonici aziendali tra i quali si configura anche il dossier sanitario (cfr. al riguardo all. 12 relativo al modulo compilato a favore dell’infermiera XX e allegato 14).

Tale procedura contraddice quanto sostenuto dall’Azienda che, “in un’ottica di massima attenzione ai principi dettati dal RGPD”, rappresenta di voler “continuare ad applicare allo strumento in uso le regole di indirizzo delle Linee Guida del 2015”, che imporrebbero però di limitare l’accesso al dossier solo i medici effettivamente coinvolti nel percorso di cura del paziente.

Sul punto, nelle memorie inviate a gennaio XX, l’Azienda ha evidenziato che “Il SIO, in attesa di attivazione, prevede funzioni specifiche per la profilazione utente (nel senso tecnico informatico di creazione di profili con attribuzione di specifiche funzioni di consultazione/scrittura di dati e documenti in capo agli utenti/operatori, quali medici, infermieri etc.) e per la granularizzazione dei consensi attraverso uno strumento definito “Policy Manager”, in un’ottica di maggiorata privacy by design e privacy by default.” Tale SIO avrebbe dovuto essere implementato nell’ex Ausl di Chioggia a XX, ma, da quanto dichiarato in atti, tale scadenza è stata rinviata, prevedendo l’iter di completa implementazione entro XX.

Nelle ultime note trasmesse dall’Azienda emerge inoltre che il personale medico può accedere ancora a tutti i dossier dei pazienti del distretto essendo previsto -come unico deterrente ad accedere ai dossier dei pazienti che non sono loro in cura- un possibile successivo controllo degli accessi attraverso l’esame dei file di log.

Analoghe considerazioni possono essere formulate anche con riferimento all’accesso al dossier da parte del personale ADI.

Dalla documentazione in atti non risulta chiaro se il personale ADI abbia ancora la possibilità di accedere ai dossier sanitari relativi anche ai pazienti non in cura. Nella nota del XX è stato evidenziato che l’utilizzo testato e rodato della piattaforma Centrale COT ha consentito, come preannunciato, la cessazione dei profili degli infermieri dell’ADI di Chioggia al “dossier distrettuale” (nella struttura non opera personale medico). Nella medesima nota è stato tuttavia rappresentato che nel corso del XX, durante la fase sperimentale della COT, il “Direttore del Distretto ha chiesto di mantenere gli accessi degli infermieri ADI al “dossier distrettuale” dell’Azienda ex ULSS 14 Chioggia indispensabili al percorso di cura. La finalità sottesa di garantire che le attività di presa in carico delle dimissioni”.

Ciò stante, nonostante l’Azienda avesse dichiarato in atti che l’“utilizzo della piattaforma “Centrale COT” (a far data da XX)” avrebbe portato “a far immediatamente cessare i profili di autorizzazione degli infermieri dell’ADI di Chioggia al “dossier””, per precisa scelta aziendale sembrerebbe permanere la possibilità per il personale ADI di accedere ancora ai dossier sanitari di pazienti che non sono loro in cura.

Ad ogni buon conto si evidenzia che la considerazione espressa inizialmente in atti secondo cui “in relazione alla tipologia di attività, allo stato attuale, il profilo di autorizzazione dell’infermiere dell’ADI non può che essere unico e più ampio rispetto a quello dell’infermiere che opera in reparto ospedaliero, potendo astrattamente dover assumere le informazioni necessarie al proseguo delle cure a domicilio, da qualsiasi ambito di ricovero” non è comunque plausibile.

Al riguardo, si osserva infatti che, come rappresentato in atti, “l’assegnazione al percorso di ADI è avviata tramite: il Medico di Medicina Generale (MMG) / Pediatra di Libera Scelta (PLS); il reparto ospedaliero che ha in cura il paziente e provvede alla sua dimissione”. L’accesso al dossier sanitario deve pertanto essere limitato esclusivamente nei confronti di quei pazienti che siano stati assegnati al percorso ADI dal MMG/PLS o dal reparto ospedaliero. Come già rilevato negli atti del procedimento, si richiama infatti l’attenzione sulla circostanza che, a differenza delle attività di un dipartimento di emergenza e urgenza da erogare a soggetti indeterminabili a priori, l’attivazione della assistenza domiciliare è subordinata alla presa in carico di un paziente.

Si evidenzia inoltre che tale configurazione consente l’abilitazione del personale ADI (16 unità) ad accedere al dossier sanitario di tutti i pazienti che hanno ricevuto cure nell’area di Chioggia (ex ULSS 14) permettendo quindi agli stessi di accedere ad un numero elevato di dossier (potenzialmente a 63.080), in luogo dei 1.564 dossier dei pazienti che da gennaio ad XX sono stati presi in carico dall’ADI di Chioggia.

Con specifico riferimento all’affermazione contenuta in atti secondo cui “l’ambito di accesso ai dati autorizzato è quello individuato dalle schede del registro dei trattamenti”, si ribadisce che il registro dei trattamenti di cui all’art. 30 del Regolamento è il documento in cui il titolare deve indicare una serie di informazioni relative alla tipologia dei trattamenti effettuati dallo stesso che non sostituisce la documentazione relativa all’attribuzione degli specifici profili di autorizzazione ai soggetti abilitati ad accedere al dossier sanitario aziendale.

L’accesso al dossier deve essere, pertanto, limitato al solo personale sanitario che verosimilmente può interviene nel tempo nel processo di cura del paziente, ovvero che, sulla base delle prestazioni erogate e dei percorsi clinici attivati, può effettivamente essere coinvolto nel percorso di cura del paziente, ferma restando la possibilità per lo stesso di accedere a dossier sanitari per i quali non è stata di default abilitato l’accesso al ricorre di specifici eventi (anche emergenziali) dichiarati dallo stesso professionista sanitario all’atto dell’accesso.

Pertanto, la configurazione del dossier risultante sin dall’epoca dei fatti oggetto di istruttoria ha reso possibile che personale ADI operante presso l’Azienda potesse accedere senza restrizioni al dossier sanitario di un paziente che non era -all’atto dell’accesso- in cura presso lo stesso, in violazione dei principi di base del trattamento di cui agli artt. 5, par. 1, lett. a) e f) e 9 del Regolamento, nonché dei principi di protezione dei dati fin dalla progettazione (privacy by design) e per impostazione predefinita (privacy by default) contemplati all’art. 25 del Regolamento. Qualora l’Azienda avesse limitato l’accesso del personale ADI ai soli dossier sanitari dei pazienti loro in cura l’episodio oggetto della violazione in esame non si sarebbe potuto verificare.

3. Alert per accessi anomali al dossier sanitario. L’Azienda, pur avendo previsto il tracciamento delle operazioni di accesso e consultazione del dossier sanitario, non ha adottato -come indicato dalle citate Linee guida- un sistema per il rilevamento automatico di eventuali anomalie che possano configurare trattamenti illeciti, ovvero l’utilizzo di indicatori di anomalie (c.d. alert) volti ad individuare comportamenti anomali o a rischio relativi alle operazioni eseguite dai soggetti autorizzati al trattamento (es. numero degli accessi eseguiti, tipologia o ambito temporale degli stessi), utili per orientare successivi interventi di audit, limitandosi ad effettuare solo controlli a campione tra l’altro coincidenti con la segnalazione dell’interessata.

Con specifico riferimento all’accesso al dossier da parte del personale ADI, l’Azienda, pur avendo intenzionalmente previsto un profilo di autorizzazione “unico e più ampio rispetto a quello dell’infermiere che opera in reparto ospedaliero”, non ha neppure adottato un sistema per il rilevamento di eventuali anomalie che potessero configurare trattamenti illeciti, ovvero l’utilizzo di indicatori di anomalie (c.d. alert) volti ad individuare comportamenti anomali o a rischio relativi alle operazioni eseguite dai soggetti autorizzati al trattamento.

All’epoca dei fatti erano attivi solo controlli degli accessi a campione, si evidenzia infatti che l’Azienda ha rappresentato solo nella risposta del XX, quindi successivamente all’avvio dell’istruttoria, che “è in fase di elaborazione l’impostazione di due alert: quando l’età del paziente a cui accede il personale ADI è inferiore a 60 anni (dal momento che l’età media in questo ambito è superiore); quanto il paziente a cui accede il personale ADI non presenta eventi di cura nei 6 mesi antecedenti”.

La dichiarata intenzione di introdurre i predetti alert automatici contraddice inoltre quanto affermato dalla stessa Azienda nella nota del XX, secondo cui per l’assistenza ADI “la creazione di misure tecniche specifiche di accesso al DSE e l’impostazione di automatismi tecnici e di alert per l’individuazione di anomalie” era considerata “problematica”.

Sul punto, si evidenzia inoltre una ulteriore contraddizione: nella nota del XX è stato evidenziato infatti che la UOC Sistemi Informativi ha predisposto e attivato un apposito portale Web, tramite il quale è stato possibile effettuare il monitoraggio puntuale delle autorizzazioni rimaste necessariamente attive per finalità di cura e che “Nel bilanciamento degli interessi in gioco l’Azienda ha, dunque, intensificato sempre più i controlli, fino a farli diventare un sistema continuo e strutturato e non più sviluppato mediante estrapolazione di dati su alert basati su criteri predefiniti o a campione”.

La configurazione del dossier risultante all’epoca dei fatti oggetto di istruttoria non prevedeva dunque un sistema per il rilevamento di eventuali anomalie che potessero configurare trattamenti illeciti, ovvero l’utilizzo di indicatori di anomalie (c.d. alert) volti ad individuare comportamenti anomali o a rischio relativi alle operazioni eseguite dai soggetti autorizzati al trattamento (es. numero degli accessi eseguiti, tipologia o ambito temporale degli stessi), utili per orientare successivi interventi di audit in violazione dei principi di integrità e riservatezza dei dati personali (artt. 5, par. 1, lett. f) e 32 del Regolamento).

Le misure adottate in seguito dall’Azienda non hanno superato integralmente tale criticità in quanto, seppur inizialmente è stata dichiarata l’intenzione di introdurre alert automatici basati sui due parametri sopra evidenziati (età del paziente e assenza di eventi sanitari recenti), gli stessi non sono stati attuati, essendo stato scelto di adottare solo procedure di controllo sistematico;

4. Autonomia di intervento. Nella nota del XX l’Azienda ha evidenziato che l’attuale impianto del Servizio Sanitario Regionale della Regione Veneto, come impostato dalla L.R. n. 19 del 2016, non permetterebbe autonomia di intervento in capo all’Azienda Sanitaria, anche alla luce della centralizzazione degli investimenti regolata dalla medesima legge regionale e che “l’ultima previsione dell’avvio per l’ULSS 3, a far data dall’XX, ha subito un ulteriore rinvio dal momento che la programmazione regionale ha riarticolato il calendario delle priorità. I vari ritardi nell’attuazione del sistema, indipendenti dalle scelte decisionali interne, hanno comportato che – nelle more – le singole aziende non abbiano potuto e non possano procedere a nuovi investimenti per l’implementazione degli applicativi esistenti”.

Sul punto si rileva, secondo quanto dichiarato in atti, che l’estensione dell’accesso da parte del personale ADI a tutti i dossier dei pazienti dell’ex Ulss di Chioggia non dipende dall’impossibilità di modificare o implementare gli applicativi in uso, bensì dalla precisa volontà dell’Azienda ed, in particolare, del “Direttore del Distretto (che) ha chiesto di mantenere gli accessi degli infermieri ADI al “dossier distrettuale” dell’Azienda ex ULSS 14 Chioggia”.

Analogamente, il sistema di alert automatici non è stato attivato non in quanto risultasse necessario intervenire su sistemi che non sono nella disponibilità dell’Azienda, ma piuttosto perché la stessa ha ritenuto in un “bilanciamento degli interessi in gioco” preferibile intensificare “sempre più i controlli, fino a farli diventare un sistema continuo e strutturato” invece che effettuare un sistema di alert automatici. Sistemi di alert automatici, secondo quanto dichiarato in atti, sarebbero infatti nella disponibilità operativa dell’Azienda, come risulta evidente dal fatto che inizialmente la stessa aveva pensato di implementarli sulla base di alcuni specifici parametri (età de paziente e assenza di prestazioni sanitarie recenti).

Si richiama inoltre la recente sentenza della Corte di Cassazione del 6 marzo 2025, n. 6067 che richiama l’attenzione sul fatto che l’Azienda sanitaria, quale titolare del trattamento, ha il dovere di esercitare tutte le sue prerogative a tutela dell’utilizzo dei dati di cui è titolare, non ricorrendo alcuna causa di esenzione di responsabilità da parte del titolare del trattamento in merito ad eventuali disposizioni regionali adottate in materia.

3. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive relative al richiamato procedimento non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni si rileva l’illiceità del trattamento di dati personali effettuato dall’Azienda con riferimento al predetto procedimento avviati a seguito della comunicazione di violazione, nei termini di cui in motivazione, in particolare, per aver trattato dati personali in violazione degli artt. 5, par. 1, lett. a) e f), 9, 25 e 32 del Regolamento.

Le misure che l’Azienda ha intrapreso in merito al procedimento in esame non superano le predette criticità, in quanto si tratta di interventi parziali e volti ad un controllo a posteriori e non anche, come richiesto dal richiamato principio della “protezione dei dati fin dalla progettazione” (art. 25, par. 1, del Regolamento) ad individuare misure preventive volte a attuare i principi di protezione dei dati (art. 5 del Regolamento) e integrare nel trattamento le necessarie garanzie per soddisfare i requisiti del Regolamento e tutelare i diritti e le libertà degli interessati.

Con specifico riferimento alla mancata individuazione di specifici profili di abilitazione e autorizzazione all’accesso al dossier da parte del personale medico e del personale ADI la mancata attuazione del principio della “protezione dei dati fin dalla progettazione” , anche sulla base di quanto indicato dal Garante nelle citate Linee guida, ha reso possibile un accesso illecito al dossier sanitario di una paziente in violazione del principio di liceità del trattamento.

Tutto ciò premesso si prende atto che con provvedimento n.XX, è stata comminata la sanzione della sospensione dal servizio con privazione dello stipendio per mesi 2 (due) all’autore dell’accesso, ai sensi dell’art. 84, comma 8, lett. e) del CCNL del 2 novembre 2022, e che in data XX, è stata trasmessa la segnalazione in Procura sui fatti in esame.

Considerato che permangono criticità in ordine ai profili di accesso al dossier e ai sistemi di alert sopra evidenziati ricorrono quindi i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

In tale quadro, considerato quanto sopra, si ritiene di dover ingiungere alla predetta Azienda, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, come misura correttiva da adottarsi entro 90 giorni dall’adozione del presente provvedimento l’introduzione di:

1. misure volte a consentire al personale medico di accedere ai soli dossier degli interessati che sono loro in carico e al personale ADI ai soli dossier relativi ai pazienti che siano stati assegnati al percorso ADI dal MMG/PLS o dal reparto ospedaliero;

2. sistemi di alert automatici in merito ad eventuali accessi anomali al dossier sanitario.

4. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, par. 2, lett. a) e f), 9, 25 e 32 del Regolamento, causata dalla condotta dell’Azienda, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par.4 e 5, del Regolamento.

Si consideri che il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 85, par. 2, del Regolamento in relazione ai quali si osserva che:

- l’Autorità ha preso conoscenza dell’evento a seguito di una notifica di violazione (art. 83, par. 2, lett. h) del Regolamento);

- l’accesso illecito ha riguardato il dossier sanitario di un solo paziente da parte di un professionista sanitario che non era coinvolto nel processo di cura dello stesso e nei confronti del quale è stato avviato un procedimento disciplinare e penale (art. 83, par. 2, lett. a), b) e g) del Regolamento);

- l’accesso non è stato giustificato da motivi clinici (art. 83, par. 2, lett. a) e b) del Regolamento);

- il predetto accesso è stato possibile in quanto le misure in essere con riferimento ai trattamenti dati idonei a rilevare informazioni sulla salute effettuati attraverso il dossier sanitario aziendale non erano pienamente proporzionate al fine di garantire un’adeguata sicurezza e integrità dei dati personali e di scongiurare accessi non consentiti (art. 83, par. 2, lett. d) e e) del Regolamento);

- l’Azienda ha solo parzialmente modificato le modalità, le fattispecie di accesso al dossier sanitario aziendale e i relativi controlli a seguito dell’avvio dell’istruttoria da parte dell’Autorità (art. 83, par. 2, lett. c) e f) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, per la violazione degli artt. 5, par. 1, lett. a) e f), 9, 25 e 32 del Regolamento nella misura di 18.000,00 (diciottomila/00) quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dall’Azienda Ulss n. 3 Serenissima, per la violazione degli art. 5, par. 1, lett. a) e f), 9, 25 e 32 del Regolamento nei termini di cui in motivazione.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, all’Azienda Ulss n. 3 Serenissima, Codice fiscale/partita iva n. 02798850273, di pagare la somma di euro 18.000,00 (diciottomila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni rilevate nell’ambito del procedimento avviato con riferimento all’accesso illecito effettuato al dossier sanitario sopra descritto secondo le modalità indicate in allegato, entro 30 giorni dalla notifica in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà delle sanzioni comminate.

INGIUNGE

alla predetta Azienda, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 18.000,00 (diciottomila/00) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 10 aprile 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE REGGENTE
Filippi