Provvedimento del 26 febbraio 2026 [10232620]
Provvedimento del 26 febbraio 2026 [10232620]
Condividi[doc. web n. 10232620]
Provvedimento del 26 febbraio 2026
Registro dei provvedimenti
n. 125 del 26 febbraio 2026
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente e l’avv. Luigi Montuori, Segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, (di seguito “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;
RELATORE la prof.ssa Ginevra Cerrina Feroni;
PREMESSO
1. L’istanza pervenuta
L’Autorità ha ricevuto una segnalazione con la quale la sig.ra XX ha lamentato di aver ricevuto, da parte dell’Azienda Ospedaliero Universitaria di Sassari (di seguito, “Azienda”), con sede a Sassari in viale San Pietro (C.F.: 02268260904), documentazione sanitaria relativa ad un soggetto terzo.
In particolare, la sig.ra XX ha rappresentato che “In qualità di erede legittimo di XX (…) il giorno XX (…)” ha richiesto “all’UFFICIO Cartelle Cliniche dell’AOU di Sassari copia della cartella ospedaliera di XX, nata a XX il XX (…). La scrivente segnala che all’interno della cartella clinica, conforme all’originale, (…) rilasciata dalla struttura di ricovero il XX, sono stati rinvenuti dati sensibili e risultati di esami diagnostici inseriti erroneamente (tracciato ECG del XX effettuato nel reparto di Geriatria e referto medico del XX di U.O.C. di Cardiologia Clinica e Interventistica) riconducibili ad altro soggetto, nello specifico trattasi della sig.ra XX nata il XX, era mancante invece il tracciato elettrocardiografico del soggetto intestatario della documentazione sanitaria (…)”.
2. L’attività istruttoria
In relazione a quanto descritto, l’Autorità, ha avviato un’istruttoria nei confronti dell’Azienda, chiedendo informazioni, ai sensi dell’art. 157 del Codice, con nota del XX (prot. n. XX).
L’Azienda, con nota del XX, ha rappresentato, in particolare, che “l’evento segnalato ha riguardato esclusivamente la trasmissione di un unico documento, le cui diagnosi risultano sovrapponibili per entrambe le pazienti: difatti entrambe portano lo stesso cognome, sono state ricoverate nello stesso reparto, nel medesimo periodo di tempo, entrambe sono coetanee e infine risultanti affette dalla medesima condizione cardiologica (…). La copia della documentazione richiesta dalla figlia della Sig.ra XX è stata rilasciata in conformità all’originale consegnata nel reparto”.
3. La notifica della violazione e le memorie difensive.
Con nota del XX (prot. n.XX), l’Autorità ha notificato all’Azienda, ai sensi dell’art. 166 del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2 del Regolamento, ritenendo configurabile un trattamento illecito per violazione degli artt. 5, par. 1, lett. f), 9 e 32 del Regolamento. A seguito della notifica della violazione, l’Azienda, con nota del XX, ha fatto pervenire la propria memoria difensiva, nella quale ha rappresentato, in particolare, che:
- “la violazione ha riguardato l’inserimento, all’interno della cartella clinica di una paziente, di un tracciato ECG riferito ad altra persona, a seguito di errore materiale nella fase di stampa e archiviazione. L’episodio, unico e circoscritto, è stato rilevato in occasione della consegna della documentazione sanitaria richiesta dall’avente diritto. La violazione ha interessato unicamente questa paziente e ha avuto durata limitata nel tempo. Il trattamento in questione aveva finalità sanitarie e si è svolto nell’ambito di un processo ancora interamente cartaceo, in fase di transizione verso la cartella clinica elettronica regionale. Tale evento, pur configurando una violazione, si identifica in un errore occasionale e non sistemico, prontamente individuato e gestito”;
- “la violazione è di natura colposa, conseguente a un errore umano nella gestione manuale dei referti cartacei. Non vi è stato dolo, né comportamento negligente consapevole. La complessità dell’evento è stata aumentata dalla presenza di elementi anagrafici e clinici sovrapponibili tra le due pazienti (stesso cognome, età simile, ricovero nello stesso reparto nello stesso periodo, analoga patologia), fattore che ha contribuito alla difficoltà di identificazione documentale”;
- “successivamente all’individuazione dell’errore, l’Azienda ha adottato azioni tempestive e proporzionate: il documento errato è stato rimosso e correttamente reinserito nella cartella della paziente di riferimento e l’evento è stato registrato nel registro interno delle non conformità e comunicato al DPO per le valutazioni di competenza. È stata inviata alla segnalante una nota formale di scuse, con allegato l’esame corretto riferito alla propria congiunta. Contestualmente, è stato richiesto alla destinataria di distruggere il documento errato, qualora non l’avesse già fatto, e di non diffondere a terzi i dati sanitari in suo possesso. Non risultano conseguenze pregiudizievoli o danni concreti per i diritti o le libertà delle persone interessate”;
- “oltre alle misure già operative (accesso controllato ai locali, istruzioni scritte, formazione periodica, tracciabilità interna), sono state introdotte ulteriori misure correttive e preventive: Riorganizzazione della cartella clinica cartacea: il reparto ha strutturato un raccoglitore suddiviso per sezioni, dedicando spazi separati agli esami e alle consulenze esterne, per minimizzare il rischio di inserimento errato di documenti appartenenti ad altri pazienti; Istituzione del registro delle non conformità presso la Direzione Medica di Presidio, che consente di rilevare, annotare e monitorare ogni eventuale errore riscontrato nelle cartelle ritirate, con segnalazione formale ai reparti competenti tramite nota e-mail; Inserimento nel piano formativo aziendale di un modulo obbligatorio dedicato alla corretta compilazione, archiviazione e gestione delle cartelle cliniche, rivolto a tutto il personale sanitario e amministrativo coinvolto; Prosecuzione del progetto di digitalizzazione con estensione progressiva della Cartella Clinica Elettronica Regionale, che garantirà piena tracciabilità, riduzione del rischio di errore umano e maggiore sicurezza dei dati trattati. Le misure indicate sono già operative e sottoposte a monitoraggio da parte della Direzione Medica di Presidio, mediante verifiche periodiche documentate, in un’ottica di miglioramento continuo e prevenzione della reiterazione”;
- “Non è stato riscontrato alcun danno materiale o morale a carico delle persone coinvolte. L’Azienda ha rafforzato i controlli interni e avviato iniziative formative e organizzative che riducono significativamente il rischio di reiterazione. L’efficacia di tali misure sarà oggetto di monitoraggio nel tempo”.
4. L’esito dell’istruttoria
Sulla base della documentazione in atti, si osserva quanto segue.
I dati relativi alla salute richiedono particolare tutela, in quanto possono comportare rischi significativi per i diritti e le libertà fondamentali (art. 4, par. 1, n. 15 e Cons. 51 del Regolamento).
Essi devono essere trattati adottando misure in grado di garantirne integrità, riservatezza e sicurezza. In particolare, il titolare del trattamento è tenuto ad adottare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, che comprendano, tra le altre, la capacità di assicurare su base permanente la riservatezza e la disponibilità dei dati trattati (artt. 5, par. 1 lett. f) e 32 del Regolamento).
La disciplina in materia di protezione dei dati personali prevede, inoltre, in ambito sanitario - che le informazioni sullo stato di salute possono essere comunicate solo all’interessato e possono essere comunicate a terzi sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso, previa delega scritta di quest’ultimo (art. 9 del Regolamento).
5. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.
Sulla base delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria - considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” - gli elementi forniti dal titolare del trattamento nel riscontro alla richiesta di informazioni e nella memoria difensiva non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento sanzionatorio sopra citato, non ricorrendo alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Per tali ragioni, si confermano le valutazioni preliminari dell’Ufficio e si rilevano le violazioni degli artt. 5, par. 1, lett. f), 9 e 32 del Regolamento da parte dell’Azienda Ospedaliero Universitaria di Sassari, per aver la medesima Azienda comunicato dati relativi alla salute in assenza di un idoneo presupposto giuridico e aver omesso di adottare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, in quanto nella cartella clinica rilasciata alla sig.ra XX sono stati inseriti esami diagnostici riconducibili ad altro soggetto.
In ogni caso, considerato che:
- l’episodio risulta essere un fatto isolato e, sotto il profilo psicologico, privo di dolo;
- il titolare del trattamento ha implementato le misure di volte ad evitare la ripetizione della condotta lamentata;
- il titolare del trattamento si è dimostrato prontamente collaborativo durante tutta la fase istruttoria e procedimentale;
- il titolare non ha subito precedenti procedimenti per violazioni pertinenti da parte dell’Autorità;
le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi del cons. 148 del Regolamento e delle “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal “Gruppo di Lavoro Art. 29” il 3 ottobre 2017, WP 253 e fatte proprie dal Comitato europeo per la protezione dei dati con l’”Endorsement 1/2018” del 25 maggio 2018. Si ritiene, pertanto, relativamente al caso in esame, che sia sufficiente ammonire il titolare del trattamento ai sensi degli artt. 58, par. 2, lett. b) e 83, par. 2 del Regolamento.
Si rileva, altresì, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
Si informa, infine, che copia del presente provvedimento verrà pubblicata sul sito web della scrivente Autorità, ai sensi dell’art. 154-bis, comma 3, del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019.
TUTTO CIÒ PREMESSO IL GARANTE
a) dichiara, ai sensi dell’art. 57, par. 1, lett. f) del Regolamento, l’illiceità del trattamento effettuato dal titolare del trattamento, Azienda Ospedaliero Universitaria di Sassari;
b) ammonisce il titolare ai sensi dell’art. 58, par. 2, lett. b), del Regolamento, per aver violato gli artt. 5, par. 1, lett. f), 9 e 32 del Regolamento;
c) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante;
d) dispone la pubblicazione del presente provvedimento sul sito del Garante, ai sensi dell’art. 154-bis, comma 3 del Codice.
Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’Autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 26 febbraio 2026
IL PRESIDENTE
Stanzione
IL RELATORE
Cerrina Feroni
IL SEGRETARIO GENERALE
Montuori
