g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Azienda Unità Sanitaria Locale di Reggio Emilia - 11 marzo 2021 [9581069]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9581069]

Ordinanza ingiunzione nei confronti di Azienda Unità Sanitaria Locale di Reggio Emilia - 11 marzo 2021

Registro dei provvedimenti
n. 92 dell'11 marzo 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Giuseppe Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, l’avv. Guido Scorza e il dott. Agostino Ghiglia, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO le “Guidelines 01/2021 on Examples regarding Data Breach Notification” adottate dal Comitato Europeo per la protezione dei dati il 14 gennaio 2021;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore l’avv. Guido Scorza;

PREMESSO

1. La violazione dei dati personali.

L’Azienda Unità Sanitaria Locale di Reggio Emilia (di seguito “Azienda”) ha notificato al Garante una violazione di dati personali, ai sensi dell’art. 33 del Regolamento, in relazione a un errore di inserimento della data, in un lotto di referti del 2010, che ha comportato la loro associazione a prenotazioni di pazienti diversi, effettuate nel 2019, con conseguente comunicazione a persone diverse dagli interessati. L’evento descritto, che ha riguardato otto persone, ha avuto origine nell’anno 2010, ma l'Azienda ne è venuta a conoscenza il 18 marzo 2019.

Nella medesima comunicazione è stato evidenziato che la violazione ha riguardato dati identificativi (quali cognome, nome, residenza e codice fiscale), dati di contatto (numero telefonico), dati sulla salute, relativi a esami ematici del Centro Analisi di Diabetologia dell’Ospedale di Montecchio (glicemia, colesterolo, urine ecc.) dei richiamati otto pazienti.

Il titolare del trattamento ha, altresì, dichiarato di aver adottato misure tecniche e organizzative volte a prevenire simili violazioni future quali l’eliminazione dei “riferimenti ai numeri di prenotazione relativi ad anni successivi” (e) “l’introduzione, nei sistemi di scarico referti (SWAR e SWARI), di un ulteriore controllo sul codice fiscale associato al referto e alla prenotazione” (cfr. comunicazione 21 marzo 2019).

2. L’attività istruttoria.

In relazione a quanto comunicato dall’Azienda, l’Ufficio, con atto del 25 luglio 2019, prot. n. 25764, ha avviato, ai sensi dell’art. 166, comma 5, del Codice, con riferimento alle specifiche situazioni di illiceità in esso richiamate, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2 del Regolamento, nei confronti della stessa Azienda, invitandola a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, l. n. 689 del 24 novembre 1981).

In particolare l’Ufficio, nel predetto atto ha preliminarmente rappresentato che:

- in ambito sanitario, le informazioni sullo stato di salute possono essere comunicate solo all’interessato e possono essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso, previa delega scritta di quest’ultimo (art. 9 Regolamento e art. 84 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101; cfr. anche provv. generale del 9 novembre 2005, consultabile in www.gpdt.it, doc. web n. 1191411, ritenuto compatibile con il suddetto Regolamento e con le disposizioni del decreto n. 101/2018; cfr. art. 22, comma 4, del citato d.lgs. n. 101/2018);

- i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)” (art. 5, par. 1, lett. f) del Regolamento).

Ciò premesso, con il predetto atto del 25 luglio 2019, l’Ufficio ha accertato che l’Azienda ha effettuato una comunicazione di dati relativi alla salute di 8 pazienti ad altri pazienti in assenza di un idoneo presupposto giuridico e, quindi, in violazione dei principi di base del trattamento di cui agli artt. 5 e 9 del Regolamento.

Con nota del 23 agosto 2019, l’Azienda ha fatto pervenire le proprie memorie difensive, nelle quali, in particolare, è stato precisato che:

a) “l’evento che ha reso evidente l'errore si è verificato a causa di un potenziale accesso on line avvenuto tra il 14 e il 18 marzo 2019, a n. 8 referti di esami ematici di routine, effettuati nell’anno 2010, da parte di 8 soggetti diversi dagli interessati. Si specifica che l’accesso al contenuto dei referti è stato accertato solo rispetto a 2 degli 8 casi suddetti”;

b) “emergeva che un insieme di referti generati nel 2010, con prenotazione effettuata a fine anno 2009, riportava erroneamente un numero di prenotazione relativo all’anno 2019; conseguentemente tali referti del 2010 erano stati associati, in fase di scaricamento, a prenotazioni del 2019 riferite ad interessati diversi da quelli a cui si riferiscono i referti del 2010”;

c) il Servizio di Tecnologie Informatiche e Telematiche “procedeva, tramite gli attuali fornitori, ad identificare l’origine della errata attribuzione di referti e a risolvere strutturalmente il problema, adottando i seguenti accorgimenti:

- Individuando ed eliminando, ove presenti, i collegamenti dei referti a numeri di prenotazione relativi ad anni successivi a quello del referto origine del problema: a tal fine sono stati analizzati e verificati tutti i referti di laboratorio sul repository per analizzare ed eliminare i collegamenti citati;

- Introducendo sui due sistemi di scaricamento on-line referti (SWAR e SWARI), già progettati by design con verifica di riscontro tra codice fiscale paziente e numero prenotazione, un ulteriore controllo della corretta associazione tra codice fiscale contenuto nel referto da scaricare e codice fiscale di chi sta scaricando il referto garantendo pertanto maggiore protezione rispetto a potenziali erronee attribuzioni di numero di prenotazione; al momento non più presenti, ma la modifica è stata introdotta quale ulteriore misura di protezione e sicurezza”;

d) l’”Algoritmo di associazione referti – prenotazione-otp precedente all’episodio” funzionava secondo i seguenti passaggi: “Il paziente deve inserire il proprio codice fiscale (di seguito CF) e il proprio numero di ritiro referti on line (OTP); sulla base del match tra i due dati precedenti il sistema verifica l’esistenza della prenotazione corrispondente; sulla base del numero di prenotazione corrispondente il sistema recupera i PDF dei referti e li rende disponibili all’utente.

A seguito dell’episodio accaduto è stato variato l’algoritmo per includere un controllo a posteriori sul CF del paziente: il paziente deve inserire il proprio CF e il proprio numero di ritiro referti on line (OTP); sulla base del match tra i due dati precedenti il sistema verifica l’esistenza della prenotazione corrispondente; sulla base del numero di prenotazione corrispondente il sistema recupera i PDF dei referti; per ogni referto recuperato viene controllata la corrispondenza con il CF indicato dal paziente stesso, e corrispondente al codice di ritiro referti. I referti vengono resi disponibili all’utente”;

e) contattati gli interessati (cioè i soggetti a cui si riferivano i referti del 2010 erroneamente scaricati), gli stessi “esprimevano apprezzamento per la correttezza e la trasparenza dell’Amministrazione, evidenziando di non ritenersi lesi nella libertà o dignità dalla divulgazione di un dato, a loro stesso dire, non eccessivamente delicato pur se di natura particolare, oltre che risalente a molti anni prima”;

f) “la valutazione del caso ha consentito di rilevare la durata precisa della violazione che è riconducibile ad un tempo determinato e molto limitato, poiché gli accessi sono stati di pochi minuti ciascuno. (…) il sistema referti on line non consente di attestare che, ad eccezione dei 2 segnalanti, gli altri 6 destinatari del referto errato abbiano realmente visualizzato i documenti contenenti i dati degli interessati”;

g) “da un confronto della numerazione delle prenotazioni, avvenute nell’anno 2009 e dei referti generati nell’anno 2010, è stato possibile desumere che, per un probabile errore di progettazione software, il sistema, nell’ambito di una serie di prenotazioni di fine anno 2009, aggiungesse alla numerazione di prenotazione che iniziava con il n. 9, il prefisso 201, generando di fatto una numerazione analoga a quella progressiva attuale, anno 2019” ma non è possibile stabilire in quale fase (trasmissione prenotazione e trasmissione referto) si sia generato l’errore”;

h) “l’errore rilevato è stato bloccato in un tempo inferiore a 60 minuti e corretto in un tempo inferiore a 2 ore dalla segnalazione”;

i) “ad eccezione dei 2 pazienti che hanno segnalato il malfunzionamento, gli altri potrebbero anche non essersi resi conto dell’errore, poiché nello scarico del referto era visibile anche quello correttamente assegnato”;

j) "non è ad oggi possibile stabilire una condotta colposa del fornitore dei software di prenotazione e refertazione, in assenza di dati certi, a causa della sostituzione del sistema e del numero di anni trascorsi”;

k) “l’Azienda ha predisposto, sin dall’entrata in vigore del Regolamento Europeo, un piano formativo Aziendale capillare personalizzato sui diversi ruoli professionali. Solo nell’anno 2018 si sono tenute almeno 8 sessioni/evento dedicate alle categorie di professionisti: Delegati al trattamento, Comitato e Referenti Dipartimentali e di Distretto. Sono stati organizzati eventi frontali specifici per le diverse categorie di operatori (indicativamente circa 20 eventi formativi a giugno 2019)”.

In relazione alle misure adottate per attenuare gli effetti della violazione per gli interessati, sono stati nuovamente illustrati gli accorgimenti descritti nella comunicazione contenente la notifica di violazione di dati personali e è stato evidenziato che: “l’attuale sistema di gestione CUP (Sistema di prenotazione) trasmette prenotazione al LIS (Sistema di laboratorio), il quale in fase di refertazione invia il referto con numero di prenotazione sul CDR (Clinical Data Repository). Il sistema di recupero referti per consegna al paziente recupera il referto dal CDR interrogando per numero di prenotazione ed ora, successivamente al ridondato sistema di controllo, anche la corrispondenza del codice fiscale del referto con il codice fiscale della prenotazione”, precisando che “tutte le attività manutentive ed evolutive sui software in gestione siano ad oggi tracciate su apposito repository, dalla attivazione della commessa al collaudo. Tutte le trasmissioni di dati sanitari sui sistemi coinvolti nel percorso in oggetto avvengono in modalità sicura (protocolli criptati) sia verso l’esterno (internet) che nelle comunicazioni interne. Ogni operazione del percorso di accesso on line ai referti descritto è oggetto di tracciamento”.

In data 31 ottobre 2019 si svolgeva l’audizione richiesta dal titolare del trattamento presso gli Uffici del Garante, nel corso della quale è stato ulteriormente rappresentato che le misure informatiche adottate per risolvere il problema sono state “sottoposte a test successivi che hanno consentito di verificare la robustezza delle predette misure adottate”.

L’Azienda ha, quindi, chiesto “in base a quanto sopra esposto di procedere all'archiviazione del procedimento amministrativo e, in subordine, pur senza riconoscere la fondatezza delle contestazioni, l'applicazione di una sanzione nella minore entità possibile”.

3. Esito dell’attività istruttoria

Premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice (“Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”), all’esito dell’esame della documentazione acquisita nonché delle dichiarazioni rese all’Autorità nel corso del procedimento, emerge che:

1. benché la violazione sia iniziata nell’anno 2010, al fine della determinazione della norma applicabile, sotto il profilo temporale, deve essere richiamato in particolare il principio di legalità di cui all’art. 1, comma 2, della l. n. 689/1981, che sancisce come «Le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in esse considerati». Ciò determina l’obbligo di prendere in considerazione le disposizioni vigenti al momento della commessa violazione, che nel caso in esame – data la natura permanente dell’illecito contestato – deve essere individuato all’atto di cessazione della condotta omissiva illecita, verificatasi successivamente alla data del 25 maggio 2018 in cui il Regolamento è divenuto applicabile. Dagli atti dell’istruttoria è, infatti, emerso che l’evento da cui ha avuto origine l’illecita comunicazione di dati sulla salute ha avuto luogo nel 2010, ma l'Azienda ne è venuta a conoscenza il 18 marzo 2019 e nello stesso anno ha dichiarato di aver provveduto a rimuoverne gli effetti, adottando le misure tecniche e organizzative volte a prevenire simili violazioni future;

2. l’Azienda ha effettuato una comunicazione di dati relativi alla salute in assenza di un idoneo presupposto giuridico e, in materia di sicurezza dei dati personali, ha omesso di adottare misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio (artt. 5, 9 e 32 del Regolamento).

4. Conclusioni

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese nel corso dell’istruttoria, si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive e nel corso dell’audizione, seppure meritevoli di considerazione -considerato il dettaglio e l’appropriatezza delle spiegazioni fornite, in relazione a ciascun elemento indicato nell’art. 83, par. 2, del Regolamento- non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni si rileva l’illiceità del trattamento di dati personali effettuato dall’Azienda Unità Sanitaria Locale di Reggio Emilia, nei termini di cui in motivazione, in violazione degli artt. 5 e 9 del Regolamento.

Conseguentemente, a prescindere dalla notificazione della violazione di dati personali effettuata dal titolare del trattamento, in osservanza dell’obbligo di cui all’art. 33 del Regolamento, i profili di illiceità del trattamento rilevati nel caso di specie, richiedono comunque l'intervento di questa Autorità.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti e che sono state fornite assicurazioni in ordine alle misure tecniche adottate al fine di evitare la ripetizione dell’errore occorso, verificate anche in relazione alla loro efficacia, non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5 e 9 del Regolamento, da parte dell’Azienda Unità Sanitaria Locale di Reggio Emilia, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, del Regolamento.

Si consideri che il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2, del Regolamento in relazione ai quali si osserva che:

1. l’Autorità ha preso conoscenza della violazione a seguito della notifica effettuata nel rispetto dei termini di legge dal titolare del trattamento che ha informato dell’accaduto gli interessati; e non sono pervenuti reclami o segnalazioni al Garante sull’accaduto (art. 83, par. 2, lett. a) e h) del Regolamento);

2. la problematica è stata immediatamente presa in carico da parte del Servizio di Tecnologie Informatiche e Telematiche Aziendale, sospendendo prontamente il sistema di scarico referti e correggendo la problematica riscontrata mediante l’individuazione di soluzioni sottoposte a test successivi (art. 83, par. 2, lett. c) del Regolamento);

3. non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento né sono stati precedentemente disposti provvedimenti di cui all’art. 58 del Regolamento (art. 83, par. 2, lett. e) e i) del Regolamento);

4. l’Azienda ha collaborato con l’Autorità nel corso dell’istruttoria e del presente procedimento (art. 83, par. 2, lett. f) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, nella misura di euro 9.000,00 (novemila) per la violazione degli artt. 5 e 9 del Regolamento quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dall’Azienda Unità Sanitaria Locale di Reggio Emilia, per la violazione degli art. 5, par. 1, lett. f) e 9 del Regolamento nei termini di cui in motivazione.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, all’Azienda Unità Sanitaria Locale di Reggio Emilia con sede legale in Reggio Emilia, in via Amendola 2 - P.IVA 01598570354, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 9.000,00 (novemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento, secondo le modalità indicate in allegato, entro 30 giorni dalla notifica in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

alla predetta Azienda, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 9.000,00 (novemila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

- la pubblicazione del presente provvedimento sul sito web del Garante, ai sensi dell’art. 166, comma 7, del Codice;

- l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, nonché dall’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 11 marzo 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei