g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Azienda Usl della Romagna - 27 maggio 2021 [9682619]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

VEDI ANCHE Newsletter del 20 luglio 2021

 

[doc. web n. 9682619]

Ordinanza ingiunzione nei confronti di Azienda Usl della Romagna - 27 maggio 2021

Registro dei provvedimenti
n. 211 del 27 maggio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il Cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore l'avv. Guido Scorza;

PREMESSO

1. La violazione dei dati personali.

L’Azienda Usl della Romagna (di seguito Azienda) ha notificato al Garante una violazione di dati personali ai sensi dell’art. 33 del Regolamento in relazione alla trasmissione -mediante la rete informativa regionale Sole- al medico di medicina generale (MMG) di un referto con riferimento al quale l’interessata aveva esercitato il diritto di oscuramento (notifica del 23.8.2019, prot. n. 218239). In particolare, all’atto del ricovero per interruzione farmacologica volontaria della gravidanza, l’interessata, attraverso la compilazione di un apposito modulo, aveva esplicitamente richiesto che non venisse inviata la notifica relativa al predetto ricovero al proprio medico di medicina generale.

Secondo quanto dichiarato dall’Azienda, nonostante l’operatore sanitario di reparto abbia trasmesso il predetto modulo all’Ufficio ricoveri e abbia indicato la scelta della paziente, a causa di “un errore del sistema informatico”, la notifica di ricovero dell’interessata è stata trasmessa al MMG, nell’ambito del “Progetto Sole” cui la paziente aveva aderito nel 2011.

2. L’attività istruttoria.

In relazione alla predetta notifica di violazione, l’Ufficio ha richiesto informazioni all’Azienda con nota del 4.10.2019, prot. n. 33741, a cui è stato fornito riscontro con nota del 11.10.2019, prot. n. 263042, rappresentando, in particolare, che:

“al momento del ricovero, avvenuto il XX, la paziente chiedeva, tramite la compilazione di un modulo apposito, che i dati relativi all’ADT (accettazione, dimissione e trasferimento) riguardanti l’intervento di interruzione volontaria della gravidanza farmacologica non venissero trasmessi tramite la rete SOLE al proprio MMG”;

“l’applicativo fornito da Engineering Ingegneria informatica S.p.a per la trasmissione dei dati alla Rete Sole presenta un check box che viene flaggato da parte dell’operatore quando il paziente richiede l’oscuramento”, tuttavia, “a causa di un bug nel programma del software fornito da Engineering Ingegneria informatica S.p.a., il software stesso non ha recepito la selezione del flag: conseguentemente il messaggio di notifica dell’avvenuto ricovero è stato trasmesso al MMG”;

dal 3 agosto 2019, in attesa della risoluzione della predetta problematica, sono state interrotte “le notifiche da inviare alla Rete Sole”;

la risoluzione della problematica che ha determinato il suddetto evento è stata effettuata in data 26/09/2019 e si esclude “la replicabilità della violazione”;

la società Engineering Ingegneria informatica S.p.a., che “gestisce il software di accettazione, dimissione, trasferimento (ADT)”, “è stata designata responsabile esterno del trattamento”;

a seguito di alcune verifiche è emerso che “da aprile 2018 sono stati solo 48 (su range di popolazione di 1.126.000 residenti, oltre all’esponenziale crescita estiva) i casi in cui risulta pervenuta la trasmissione al MMG nonostante l’attivazione del flag”;

è stato “programmato di porre in essere una procedura per la verifica periodica sul corretto funzionamento dei software nei casi analoghi ove sussistano richieste di oscuramento”.

L’Ufficio, con atto n. 44223 del 17/12/2019, ha notificato all’Azienda, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, paragrafo 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

In particolare l’Ufficio, nel predetto atto, ha rappresentato che, sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, l’Azienda ha effettuato, mediante la trasmissione al medico di medicina generale della notifica di ricovero per intervento di interruzione farmacologica volontaria della gravidanza dell’interessata, una comunicazione di dati relativi alla salute priva di presupposto giuridico e in contrasto con una esplicita richiesta di oscuramento avanzata dall’interessata, esplicitamente tutelata dalla disciplina di settore (artt. 5, 7 e 8 del DPCM n. 178/2015) e, quindi, in violazione dell’art. 75 del Codice, dell’art. 9 del Regolamento e del principio di liceità del trattamento (art. 5, par. 1, lett. a) del Regolamento).

Con nota del 16 gennaio 2020 (prot. n. 12393), l’Azienda ha fatto pervenire le proprie memorie difensive, in cui sono stati rappresentati elementi ulteriori e, in particolare, che:

- “la violazione del dato particolare della paziente sia consistita nell'indebito accesso al dato particolare da parte di un unico soggetto terzo identificato, ossia il medico di base della paziente che, coerentemente agli obblighi deontologici cui è sottoposto, è tenuto al segreto professionale in relazione alle informazioni di cui sia venuto a conoscenza in ragione dell'espletamento delle sue funzioni sanitario-assistenziali. Egli infatti, in quanto sottoposto al divieto di divulgazione delle notizie e delle informazioni relative allo stato di salute dei suoi pazienti, non potrebbe dare luogo ad una indiscriminata diffusione di tali informazioni, né, inoltre, a una comunicazione delle stesse priva di cause di giustificazione. Inoltre, in ragione delle funzioni che gli competono, non si ritiene verosimile che il medico di base della paziente possa concretamente adottare delle condotte che provochino una effettiva discriminazione ovvero un pregiudizio alla reputazione della paziente per le quali, viceversa, deontologicamente ne dovrebbe rispondere direttamente”;

- “in data 15/05/2018, e dunque prima dell'effettiva applicabilità del Reg. UE 679/2016, trasmetteva a Engineering Ingegneria Informatica S.p.a. (di seguito anche indicata solo come "Engineering") apposita PEC con oggetto "compliance alla privacy by design delle Vostre applicazioni software, oggetto di contratto con questa Azienda" finalizzata a richiedere lo stato di adeguamento di dette applicazioni al Regolamento”;

- “l'Azienda si è attivata immediatamente con una soluzione temporanea, al fine di escludere altri casi di comunicazione verso SOLE di dati oscurati. ln considerazione dell'urgenza dell'intervento, della necessità di attivare una soluzione immediata e di basso impatto organizzativo, a seguito di un incontro con la ditta Engineering si è ritenuto di inibire la trasmissione verso SOLE quando il campo veniva flaggato”.

3. Esito dell’attività istruttoria.

Preso atto di quanto rappresentato dall’Azienda nella documentazione in atti e nelle memorie difensive, si osserva che:

1. in ambito sanitario- le informazioni sullo stato di salute possano essere comunicate solo all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso previa delega scritta di quest’ultimo (art. 9 Regolamento e art. 83 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101);

2. il Codice prevede che “il trattamento dei dati personali effettuato per finalità di tutela della salute e incolumità fisica dell’interessato (…) deve essere effettuato (…) nel rispetto delle specifiche disposizioni di settore” (art. 75-Specifiche condizioni in ambito sanitario del Codice). Con specifico riferimento al caso in esame, si rileva che “la rete Sole, attraverso la raccolta dei documenti sanitari personali di ogni assistito, genera il Fascicolo sanitario elettronico personale, consultabile on-line in forma protetta e riservata per chi lo desidera e fornisce il consenso formale” (cfr. https://www.progetto-sole.it/pubblica). Ciò stante si richiama quanto previsto dalla normativa di settore e, in particolare, dall’art. 12 del d.l. n. 179/2012 che ha previsto l’istituzione del Fascicolo sanitario elettronico, la cui attuazione è regolata, allo stato, dal DPCM n. 178/2015 (Regolamento in materia di fascicolo sanitario elettronico -FSE), su cui l’Autorità ha espresso il proprio parere (Parere del 22/5/2014, doc. web n. 3230826). Il predetto regolamento attuativo ha definito “Dati soggetti a maggiore tutela dell'anonimato” le informazioni e i documenti sanitari e sociosanitari disciplinati dalle disposizioni normative a tutela anche delle donne che si sottopongono a un’interruzione volontaria di gravidanza (art. 5). Tali tipologie di dati possono essere rese visibili attraverso il FSE “solo previo esplicito consenso dell'assistito”. Il citato regolamento prevede che sia “responsabilità dei professionisti o degli operatori sanitari che erogano la prestazione acquisire l'esplicito consenso dell'assistito” (art. 5, comma 2). Il predetto regolamento ha sancito, inoltre, che “l’assistito ha il diritto di richiedere l'oscuramento dei dati e documenti sanitari e socio-sanitari sia prima dell'alimentazione del FSE che successivamente, garantendone la consultabilità esclusivamente all'assistito e ai titolari che li hanno generati” (art. 8);

3. la trasmissione, mediante il programma regionale SOLE, al medico di medicina generale della notifica di ricovero per interruzione farmacologica volontaria della gravidanza dell’interessata ha determinato una comunicazione di dati relativi alla salute dell’interessata priva di idoneo presupposto giuridico e in contrasto con una esplicita richiesta di oscuramento avanzata dall’interessata stessa;

4. la problematica software che ha generato l’evento oggetto della richiama violazione ha determinato peraltro che, nell’arco temporale intercorrente tra il mese di aprile 2018 e l’agosto 2019, in 48 casi sono stati inviati, ai medici di medicina generale degli interessati, notifiche di documenti sanitari con riferimento ai quali gli interessati stessi avevano invece richiesto l’oscuramento.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare e dai responsabili del trattamento nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni si rileva l’illiceità del trattamento di dati personali effettuato dall’Azienda Usl della Romagna nei termini di cui in motivazione, per violazione degli artt. 5, par. 2, lett. a), e 9 del Regolamento, nonché dell’art. 75 del Codice.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che l’Azienda ha dichiarato che è stata conclusa la procedura di risoluzione della problematica che ha generato il predetto evento con modalità tali da escludere la replicabilità dello stesso non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, par. 2, lett. f), e 9 del Regolamento e 75 del Codice, causata dalla condotta posta in essere dall’Azienda Usl della Romagna, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par.5, del Regolamento anche ai sensi dell’art. 166, comma 2 del Codice (cfr. lett. a) con riferimento alla violazione degli artt. 5 e 9 del Regolamento).

Nel caso di specie – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento, che si applica pertanto al caso di specie.

Si consideri che il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 85, par. 2, del Regolamento in relazione ai quali si osserva che:

- l’Autorità ha preso conoscenza dell’evento a seguito della notifica di violazione dei dati personali effettuata dallo stesso titolare e non sono pervenuti reclami o segnalazioni al Garante sull’accaduto (art. 83, par. 2, lett. a) e h) del Regolamento);

- il trattamento dei dati effettuato dall’Azienda riguarda dati idonei a rilevare informazioni sulla salute di 48 interessati, tra i quali anche quello oggetto di notifica di violazione che concerne informazioni relative all’interruzione volontaria di gravidanza di una interessata (art. 4, par. 1, n. 15 del Regolamento e art. 83, par. 2, lett. a) e g) del Regolamento);

- le violazioni, seppure dovute a un errore del software hanno determinato una comunicazione a carattere non episodico di dati particolari oggetto di particolare tutela, nonostante gli interessati avessero espressamente manifestato, nelle forme previste, la volontà che il proprio dato fosse non fosse visibile a terzi nel proprio fascicolo sanitario elettronico (diritto di oscuramento);

- l’assenza di elementi di volontarietà da parte dell’Azienda nella causazione dell’evento (art. 83, par. 2, lett. b) del Regolamento);

- l’evento si è verificato nel periodo di prima applicazione del Regolamento ed è stato immediatamente preso in carico sia da parte dell’Azienda che del responsabile del trattamento della stessa, cui è seguita l’individuazione di soluzioni correttive e risolutive (art. 5, par. 2 e art. 83, par. 2, lett. c) e d) del Regolamento);

- l’Azienda ha fin da subito dimostrato un elevato grado di cooperazione (art. 83, par. 2, lett. c), d) e f) del Regolamento);

- l’Azienda è stata già destinataria di un provvedimento sanzionatorio in relazione al trattamento dei dati sulla salute di una paziente ricoverata nel reparto di ginecologia (provvedimento del 27 gennaio 2021, n. 36) (art. 83, par. 2, lett. i), del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, tenendo anche conto della fase di prima applicazione delle disposizioni sanzionatorie ai sensi dell’art. 22, comma 13, del d. lgs. 10/08/2018, n. 101, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, nella misura di euro 120.000,00 (centoventimila) per la violazione degli artt. 5, par. 1, lett. f) e 9 del Regolamento e dell’art.75 del Codice quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dall’Azienda Usl della Romagna, per la violazione degli art. 5, par. 1, lett. f) e 9 del Regolamento e dell’art. 75 del Codice nei termini di cui in motivazione.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, all’Azienda Usl della Romagna con sede legale in Ravenna, via de Gasperi, 8 – C.F./P.IVA  02483810392, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 120.000,00 (centoventimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento, secondo le modalità indicate in allegato, entro 30 giorni dalla notifica in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

alla predetta Azienda, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 120.000,00 (centoventimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 27 maggio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei