g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Azienda sanitaria provinciale di Cosenza - 16 settembre 2021 [9718175]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9718175]

Ordinanza ingiunzione nei confronti di Azienda sanitaria provinciale di Cosenza - 16 settembre 2021

Registro dei provvedimenti
n. 326 del 16 settembre 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO il d. lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida in materia di trasparenza”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Introduzione

Questa Autorità ha ricevuto un reclamo del sig. XX (di seguito “reclamante”), con il quale è stata contestata una violazione della normativa in materia di protezione dei dati personali da parte dell’Azienda sanitaria provinciale di Cosenza (A.S.P. Cosenza).

Nello specifico, come emerso anche dalla verifica preliminare effettuata dall’Ufficio, dall’url http://... era possibile visualizzare e scaricare liberamente la Deliberazione del Commissario straordinario n. XX del XX, avente a oggetto «Cancellazione dagli elenchi di medicina Generale del Dott. XX per recesso dal 03/03/2015». Tale Deliberazione riportava nell’oggetto e nel testo dati e informazioni personali riguardanti il predetto dottore e le relative dimissioni dall’incarico di medicina generale, nonché in allegato, la nota integrale inviata dal medesimo dott. XX all’ASP Cosenza, assunta al prot. n. XX del XX, con ulteriori riferimenti particolareggiati ai propri problemi di salute e al rapporto di lavoro con la ASP.

2. La normativa in materia di protezione dei dati personali

Ai sensi della disciplina in materia, «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)» e «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).

Con particolare riferimento al caso sottoposto all’attenzione di questa Autorità, si ricorda che i soggetti pubblici, come l’Azienda sanitaria, possono diffondere «dati personali» solo se tale operazione è prevista «da una norma di legge o, nei casi previsti dalla legge, di regolamento» (art. 2-ter, commi 1 e 3, del Codice), nel rispetto – in ogni caso – dei principi in materia di protezione dei dati, fra i quali quello di «minimizzazione», in base ai quali i dati personali devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. c, del RGPD).

In tale quadro, si rappresenta che, in ogni caso, è vietata la diffusione di dati relativi alla salute (art. 2-septies, comma 8, del Codice; cfr. anche art. 9, parr. 1, 2, 4, del RGPD), ossia di «dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute» (art. 4, par. 1, n. 15; considerando n. 35 del RGPD).

Al riguardo, sin dal 2014, il Garante ha evidenziato che dato idoneo a rivelare lo stato di salute non è solo l’indicazione della patologia, ma qualsiasi informazione «da cui si possa desumere, anche indirettamente, lo stato di malattia o l’esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici» (cfr. provvedimento n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436, parte prima par. 2 e parte seconda, par. 1; nonché provvedimenti ivi citati in nota n. 5).

3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato.

A seguito dalle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX del XX ha accertato che l’Azienda sanitaria provinciale di Cosenza – diffondendo i dati e le informazioni personali contenuti nel documento pubblicato online prima descritto – ha effettuato un trattamento di dati personali non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD. Pertanto, con la medesima nota sono state notificate alla predetta Azienda le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD e invitando la predetta amministrazione a far pervenire al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentita da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

4. Memorie difensive.

L’Azienda sanitaria provinciale di Cosenza, con la nota prot. n. XX del XX, ha inviato al Garante i propri scritti difensivi in relazione alle violazioni notificate.

Al riguardo, si ricorda che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, intitolato «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante».

In particolare, quanto alla condotta tenuta, l’Azienda ha evidenziato, fra l’altro che:

- «trattasi di fatto risalente nel tempo (anno 2015) [e] questa Struttura Commissariale, insediatasi da pochi mesi, ha prontamente provveduto, ancor prima della notifica della violazione di cui trattasi, a coordinarsi con l’ufficio preposto al fine di adottare apposita policy (in stato di attivazione ed adozione) inerente alla corretta gestione della sezione dell’albo pretorio dell’ASP di Cosenza, presente sul sito istituzionale»;

- «In particolare, quale attività di carattere proattivo, in ossequio al principio di accountability del Titolare di cui all’art. 5 GDPR, con comunicazione mail del 24.03.2021, l’ufficio preposto provvedeva a richiedere al DPO aziendale apposito parere in merito ai dati da oscurare nella pubblicazione sull’albo online […]. Tale richiesta veniva riscontrata con nota dell’1.04.2021 […] e, conseguentemente, si provvedeva ad adottare apposita “Direttiva formulazione atto deliberativo e determina dirigenziale per pubblicazione on line Albo Telematico” nella quale oltre a richiamare l’attenzione di tutti gli uffici sul rispetto delle misure raccomandate dal Garante sono stai forniti a tutti i Direttori del Dipartimenti, dei Distretti Sanitari e ai Direttori/Responsabili delle UU.OO.CC., UU.OO.SS.DD. e UU.OO.SS. e, in particolare, agli Uffici preposti a generare gli atti, opportuni accorgimenti da adottare prima di pubblicare sul sito web istituzionale e sull’Albo Pretorio online atti e documenti contenenti dati personali»;

- «la violazione dei dati personali ha riguardato un solo interessato e […] a seguito dell’avvenuta notifica della suddetta violazione, si è immediatamente provveduto alla rimozione del documenti contenente le informazioni sullo stato di salute del [reclamante]»;

- «benché la pubblicazione di un contenuto del genere (stato di salute dell’interessato) comporti indubbiamente una violazione in termini di privacy, giova precisare che tali informazioni risultavano assai generiche non contenendo, infatti, alcun dettaglio riguardante, ad esempio, la diagnosi della patologia sofferta dal dottore in questione»;

- «Nell’ambito delle misure tecniche e organizzative adottate dall’Ente ai sensi degli art. 25 e 32 GDPR, è stato costituito un apposito Ufficio Privacy nell’ottica di una più efficace tutela dei dati personali degli utenti/pazienti di questa Azienda Sanitaria. È stato designato, altresì, un responsabile della Protezione dei Dati (DPO/RPD) che, come sopra evidenziato, rende continuamente pareri e indicazioni relativamente al trattamento dei dati personali e si è da subito evidenziato quale punto di riferimento per il corretto assolvimento degli obblighi previsti in tema di trattamento dei dati personali»;

- «questa ASP ha già avviato un percorso di formazione privacy rivolto al personale al fine di accrescere affermare in maniera forte la consapevolezza della disciplina in tema di protezione dei dati personali nell’ottica di prevenire ulteriori sinistri della stessa tipologia».

5. Valutazioni del Garante

La questione oggetto del caso sottoposto all’attenzione del Garante riguarda la diffusione di dati e informazioni personali del reclamante, anche relativi alla salute, contenuti nella Deliberazione del Commissario straordinario n. XX e nella relativa nota del reclamante a essa allegata, pubblicate online, riguardanti le dimissioni dall’incarico di medicina generale, con ulteriori riferimenti particolareggiati a problemi di salute e al rapporto di lavoro con la A.S.P.

Nell’ambito dell’istruttoria aperta al riguardo da questa Autorità, l’Azienda sanitaria ha confermato, nelle proprie memorie difensive, l’avvenuta diffusione online dei dati personali descritti, rappresentando di aver provveduto a rimuovere i dati sulla salute del reclamante dal sito web istituzionale.

In ordine alla condotta tenuta, si rappresenta in ogni caso che non può essere accolta l’osservazione dell’Azienda sanitaria per giustificare il proprio comportamento, in base alla quale le informazioni pubblicate erano «assai generiche non contenendo, infatti, alcun dettaglio riguardante, ad esempio, la diagnosi della patologia sofferta dal dottore in questione». Ciò in quanto tale interpretazione è in contrasto con la stessa definizione di «dati relativi alla salute» contenta nel RGPD, ai sensi del quale sono tali non sole le informazioni relative alla diagnosi, ma qualunque dato personale attinente «alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute» (art. 4, par. 1, n. 15; considerando n. 35 del RGPD). Nel caso di specie, è stato rilevato che l’A.S.P. ha diffuso la nota in cui lo stesso reclamante dichiarava all’Azienda le proprie dimissioni irrevocabili per gravi problemi di salute generati anche dallo stress causato dalle condizioni del proprio rapporto di lavoro. Per tali informazioni la disciplina in materia di protezione dei dati personali prevede un espresso divieto di diffusione (art. 2-septies, comma 8, del Codice; cfr. anche art. 9, parr. 1, 2, 4, del RGPD).

6. Esito dell’istruttoria relativa al reclamo presentato

Le circostanze evidenziate negli scritti difensivi esaminate nel loro complesso, sicuramente meritevoli di considerazione ai fini della valutazione della condotta, non risultano sufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo alcuna delle ipotesi previste dall’art. 11 del Regolamento del Garante n. 1/2019.

In tale quadro, si confermano le valutazioni preliminari dell’Ufficio con la nota prot. n. XX del XX e si rileva l’illiceità del trattamento di dati personali effettuato dall’Azienda sanitaria provinciale di Cosenza, in quanto la diffusione sul sito web istituzionale:

1) dei dati sulla salute del soggetto interessato, è avvenuta in violazione del divieto previsto dall’art. 2-septies, comma 8, del Codice e dell’art. 9, parr. 1, 2 e 4, del RGPD;

2) dei dati e delle informazioni personali del soggetto interessato – come le informazioni inerenti all’attività lavorativa e al recesso (comprensivo della motivazione) dalla stessa – è avvenuta in violazione del principio di «minimizzazione» dei dati, considerando che gli stessi non risultano essere «limitati a quanto necessario rispetto alle finalità per le quali sono trattati», di cui all’art. 5, par. 1, lett. c), del RGPD.

Considerato, tuttavia, che la condotta ha esaurito i suoi effetti, in quanto il titolare del trattamento ha dichiarato di aver provveduto a rimuovere i dati sulla salute del reclamante dal sito web istituzionale, fermo restando quanto si dirà sull’applicazione della sanzione amministrativa pecuniaria, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del RGPD.

7. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria (artt. 58, par. 2, lett. i; 83 del RGPD)

L’Azienda sanitaria provinciale di Cosenza risulta aver violato gli artt. 5, par. 1, lett. a) e c); 9, parr. 1, 2 e 4, del RGPD; nonché l’art. 2-septies, comma 8, del Codice.

Al riguardo, l’art. 83, par. 3, del RGPD, prevede che «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave».

Nel caso di specie, la violazione delle disposizioni citate – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del RGPD, che si applica pertanto al caso in esame.

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD, nonché dell’art. 166 del Codice, ha il potere correttivo di «infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso». In tale quadro, «il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice» (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del RGPD.

In tal senso, la rilevata condotta tenuta in violazione della disciplina in materia di protezione dei dati personali risulta di natura colposa ed ha avuto a oggetto la diffusione online di dati personali, riferiti a un solo soggetto interessato, per circa sei anni, anche relativi alla salute (art. 9 del RGPD). L’Azienda sanitaria, a seguito della richiesta dell’Ufficio, è intervenuta tempestivamente, collaborando con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alla violazione, attenuandone i possibili effetti negativi. Nel riscontro al Garante sono state, inoltre, descritte diverse misure tecniche e organizzative messe in atto ai sensi degli artt. 25-32 del RGPD. Ai fini della determinazione della sanzione amministrativa si tiene in ogni caso conto che già in passato l’Azienda sanitaria provinciale di Cosenza è stata destinataria di analogo procedimento sanzionatorio per illecita diffusione di dati sulla salute e per violazione del principio di minimizzazione (cfr. provvedimento n. 173 dell’1/10/2020, in www.gpdp.it, doc. web n. 9483375).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare, tenuto conto anche del complesso quadro gestionale e finanziario dell’ente attualmente sottoposto a una gestione commissariale, ai sensi dell’art. 83, parr. 2 e 3, del RGPD l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, del RGPD, nella misura di euro 18.000,00 (diciottomila)  per la violazione degli artt. 5, par. 1, lett. a) e c); 9, parr. 1, 2 e 4, del RGPD; nonché dell’art. 2-septies, comma 8, del Codice; quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo RGPD.

In relazione alle specifiche circostanze del presente caso, relative alla diffusione di dati sulla salute, si ritiene altresì che debba essere applicata la sanzione accessoria della pubblicazione del presente provvedimento sul sito Internet del Garante, prevista dall’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità del trattamento effettuato dall’Azienda sanitaria provinciale di Cosenza nei termini indicati in motivazione ai sensi degli artt. 58, par. 2, lett. i), e 83 del RGPD

ORDINA

all’Azienda sanitaria provinciale di Cosenza, in persona del legale rappresentante pro-tempore, con sede legale in Viale Degli Alimena, 8 - 87100 Cosenza (CS) – C.F. 02853720783 di pagare la somma di € 18.000,00 (diciottomila) a titolo di sanzione amministrativa pecuniaria per le violazioni di cui in motivazione;

INGIUNGE

alla medesima Azienda Sanitaria di pagare la somma di euro € 18.000,00 (diciottomila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.

Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1/9/2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice).

DISPONE

- la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019;

- l'annotazione nel registro interno dell'Autorità delle violazioni e delle misure adottate ai sensi dell'art. 58, par. 2, del RGPD con il presente provvedimento, come previsto dall’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 16 settembre 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL VICE SEGRETARIO GENERALE
Filippi