g-docweb-display Portlet

Provvedimento del 29 settembre 2021 [9720314]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9720314]

Provvedimento del 29 settembre 2021

Registro dei provvedimenti
n. 361 del 29 settembre 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE” (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

Relatore l’avv. Guido Scorza;

PREMESSO

1. La violazione di dati personali

L’Azienda Ospedaliero-Universitaria città della salute e della scienza di Torino (di seguito Azienda), ha notificato una violazione di dati personali, ai sensi dell’art. 33 del Regolamento (notificazione del 25/01/2021 prot. n. 0007823).

In tale ambito, l’Azienda ha dichiarato, ai sensi dell’art. 168 del Codice, che la violazione è avvenuta in data 22 gennaio 2021 e di esserne venuta a conoscenza lo stesso giorno alle ore 18.32 per il tramite di uno degli interessati coinvolti.

La violazione è stata causata da un’azione accidentale interna ed è consistita nell’invio di una comunicazione a mezzo email a n. 18 (diciotto) “mamme di bambine in cura presso il reparto endocrinologia pediatrica del Presidio Ospedaliero Regina Margherita attraverso una mailing-list in chiaro da cui si può desumere la condizione (pubertà precoce) per cui le piccole pazienti sono seguite dal Centro. La comunicazione aveva il fine di approfondire l'anamnesi attraverso la compilazione volontaria di un questionario relativo agli stili di vita mantenuti durante il lock down conseguente alla pandemia da virus sars cov2”.

Nella notificazione sono stati indicati come oggetto della violazione i “dati di contatto (indirizzo e-mail) delle mamme delle 18 piccole pazienti seguite dal Centro per pubertà precoce, condizione riportata come premessa nel testo della e-mail che hanno subito una perdita di confidenzialità”, ma anche i dati riferiti alle pazienti minori di età seppur, queste ultime sono state ritenute non “identificabili dall'indirizzo e-mail della mamma”.

La gravità della violazione, che ha comportato una perdita di confidenzialità dei dati, è stata stimata come “bassa” in quanto come possibile conseguenza dell’evento è stata considerata solo la possibilità che la mailing list dagli stessi genitori possa essere utilizzata per finalità non strettamente collegate a quella per cui è stata fornita e perché la comunicazione “è stata "socializzata" fra madri di pazienti che condividono la stessa condizione parafisiologica che, peraltro, non desta allarme sociale o comportamenti tendenti all'isolamento delle piccole pazienti che, peraltro, non sono identificabili dall'indirizzo e-mail della mamma”.

L’Azienda ha, inoltre, rappresentato l’intenzione di comunicare la violazione alle interessate, ai sensi dell’art. 34 del Regolamento, di avere formalmente richiesto la cancellazione della mail ricevuta per mero errore materiale e di avere intrapreso specifiche iniziative per prevenire simili violazioni future.

Sono state, infine, descritte alcune misure di cui si propone l’adozione per prevenire simili violazioni future. In particolare, è stato rappresentato che “saranno riviste ad iniziativa del Direttore del Centro le procedure di tenuta dei rapporti e di comunicazione con i pazienti anche nell'ipotesi in cui gli stessi pazienti, in considerazione della pandemia in corso, abbiano autorizzato l'utilizzo della propria e-mail. Sarà attivata sempre ad iniziativa del Direttore del Centro una specifica formazione sulla tematica della comunicazione dei dati in forma telematica. Verrà altresì attivato un audit specifico”.

2. L’attività Istruttoria

In relazione a quanto notificato, a seguito di una specifica istruttoria preliminare (nota prot. n. 100573 del 22 febbraio 2021), l'Ufficio, con atto prot. n. 0015124, del 19 marzo 2021, ha notificato all’Azienda, ai sensi dell'art. 166, comma 5 del Codice, l’avvio del procedimento per l'adozione dei provvedimenti, di cui all'articolo 58, paragrafo 2 del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall'Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/l l/1981).

Tenuto conto che in sede istruttoria, oltre a quanto già dichiarato nella notificazione, è emerso, in particolare, che:

la email inviata alle mamme delle pazienti si rivolgeva ad una singola persona a conferma del fatto che l’invio contestuale a più destinatari sia stato frutto di un mero errore;

le pazienti sono registrate in Azienda con prenome e cognome paterno mentre le email, salvo un solo caso, sono state indirizzate alle madri delle stesse, gli indirizzi di posta elettronica delle quali “sono di fantasia, altri sono sigle, altri ancora riportano il cognome da nubile (...)”;

i dati personali dei minori in cura presso S.S.D. Endocrinologia Pediatrica dell’Ospedale Infantile Regina Margherita – A.O.U. Città della Salute e della Scienza di Torino “sono stati mappati nel Registro dei Trattamenti dati e il tempo di conservazione di ciascun dato è definito da Massimario dell’Azienda”;

il Delegato, nella persona del Responsabile della Struttura, nominato dal Titolare con documento scritto, ha individuato e autorizzato dipendenti e collaboratori al “Trattamento, adeguatamente istruiti”;

“nei rari casi di invio di documentazione con dati sensibili per mail su richiesta dei genitori/caregivers, previa acquisizione del consenso, i file vengono criptati”;

a livello aziendale, con deliberazione n. 473/2019 è stato adottato un disciplinare tecnico sull’utilizzo delle risorse informatiche, internet e posta elettronica, pubblicato sulla Intranet e trasmesso con circolare del 7 maggio 2019 ai Direttori di Struttura per la capillare diffusione a tutti i lavoratori afferenti alla medesima”;

nel richiamato atto del 19 marzo 2021, l’Ufficio ha ritenuto che l’Azienda abbia comunicato a soggetti terzi non autorizzati dati personali, anche inerenti allo stato di salute, in assenza di idonea base giuridica. Ciò in violazione del principio di liceità del trattamento previsto dal Regolamento (artt. 5, par. 1, lett. a), 6 e 9 del Regolamento),

Con nota del 19 aprile 2021, l’Azienda ha fatto pervenire le proprie memorie difensive, senza avanzare una specifica richiesta di audizione.
In tale ambito, nel ribadire quanto già rappresentato in precedenza, è stato in particolare evidenziato che:

gli unici “dati personali particolari relativi ai pazienti”, contenuti nella mail riguardano il riferimento alla condizione di “pubertà precoce”;

si è trattato di “un evento unico e isolato che ha coinvolto un numero limitato di soggetti, le famiglie interessate non hanno, sinora, indicato di aver subito alcun danno”;

“la durata della violazione può dirsi contenuta e limitata al tempo intercorso tra la trasmissione delle email in chiaro (22 gennaio 2021, ore 10.19) e l’inoltro a ciascun genitore di una nota email di scuse, con la quale veniva richiesta anche la cancellazione della mailing list (26 gennaio 2021)”;

“(...), che la violazione sia l’esito di un comportamento assolutamente accidentale e involontario, riconducibile ad un mero errore di esecuzione commesso in fase di trasmissione della comunicazione a mezzo email da parte del medico, in prima linea nell'organizzazione avendo la diretta cura dei pazienti”;

(...) “inoltre, in data 8 febbraio 2021 è stato effettuato un audit presso la Struttura di Endocrinologia Pediatrica, diretto a verificare la conoscenza delle procedure aziendali in materia di protezione dati, che ha consentito di ridiscutere con il personale le problematiche relative alla tutela del dato personale connesse alla comunicazione con i pazienti, suggerendo, altresì, quale utile opportunità di miglioramento la partecipazione alle iniziative di formazione e aggiornamento sul trattamento dei dati che prevedono anche le modalità corrette di comunicazione via email;

“in data 18 marzo 2021 è stato pubblicato sulla intranet aziendale un avviso del seguente tenore: “Si richiama l’attenzione dei Direttori e Dirigenti delle Strutture, nonché dei dipendenti afferenti alle medesime, al rispetto delle indicazioni riportate nei documenti a seguire riferiti al disciplinare tecnico sull’utilizzo delle risorse informatiche, Internet e posta elettronica, ed alle raccomandazioni relative all’esecuzione di immagini e/o video per conto di pazienti.” Insieme all’avviso sono state quindi nuovamente pubblicate sia la deliberazione n. 473 del 08/04/2019 che la circolare n. 111683 del 17/11/2020, relativa all’esecuzione di immagini e/o video”;

“E’ inoltre intenzione della Direzione aziendale invitare i Capi Dipartimento a prevedere, durante le loro periodiche riunioni di lavoro (superata l’emergenza pandemica in corso), specifici momenti” per sensibilizzare in ordine alle buone pratiche da seguire in materia di tutela dei dati personali;

“in questo momento di pandemia per l’infezione da SARS CoV2 il carico lavorativo e psicologico del personale sanitario, da un anno ormai, è davvero aumentato in grande misura. (...). Tutto il personale medico afferente al Regina Margherita è stato quindi suddiviso e coinvolto in turni assistenziali ulteriori, per assistere i piccoli pazienti ricoverati per COVID19 o per altre patologie severe che necessitavano delle cure ospedaliere. Per non creare discontinuità assistenziale, in base a quanto indicato a livello Regionale e Aziendale, la gestione dei pazienti già seguiti presso le varie strutture specialistiche, e qui in particolare dalla SSD Endocrinologia Pediatrica, è stata quindi implementata e differenziata (...). Il personale medico è stato nel contempo impegnato in una continua attività di aggiornamento sul COVID19 (...)”;

l’evento è stato singolo e isolato e non vi è stata alcuna specifica doglianza da parte delle famiglie coinvolte, anzi “tutte le famiglie destinatarie della mail si sono presentate al controllo programmato dalla Struttura, mostrando interesse per la comunicazione avuta e ringraziando della presa in carico e dell’assistenza ricevuta”.

È stata infine trasmessa ampia documentazione afferente alla privacy policy aziendale.

3. Esito dell’attività istruttoria

Preso atto di quanto rappresentato dall’Azienda nella documentazione in atti e nelle memorie difensive, si osserva, in primo luogo, che:

in base al principio di liceità, i dati personali possono essere trattati solo se ricorre una delle condizioni di cui all’art. 6 dello stesso e, in caso di dati inerenti alle particolari categorie di cui all’art. 9, par. 1, solo in presenza di una delle specifiche ipotesi di esenzione dal divieto di trattamento di tali dati, individuate al paragrafo 2 del medesimo articolo;

la disciplina in materia di protezione dei dati personali prevede –in ambito sanitario- che le informazioni sullo stato di salute possano essere comunicate solo all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso previa delega scritta di quest’ultimo (art. 9 Regolamento e art. 83 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101; cfr. anche provv. generale del 9 novembre 2005, consultabile in www.gpdt.it, doc. web n. 1191411, ritenuto compatibile con il suddetto Regolamento e con le disposizioni del decreto n. 101/2018; cfr. art. 22, comma 4, del citato d.lgs. n. 101/2018).

Ciò premesso, tenuto conto delle dichiarazioni raccolte nel corso dell'istruttoria - e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. I 68 del Codice " Falsità nelle dichiarazioni al Garante e interruzione dell'esecuzione dei compiti o dell'esercizio dei poteri del Garante" -, gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall'Ufficio con l'atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall'art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni, si confermano le valutazioni preliminari dell'Ufficio e si rileva l'illiceità del trattamento di dati personali effettuato dall’Azienda Ospedaliera Universitaria città della salute e della scienza di Torino-Struttura di Endocrinologia Pediatrica del Presidio Ospedaliero Regina Margherita, in violazione del principio di liceità (art. 5, par. 1 lett. a) del Regolamento) e degli artt. 6, par. 1, e 9, par. 1 e 2 del Regolamento a causa di una comunicazione di dati personali anche relativi allo stato di salute in assenza di idonea base giuridica.

Ciò premesso, tenuto conto che:

dalle risultanze degli atti, l'episodio risulta essere stato isolato e determinato da un’azione accidentale interna;

la violazione, protrattasi per un breve periodo di tempo, ha riguardato un numero circoscritto di interessati e ha avuto ad oggetto sia dati personali “comuni” sia dati relativi alla salute, e che questi ultimi -seppur riferiti a soggetti minori di età- sono stati trasmessi (salvo che per un unico caso) senza elementi direttamente identificativi degli interessati;

il titolare è intervenuto prontamente sia comunicando la violazione agli interessati, ai sensi dell’art. 34 del Regolamento, che prevedendo l’implementazione di nuove e specifiche misure organizzative volte a prevenire il ripetersi di eventi analoghi;

all’atto del verificarsi dell’evento, il titolare del trattamento disponeva di misure tecniche e organizzative tali per cui la colpa ad esso imputabile per l’evento verificatosi può considerarsi lieve, tenuto anche conto delle particolari condizioni di stress del personale sanitario dovute allo straordinario carico di lavoro causato della emergenza epidemiologica in corso; 

l'Autorità ha preso conoscenza dell'evento a seguito della notifica di violazione dei dati personali effettuata, senza ingiustificato ritardo, dallo stesso titolare del trattamento, che si è dimostrato collaborativo durante tutta la fase istruttoria e procedimentale;

non sono pervenuti reclami o segnalazioni al Garante sull'accaduto;

le circostanze del caso concreto inducono a qualificare lo stesso come "violazione minore", ai sensi del considerando 148 del Regolamento e delle Linee guida WP 253, riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del Regolamento (UE) n. 20161679.

Si ritiene, pertanto, relativamente al caso in esame, che sia sufficiente ammonire il titolare del trattamento, ai sensi degli artt. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, affinché provveda a rispettare le previsioni del Regolamento contenute negli artt. 5 par. 1, lett. a), 6, par. 1 e 9, par. 1 e 2 del Regolamento e che, considerando, in ogni caso, che sono state disposte misure organizzative volte ad evitare il ripetersi di episodi come quello segnalato non vi siano i presupposti per l'adozione di ulteriori provvedimenti correttivi da parte dell'Autorità, ai sensi dell'art. 58, par. 2, del Regolamento.

Si rileva infine che ricorrono i presupposti di cui all'art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all'esercizio dei poteri demandati al Garante.

TUTTO CIO’ PREMESSO IL GARANTE

a) ai sensi dell'art. 57, par. l, lett. a) del Regolamento, dichiara l'illiceità del trattamento dei dati personali effettuato dall’Azienda Ospedaliero- Universitaria città della salute e della scienza di Torino, con sede legale in corso Bramante, n. 88 – 10126, Torino, c.f. 10771180014, per la violazione del principio di base del trattamento, di cui all’art. 5, par. 1, lett. a) del Regolamento e degli artt. 6, par. 1 e 9, par. 1 e 2 del Regolamento, nei termini di cui in motivazione;

b) ai sensi dell'art. 58, par. 2, lett. b) del Regolamento, ammonisce la predetta Azienda, quale titolare del trattamento in questione, per aver violato gli artt. 5, par. 1, lett. a) e 6, e 9 del Regolamento, come sopra descritto;

c) ritiene che ricorrano i presupposti di cui all'art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all'esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’Autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma,  29 settembre 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei