[doc. web n. 10012679]

Provvedimento del 7 dicembre 2023

Registro dei provvedimenti
n. 585 del 7 dicembre 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il Cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE” (di seguito “Codice”);

VISTO il d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Il reclamo e il procedimento istruttorio

Con un reclamo presentato in data XX, la sig.ra XX ha lamentato a questa Autorità di aver avanzato, in data XX, all’Azienda Ospedaliera Universitaria Policlinico "G. Martino" - Codice Fiscale: 03051890832, sita in Messina, Via Consolare Valeria – c.a.p. 98124 - PEC: protocollo@pec.polime.it (di seguito, “Azienda Ospedaliera”) richiesta di accesso ai propri dati personali, ai sensi dell’art. 15 del Regolamento, con riferimento ai dati “(…) trattati presso l'unità operativa di ginecologia e ostetricia relativi al ricovero dal XX al XX” e di non aver ricevuto idoneo riscontro.

La reclamante, ha, altresì, prospettato la perdita di dati da parte dell’Azienda Ospedaliera per aver ricevuto un documento “(…)  protocollo XX del XX – (il quale) cita: “la cartella clinica è copia conforme all’originale presente nel sistema informatico aziendale ma priva della componente cartacea tuttora non reperibile presso l’unità operativa”, oltre a lamentare di non aver “sottoscritto (…) i consensi/informative per le attività di trattamento dati”.

Con nota del XX (prot. n. XX), l’Ufficio, ai sensi dell’art. 157 del Codice, ha chiesto all’Azienda Ospedaliera, quale titolare del trattamento, elementi informativi utili alla valutazione di quanto lamentato dall’interessata e, con nota del XX (prot. n. XX), tale titolare del trattamento ha fornito riscontro, rappresentando, fra altro, che:

- “(…) In data XX l’Azienda ha consegnato all’interessata copia conforme all’originale della intera cartella clinica cartacea comprensiva dei moduli di consenso al trattamento dei dati personali e sensibili effettuati con il fascicolo sanitario elettronico e i (…) consensi per i trattamenti sanitari, tutti sottoscritti dalla paziente (…). Considerato che in data antecedente alla notifica del reclamo in oggetto (XX) la cartella clinica, completa di tutte le sue parti, è stata consegnata alla sig.ra XX, (verbale di consegna - Allegato 1), la documentazione sanitaria pertanto non può considerarsi smarrita”.

Inoltre, il titolare del trattamento, ha fornito sia elementi di informazione riguardanti le misure tecniche e organizzative che il medesimo ha ritenuto di adottare al fine di assicurare la riservatezza e l’integrità dei dati oggetto di trattamento sia informazioni sulle istruzioni fornite al personale interno incaricato della gestione e della conservazione della documentazione sanitaria, inclusi i corsi di formazione e la frequenza degli stessi.

Successivamente alle informazioni fornite dal titolare all’Autorità con la citata nota del XX, l’Ufficio, al fine di assumere le determinazioni definitive in ordine al procedimento aperto a seguito di reclamo, con nota del XX (prot. n. XX), ha invitato la reclamante a formulare, se del caso, nel termine di 15 giorni, eventuali considerazioni in ordine alle dichiarazioni effettuate dall’Azienda Ospedaliera circa il riscontro fornito all’interessata in data XX.

Con nota del XX, la reclamante, confermando di aver ricevuto quanto dichiarato dall’Azienda Ospedaliera, ha, altresì, segnalato che “nella cartella della sig.  è stato inserito, a p. 76, il referto medico di un’altra persona "XX(…)” allegando, altresì, copia del referto riferito alla paziente menzionata.

A fronte di tali nuovi elementi emersi nel corso dell’istruttoria, l’Ufficio, con nota del XX (prot.n. XX), ha richiesto all’Azienda Ospedaliera, ai sensi dell’art. 157 del Codice, informazioni circa l’evento segnalato.

In merito a quest’ultimo, con nota del XX (prot. n. XX), il titolare del trattamento, rispondendo all’Autorità, ha dichiarato, fra altro, che:

- “(…) All’interno della cartella clinica della sig.ra XX è stata riscontrata la presenza di documentazione sanitaria di un altro paziente (sig.ra XX). La cartella clinica della sig.ra  riguarda il ricovero della stessa iniziato in data XX e concluso con data di dimissione del XX (…). Il referto medico di un’altra paziente, inserito nella cartella clinica della sig.ra , riguarda il tracciato cardiotocografico della sig.ra XX, eseguito presso la UOC di Ginecologia e Ostetricia il giorno XX alle ore XX, come indicato digitalmente sul foglio del referto (…)”.

- “(…) con nota n. XX del XX (Allegato A) la Direzione Sanitaria dell’A.O.U. ha dato mandato alla U.O.C. Staff di avviare un audit specifico per analizzare le criticità e individuare le azioni correttive volte a (…) migliorare il processo di gestione della cartella presso il reparto di Ginecologia e Ostetricia e  migliorare il processo di gestione della cartella presso l’Ufficio Cartelle cliniche con particolare riferimento alla fase della “predisposizione della copia per l'avente diritto”;

- “(…) Considerata la contestualità cronologica delle date del ricovero della sig.  e della data di esecuzione del referto della sig.ra XX (la data di esecuzione del referto è inclusa nel periodo del ricovero della sig.ra ) l’inserimento del referto cardiotocografico all’interno della cartella della sig.ra  è avvenuto nel XX, presso il reparto di Ginecologia ed Ostetricia, durante il periodo del ricovero della sig.ra ”.

Tra le “misure correttive adottate per migliorare il processo di gestione della documentazione sanitaria nel reparto della UOC di Ginecologia ed Ostetricia”, il titolare ha fatto presente di aver intrapreso alcune azioni amministrative, allegando la relativa documentazione a supporto di quanto dichiarato. In particolare, “con Deliberazione del Commissario Straordinario nr.XX del XX è stata adottata la revisione della Procedura XX (…) sulla gestione, compilazione e rilascio della documentazione sanitaria; (…) sono state consegnate alla U.O.C. Ginecologia e Ostetricia carpette rigide con elastico e raccoglitori per garantire la corretta conservazione dei referti e della documentazione sanitaria al fine di prevenire lo scambio di fogli o l’inserimento degli stessi in cartelle di altri pazienti; (…) l’A.O.U. ha sottoscritto il documento Prot. XX del XX (…)  sulla programmazione di interventi formativi anche in materia di protezione dei dati”.

Tra le “(…) misure correttive da adottare per migliorare il processo di gestione della documentazione sanitaria nel reparto della UOC di Ginecologia ed Ostetricia”, da parte del titolare, “è stato programmato l’acquisto di tablet (…) (per) il completamento del processo di informatizzazione della cartella clinica in modo da poter dematerializzare la totalità della documentazione sanitaria ed eliminare l’utilizzo dei referti cartacei”.

Infine, l’Azienda Ospedaliera, ha dichiarato di aver adottato “misure correttive per migliorare il processo di gestione della documentazione sanitaria presso l’ufficio cartelle cliniche” quali:

- “(…) (l’) immediata individuazione della figura del Responsabile con il ruolo di coordinare il personale (…) che opera all’interno dell’Ufficio cartelle cliniche e di interfacciarsi sistematicamente con il Referente della Direzione Sanitaria; (…) espressa richiesta di nomina di un coordinatore (…) da assicurare un maggiore controllo nella fase di consegna della documentazione”; (l’introduzione della) (…) figura del “Referente Direzione Sanitaria Ufficio Rilascio Documentazione Sanitaria" che vigilerà sull'applicazione della procedura stessa e delle attività da compiere nei processi di lavoro finalizzati al rilascio della documentazione sanitaria agli aventi diritto, sottoscrivendo, anche un modulo interno di attestazione della documentazione sanitaria da rilasciare. (…) (programmazione dell’) acquisto o realizzazione in house di un applicativo per la gestione in sicurezza del processo di richiesta e rilascio della documentazione sanitaria in modo da garantire tracciabilità e qualità nella raccolta delle informazioni”.

Sulla base della documentazione in atti e delle valutazioni effettuate, l’Ufficio, con nota del XX (prot. n. XX), indirizzata al reclamante, ha ritenuto di chiudere il procedimento istruttorio in ordine ad alcuni dei presunti profili di violazione prospettati nel reclamo; ciò, con archiviazione parziale del reclamo medesimo - comunicata all’Azienda Ospedaliera con nota del XX (prot. n. XX) – e, specificamente, con riguardo a:

a) la presunta perdita di dati da parte del titolare per aver l’interessata medesima ricevuto un documento “(…)  protocollo XX del XX – (il quale) cita: “la cartella clinica è copia conforme all’originale presente nel sistema informatico aziendale ma priva della componente cartacea tuttora non reperibile presso l’unità operativa”;

b) la presunta mancata sottoscrizione di “(…) consensi/informative per le attività di trattamento dati”.

Quanto sopra, in ragione del fatto che l’Ufficio non ha ravvisato gli estremi per l’adozione di un provvedimento del Collegio alla luce di quanto dichiarato dal titolare (cfr. la nota prot. n. XX del XX nella quale l’Azienda Ospedaliera dichiara che: “in data XX l’Azienda ha consegnato all’interessata copia conforme all’originale della intera cartella clinica cartacea comprensiva dei moduli di consenso al trattamento dei dati personali e sensibili effettuati con il fascicolo sanitario elettronico e i (…) consensi per i trattamenti sanitari, tutti sottoscritti dalla paziente”), nonché dalla reclamante (la quale ha confermato la dichiarazione poc’anzi riportata con nota del XX).

Ciò, riservandosi, l’Ufficio, di effettuare, con autonoma istruttoria, le valutazioni circa la condotta posta in essere dall’Azienda Ospedaliera - anch’essa lamentata nel reclamo in oggetto – riguardante:

- il tardivo riscontro (XX) alla richiesta dell’interessata (XX) di accesso ai propri dati personali, fornito dal titolare oltre i termini stabiliti dall’art. 12 del Regolamento;

- la comunicazione all’interessata di dati relativi alla salute di altra paziente dell’Azienda Ospedaliera - contenuti in un referto inserito all’interno di copia dei dati della cartella clinica consegnata all’interessata medesima - in assenza di un presupposto giuridico che ne legittimasse la conoscenza.

2. Valutazioni del Dipartimento sul trattamento effettuato e notifica della violazione di cui all’art. 166, comma 5, del Codice

In relazione a quanto dichiarato dal titolare e allo stato degli atti, l’Ufficio, con nota del XX (prot. n. XX) ha notificato all’Azienda Ospedaliera, in qualità di titolare del trattamento, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitandola a produrre al Garante scritti difensivi o documenti e/o a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

Ciò, in quanto, sulla base degli elementi in atti e delle relative valutazioni dell’Ufficio è risultato che l’Azienda:

- non ha fornito riscontro all’istanza di esercizio dei diritti avanzata dall’interessata, in data XX, nei termini previsti dall’art. 12 del Regolamento;

- ha effettuato una comunicazione di dati relativi alla salute in assenza di base giuridica, consegnando alla reclamante - unitamente alla copia dei dati relativi alla salute dalla stessa richiesti - anche quelli relativi a un referto riguardante un’altra paziente dell’Ospedale, in assenza di autorizzazione da parte di quest’ultima.

Tali condotte risultano effettuate in violazione dell’art. 12, in relazione all’art. 15 del Regolamento, nonché in violazione dei principi di cui agli artt. 5 par. 1, lett. f) e 9 e degli obblighi in materia di sicurezza di cui all’art. 32 del Regolamento medesimo.

Con nota del XX (prot. n. XX), l’Azienda Ospedaliera ha prodotto una memoria difensiva al fine di rappresentare, fra altro, che:

“in data XX, seppure con ritardo ma non particolarmente eccessivo, l’Azienda ha fornito un primo riscontro alla richiesta avanzata dalla  consegnando tutta la documentazione sanitaria informatizzata ad eccezione dei consensi informati che sono stati consegnati il XX e, comunque, prima che l’Azienda ricevesse la notifica del reclamo presentato dalla Sig.ra  al Garante. Dalla data di richiesta (XX) alla prima consegna (XX), c’è stata lo stesso corrispondenza, anche se informale, con la sig.ra , con scambio di e-mail e confronti attraverso colloqui telefonici con il marito (dalla stessa incaricato), con il quale ci si scusava del ritardo e si fornivano rassicurazioni riguardo alla imminente consegna. Inoltre, trattandosi di un periodo a ridosso delle ferie di agosto, al fine di conciliare gli impegni della richiedente con quelli del personale in servizio, è stata posticipata la consegna alla fine del mese di agosto anche se già in data XX veniva comunicato alla Sig.ra  di “recarsi presso l’Ufficio Archivio Clinico sito al piano terra del padiglione “L” dell’AOU “G. Martino” per ricevere tutte le informazioni riguardanti il ricovero cui Lei si riferisce, per consultare i documenti che la riguardano e conoscere i Suoi dati ed eventualmente estrarre copia”;

“Nell’occasione della materiale consegna del XX, il (…) marito della reclamante e incaricato dalla stessa, è stato accolto negli uffici della Direzione strategica aziendale per ricevere le dovute scuse e la copia digitalizzata dei documenti”;

“nel periodo che intercorre tra il XX ed il XX sono pervenute n.4773 richieste di cartelle cliniche”;

“È stata data diffusione per una più ampia condivisione con tutto il personale aziendale al Regolamento per l’esercizio dei diritti degli interessati (…) che, tra le altre cose, prescrive al punto 6 le norme da osservare per le comunicazioni e i riscontri alle richieste degli Interessati e, quindi, anche sul diritto di accesso”;

“con nota prot. n. XX del XX, il DPO dell’A.O.U. ha invitato la sig.ra  a distruggere il referto dell’altra paziente erroneamente inserito nella cartella della stessa  e a darne comunicazione. Non avendo ricevuto riscontro alla predetta nota, successivamente, in data XX alle ore XX il DPO aziendale, in presenza del Direttore dell’U.O.C. Staff della Direzione strategica aziendale, ha chiesto telefonicamente alla Sig.ra  di procedere alla distruzione del documento della Sig.ra , qualora non vi avesse ancora provveduto”;

“l’erroneo inserimento del referto cardiotocografico della all’interno della cartella della sig.ra  è avvenuto nel 2020, presso il reparto di Ginecologia ed Ostetricia, durante il periodo del ricovero della sig.ra . Tale incidente si è verificato nella fase di gestione e archiviazione della cartella clinica all’interno del reparto stesso. A tal proposito, è accaduto che a causa della pandemia per il SARS-CoV-2, il personale amministrativo che gestiva l’archivio delle cartelle cliniche presso la U.O.C. di Ginecologia ed Ostetricia ha avuto diritto a svolgere attività in modalità smart working. Tali circostanze hanno avuto un’incidenza avversa - soprattutto nella prima fase emergenziale - anche per l’aspetto gestionale delle attività sequenziali connesse alle cartelle cliniche. (…) la condotta posta in essere ha natura colposa”;

“nel periodo in questione - da dicembre 2020 (data del ricovero della ) e per gli anni a seguire - lo stato emergenziale per la pandemia da Covid-19 ha messo duramente in crisi l’Azienda, come del resto tutte le strutture sanitarie, sia a livello assistenziale che gestionale e di programmazione del personale dipendente in servizio. Peraltro, l’A.O.U. “G. Martino” è stata Covid Hospital e ciò, per conseguenza, ha comportato una generale rivisitazione organizzativa anche per la gestione delle risorse umane da cui sono potute scaturire alcune criticità per i processi sul rilascio della documentazione sanitaria”;

“Per ovviare a tali criticità e per sopperire alle difficoltà registrate per l’archiviazione e il reperimento della documentazione clinica accumulatasi nel periodo in questione nella predetta unità operativa, con nota Prot. XX del XX la Direzione Aziendale ha individuato e assegnato allo svolgimento di tali compiti una unità di personale con esperienza acquisita nel corso della propria attività professionale (…)”;

“(…) si ribadisce (…) che si è trattato di un errore umano sicuramente non intenzionale e che la violazione ha coinvolto un solo paziente”;

“(…) sono stati adottati accorgimenti organizzativi e sono state previste iniziative formative volte a sensibilizzare il personale al rispetto delle disposizioni sulla protezione dei dati”.

Alla luce di quanto dichiarato, il titolare del trattamento ha chiesto all’Autorità di procedere all’archiviazione del presente procedimento o, nella denegata ipotesi di adozione di provvedimenti correttivi e sanzionatori, il riconoscimento delle attenuanti che consentiranno l’applicazione delle sanzioni nella misura minima possibile.

3. Esito dell’attività istruttoria

Preso atto di quanto rappresentato e documentato nel corso del procedimento dalla Azienda Ospedaliera, dapprima con i riscontri alle richieste di informazioni sopra indicate e, successivamente, nella la memoria difensiva, si osserva quanto segue.

3.1 Dati oggetto di trattamento

Per dato personale si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)” e per “dati relativi alla salute”, si intendono “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, paragrafo 1, n. 1 e 15 del Regolamento). Questi ultimi dati meritano una maggiore protezione dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali (Considerando n. 51). I dati trattati nella vicenda in questione, afferendo a prestazioni sanitarie, si configurano quali dati relativi alla salute.

3.2 Mancato riscontro all’istanza di esercizio dei diritti (art. 12 in relazione all’art. 15 del Regolamento).

In tema di informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato, l’art. 12, par. 3, del Regolamento stabilisce che il titolare del trattamento debba dare riscontro alla richiesta dell’interessato, avanzata ai sensi degli artt. da 15 a 22 del Regolamento, senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste, fermo restando che l’interessato deve essere informato di tale proroga e dei motivi del ritardo entro un mese dal ricevimento della richiesta. Se non ottempera alla richiesta dell'interessato, il titolare del trattamento deve, in ogni caso, informare l'interessato senza ritardo e, al più tardi, entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’Autorità di controllo e di proporre ricorso giurisdizionale (cons. 59 e art. 12, par. 4, del Regolamento).

In relazione alla richiesta di esercizio dei diritti di cui all’art. 15 del Regolamento avanzata dall’interessata in data XX, il titolare non ha fornito idoneo riscontro nei termini indicati dall’art. 12 del Regolamento. Il riscontro - ritenuto idoneo dalla reclamante (cfr. nota della reclamante all’Autorità del XX) - è stato fornito dal titolare in data XX.

Tale tardivo adempimento è avvenuto a seguito di uno scambio di email interlocutorie intercorse tra il titolare e l’interessata e successivamente a un primo parziale riscontro, fornito, comunque, oltre i termini previsti dall’art. 12 del Regolamento, in data XX, data in cui “il marito della reclamante e incaricato dalla stessa, è stato accolto negli uffici della Direzione strategica aziendale per ricevere le dovute scuse e la copia digitalizzata dei documenti” (cfr. memoria difensiva del XX). Di ciò va tenuto conto nella valutazione della entità della gravità della condotta del titolare, ma rileva anche sotto il profilo riguardante la durata della violazione, poiché il titolare, in tali interlocuzioni con la reclamante (cfr. email allegate al reclamo tra l’Azienda Ospedaliera e la reclamante) non ha mai evidenziato motivi di complessità nell’evadere la richiesta di accesso ai dati, per cui non sussistendo ragioni che rendessero possibile una eventuale proroga di due mesi - nel senso indicato dall’art. 12, par. 3) del Regolamento - per il riscontro dell’istanza, avrebbe dovuto riscontrare tale istanza entro un mese, ovvero entro il XX. L’aver fornito riscontro in data XX, ha comportato un ritardo pari a 232 giorni rispetto al termine previsto per la risposta all’interessata dalla norma citata.

Il titolare ha fornito idoneo riscontro all’interessata in data successiva (XX) al reclamo presentato da quest’ultima all’Autorità (XX), ma antecedentemente alla conoscenza della proposizione di tale reclamo, essendone venuto a conoscenza attraverso la richiesta di informazioni effettuata dall’Autorità medesima (XX).

L’Azienda Ospedaliera, quali misure volte a scongiurare simili condotte, ha previsto iniziative formative e dato “(…)  diffusione per una più ampia condivisione con tutto il personale aziendale al Regolamento per l’esercizio dei diritti degli interessati (…)” (cfr. memoria difensiva del XX). 

3.3 Illecita comunicazione di dati relativi alla salute nel mancato rispetto del principio di integrità e sicurezza dei dati e degli obblighi di sicurezza relativi al trattamento dei dati previsti dal Regolamento (artt. 5, lett. f), 32 e 9 del Regolamento)

Il Regolamento prevede che il titolare è tenuto a rispettare i principi in materia di protezione dei dati fra i quali quello di «integrità e riservatezza», secondo il quale i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (art. 5, par. 1, lett. f) del Regolamento); inoltre, il titolare medesimo deve mettere in atto “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”, tenendo conto, tra l’altro, “della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” (art. 32 del Regolamento).

In ambito sanitario, la disciplina in materia di protezione dei dati personali prevede che le informazioni sullo stato di salute possono essere comunicate solo all’interessato e possono essere comunicate a terzi sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso, previa delega scritta di quest’ultimo (art. 9 del Regolamento e art. 84 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101).

Quanto consegnato, in data XX, dall’Azienda Ospedaliera all’interessata (quale risposta alla richiesta avanzata nell’esercizio del diritto di cui all’art. 15 del Regolamento - ossia copia dei dati afferenti alla propria cartella clinica relativa al ricovero “(…) iniziato in data XX e concluso con data di dimissione del XX”) - contenendo il referto medico di un’altra paziente, ha determinato una illecita comunicazione di dati relativi alla salute non ricorrendo alcuna base giuridica che rendesse lecita la conoscenza di tale referto da parte dell’interessata.

Va tenuto conto, che l’episodio occorso durante il ricovero della reclamante presso l’Azienda Ospedaliera (XX) coincide con il periodo emergenziale per la pandemia da Covid-19, in ordine al quale l’Azienda ha sostenuto che “ha messo duramente in crisi l’Azienda, come del resto tutte le strutture sanitarie, sia a livello assistenziale che gestionale e di programmazione del personale dipendente in servizio. Peraltro, l’A.O.U. “G. Martino” è stata Covid Hospital e ciò, per conseguenza, ha comportato una generale rivisitazione organizzativa anche per la gestione delle risorse umane da cui sono potute scaturire alcune criticità per i processi sul rilascio della documentazione sanitaria”. Di norma l’insufficienza delle risorse umane rispetto ai compiti relativi alle attività di competenza del titolare, non costituisce una giustificazione volta a mitigare la responsabilità del titolare medesimo (in tal senso cfr. il documento “Guidelines on the application and setting of administrative fines for the purposes of the Regulation 2016/679”, WP 253 adottato il 3 October 2017, sull’applicazione delle sanzioni amministrative); tuttavia, in casi come quelli determinati dalla recente pandemia per il Covid-19, nei quali  si è venuta a creare una insufficienza di personale nelle Aziende e strutture sanitarie dell’intero territorio nazionale per ragioni imprevedibili e non prevenibili, di tale criticità organizzativa deve tenersi conto (in tal senso, cfr. anche il documento dell’EDPB “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” Versione 2.1 adottate il 24 maggio 2023, par. 5.9, punto 111).

Si considera, altresì, che l’Azienda Ospedaliera ha adottato misure correttive volte a “migliorare il processo di gestione della cartella presso il reparto di Ginecologia e Ostetrici e (…) presso l’Ufficio Cartelle cliniche con particolare riferimento alla fase della “predisposizione della copia per l'avente diritto”, oltre a programmare altre misure da adottare, tra le quali anche interventi formativi per il personale.

4. Conclusioni

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ gli elementi forniti dal titolare del trattamento nelle memorie difensive, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Pertanto, in relazione alla vicenda in questione lamentata dalla reclamante, si confermano le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuati dall’Azienda Ospedaliera, in quanto è accertato, per le motivazioni sopra addotte, che quest’ultima, in qualità di titolare del trattamento:

a) non ha fornito, nei termini previsti dall’art. 12 del Regolamento, idoneo riscontro all’istanza di esercizio dei diritti avanzata, ai sensi dell’art. 15 del Regolamento, dall’interessata in data XX, rispondendo a tale richiesta in data XX, ovvero dopo 232 giorni dal termine entro il quale avrebbe dovuto fornire riscontro all’interessata;

b) ha effettuato una comunicazione di dati relativi alla salute in assenza di base giuridica, consegnando alla reclamante - unitamente alla copia dei dati relativi alla salute dalla stessa richiesti - anche quelli relativi a un referto riguardante un’altra paziente dell’Ospedale in assenza di autorizzazione da parte di quest’ultima. 

Tali condotte risultano, pertanto, effettuate in violazione dell’art. 12, in relazione all’art. 15 del Regolamento, nonché in violazione dei principi di cui agli artt. 5 par. 1, lett. f) e 9 e degli obblighi in materia di sicurezza di cui all’art. 32 del Regolamento medesimo.

In tale quadro, considerato, che la condotta del titolare ha esaurito i suoi effetti in quanto l’Azienda Ospedaliera ha provveduto - con riferimento all’istanza di accesso ai dati in questione - a fornire riscontro all’interessata e, con riferimento alla illecita comunicazione di dati relativi alla salute,  a provvedere alla distruzione di copia del referto di altra paziente consegnato per errore alla reclamante, nonché ad adottare misure tecniche e organizzative ritenute necessarie per scongiurare futuri analoghi omissioni e accadimenti come quelli in oggetto e, comunque, per ridurre al minimo l’errore umano, non ricorrono i presupposti per l’adozione di provvedimenti, di tipo prescrittivo o inibitorio, di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, par. 1, lett. f), 9, 12, in relazione al 15, e 32 del Regolamento, causata dalla condotta posta in essere dalla Azienda Ospedaliera Universitaria Policlinico "G. Martino" di Messina, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 4, lett. a) e par. 5, lett. a) del Regolamento e 166, commi 1 e 2, del Codice.

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

In tal caso, in relazione alle operazioni di trattamento poste in essere dal titolare, considerato che si è trattato di trattamenti collegati, si ritiene di dover applicare il paragrafo 3, dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5” (cfr. anche il documento dell’EDPB “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” Versione 2.1 adottate il 24 maggio 2023).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento.

Quanto alla valutazione della gravità della violazione (art. 83, par. 2, lett. a), b) e g) del Regolamento), con riguardo al mancato riscontro all’istanza avanzata nell’esercitare il diritto di cui all’art. 15 del Regolamento di cui alla lett. a) del precedente paragrafo n. 4 “Conclusioni”, si ritiene che si è trattato di un caso isolato e in assenza di dolo, tenendo conto che è stato fornito un primo parziale riscontro all’interessata in data XX e che sono state rappresentate le scuse all’interessata; il riscontro, effettuato in data XX, dopo 232 giorni dal termine previsto dall’art. 12 del Regolamento, è stato, altresì, fornito prima che l’Autorità si attivasse nei confronti del titolare il quale ha preso conoscenza del reclamo avanzato dall’interessata successivamente al riscontro fornito; quanto all’illecita comunicazione di dati di cui alla lett. b) del precedente paragrafo, si tiene conto che questa ha ad oggetto dati relativi alla salute e ha riguardato n. 1 interessato; sulla base di quanto dichiarato dal titolare, rispetto alla vicenda non emerge alcun comportamento doloso in quanto si è trattato di errore umano .

In relazione alla valutazione delle circostanze aggravanti e attenuanti, si tiene conto che:

- nei confronti della Azienda Ospedaliera non sono stati in precedenza adottati provvedimenti riguardanti violazioni pertinenti (art. 83, par. 2, lett. e) del Regolamento);

- il titolare del trattamento ha precisato che il contesto storico al momento dell’accadimento occorso riferito alla violazione di cui alla lett. b) del precedente paragrafo n. 4 “Conclusioni”, è stato caratterizzato da disagi organizzativi determinati dalla situazione emergenziale dovuta alla pandemia da Covid-19, con riguardo ai “(…) processi sul rilascio della documentazione sanitaria” (art. 83, par. 2, lett. k) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 4, lett. a) e par. 5, lett. a) del Regolamento, nella misura di euro 8.000,00 (ottomila) per la violazione degli artt. 5, par. 1, lett. f), 9, 12 in relazione all’art. 15 e 32 del Regolamento quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019 in considerazione della natura dei dati trattati.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dalla Azienda Ospedaliera Universitaria Policlinico "G. Martino" - Codice Fiscale: 03051890832, sita in Messina, Via Consolare Valeria – c.a.p. 98124, per la violazione degli art. 5, par. 1, lett. f), 9, 12 in relazione all’art. 15, e 32 del Regolamento nei termini di cui in motivazione;

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, alla Azienda Ospedaliera citata di pagare la somma di euro 8.000,00 (ottomila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento, secondo le modalità evidenziate in allegato, entro 30 giorni dalla notifica in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

alla predetta Azienda sanitaria, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 8.000,00 (ottomila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 7 dicembre 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei