[doc. web n. 10132289]

Provvedimento del 13 marzo 2025

Registro dei provvedimenti
n. 152 del 13 marzo 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE” (di seguito “Codice”);

VISTO il d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. La segnalazione e l’attività istruttoria

Con nota del XX il Nucleo Speciale tutela privacy e frodi tecnologiche della Guardia di Finanza ha inoltrato all’Autorità una nota del Nucleo Polizia economico-finanziaria Piacenza – Sezione Tutela Economia della Guardia di Finanza, con la quale venivano segnalate talune violazioni della disciplina in materia di protezione dei dati personali da parte della società Casa di Cura Sant’Antonino s.r.l.. In particolare, è stato evidenziato che l’attività svolta presso la citata Società “non ha permesso di rinvenire la cartella clinica della XX, con riferimento al ricovero nel periodo dal XX al XX. In particolare, la cartella, come rilevato dalle dichiarazioni rese dalle persone sentite in atti e dai riscontri documentali, risulterebbe: regolarmente formata, in ragione del fatto che sono stati rilevati riscontri documentali, pur frammentari e non ufficiali, delle attività sanitarie rese nei confronti della paziente; controllata dal medico curante e dal responsabile controllo SDO/DRG, in ragione della circostanza che risulta emessa la definitiva Scheda di Dimissione Ospedaliera, riportante l’elencazione delle codifiche delle attività svolte nei confronti della paziente; non ricevuta dalla società addetta all’archiviazione, in assenza di documentazione che ne certifichi l’invio e/o la presa in carico da parte di quest’ultima; di fatto smarrita, in quanto mai esibita e non rilevata presso la “Casa di Cura Privata Sant’Antonino”, ultimo ente presso cui la cartella risulta trattata”.

Nell’ambito della predetta segnalazione è stato, altresì, evidenziato che “la presa d’atto da parte della struttura della perdita della documentazione di cui trattasi si è senz’altro concretizzata già dal primo intervento effettuato in data XX, allorché (…) il legale rappresentante della struttura (…) comunicava a mezzo e-mail che avrebbe provveduto alla denuncia alle competenti Autorità dello smarrimento della cartella clinica (…). Nonostante ciò, a distanza di più di otto mesi da tale evento, in data XX, nel corso del secondo intervento presso la casa di cura, è stato accertato che la Casa di Cura Sant’Antonino, non solo non è risultata aver presentato alcuna denuncia di smarrimento, ma tantomeno aver formalizzato comunicazioni di sorta all’Autorità Garante”.

A seguito della segnalazione, l’Autorità ha avviato un’istruttoria, chiedendo elementi utili alla valutazione della vicenda alla Casa di Cura Sant’Antonino s.r.l. (nota del XX), la quale ha fornito riscontro, con nota del XX, dichiarando, in particolare, che:

- “nell’ambito del procedimento penale n. (…), instaurato presso la Procura della Repubblica di Piacenza, venivano disposte indagini in ordine al ricovero della Sig.ra XX, presso Casa di Cura Privata Sant’Antonino S.r.l., intercorrente dal XX al XX. In particolare, l’accertamento interessava la data di dimissioni dalla Sant’Antonino nonché lo stato di salute ed eventuali necessità di convalescenza della Sig.ra XX, deceduta il XX (tre anni dopo il ricovero presso Sant’Antonino)”;

- “in data XX, la Sant’Antonino trasmetteva comunicazione alla Digital Technologies per la ricerca della cartella clinica XX alla quale la ditta rispondeva che la cartella non era mai pervenuta presso i loro archivi (…). In pari data, veniva inviata comunicazione a mezzo PEC alla Guardia di Finanza circa l’esito negativo delle ricerche e informandola di aver richiesto alla Digital Technologies di effettuare ulteriori controlli più approfonditi (…)”;

- “in data XX il Pubblico Ministero emetteva apposito ordine di esibizione e sequestro datato XX”;

- “in data XX, il medesimo Nucleo di Polizia effettuava secondo accesso presso i locali della Sant’Antonino. La Sig.ra (…) ribadiva l’attribuzione della gestione delle cartelle cliniche in capo alla Digital Technologies e comunicava l’esito negativo della ricerca effettuata”;

- “in XX la Digital Technologies forniva riscontro scritto circa le ricerche della cartella clinica in oggetto, specificando di aver visionato tutte le cartelle dell’anno XX, da marzo a dicembre”;

- “in data XX il legale di fiducia presentava denuncia di smarrimento della cartella clinica”;

- “la Sig.ra XX veniva ricoverata presso Casa di Cura Privata Sant’Antonino S.r.l., dal XX al XX. Al momento della chiusura della cartella clinica, corrispondente al XX, la direzione della Sant’Antonino era affidata al dott. (….), quale Presidente del Consiglio di Amministrazione e Direttore sanitario. Il Professore (…) veniva nominato Amministratore solamente il XX, successivamente al fatto”;

- “al momento del subentro nell’amministrazione e nella direzione, Casa di Cura Sant’Antonino versava in una condizione precaria, tanto dal punto di vista strutturale, quanto dal punto di vista organizzativo”;

- “l’accesso del Nucleo di Polizia presso i locali della Sant’Antonino, avvenuto in data XX, portava la struttura ad attivarsi immediatamente, focalizzando, tuttavia, l’azione e l’attenzione, esclusivamente al procedimento penale. Ne conseguiva, dopo pochi giorni (8 giorni), l’interpello della Digital Tecnologies, per la ricerca della cartella clinica (…) e la comunicazione tramite pec alla Guardia di Finanza sempre in data XX”;

- “Casa di Cura Sant’Antonino ed il Fornitore Digital si accordavano, quindi, per organizzare un controllo a tappeto di tutti gli scatoloni, contenenti le cartelle cliniche dal mese di marzo fino a fine anno XX”;

- “la denuncia di smarrimento veniva depositata in data XX (..) presso la Questura di Piacenza, successivamente al Verbale di Perquisizione Locali redatto in data XX (…), come disposto dagli artt. 253 e 256 del Codice di Procedura Penale. Il Provvedimento del Pubblico Ministero di autorizzazione alla perquisizione avveniva solamente in data XX, motivo per cui la denuncia querela è stata depositata in data XX, a seguito della perquisizione dei locali disposta dal PM”;

- “si registrava, quindi, una “falla” comunicativa tra i differenti Uffici competenti. In altri termini, nessuno degli Uffici interpellava il Data Protection Officer, al fine di poter valutare il fatto occorso e le conseguenti azioni da intraprendere (notifica all’Autorità Garante, ex art. 33 del GDPR e comunicazione agli interessati ex art. 34 del GDPR). Detta inadempienza, seppur consapevolmente grave, è da attribuire alla concitazione della situazione, alla focalizzazione del problema sotto l’aspetto penalistico”.

A tali dichiarazioni la Casa di Cura Sant’Antonino s.r.l., in qualità di titolare del trattamento, ha allegato documentazione avente ad oggetto i riscontri forniti dalla società Digital Technologies s.r.l. in merito al mancato rinvenimento della cartella clinica della sig.ra XX (“mai pervenuta”) presso la stessa nonché la designazione della citata società Digital Technologies s.r.l. quale responsabile del trattamento, ai sensi dell’art. 28 del Regolamento, per l’attività di archiviazione fisica delle cartelle cliniche.

2. Valutazioni del Dipartimento sul trattamento effettuato e notifica della violazione di cui all’art. 166, comma 5 del Codice

In relazione ai fatti descritti, l’Ufficio, con nota del XX (prot. n. XX), ha notificato alla Casa di Cura Sant’Antonino s.r.l.., ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitandola a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

In particolare, l’Ufficio, nel predetto atto, ha ritenuto che la Casa di Cura abbia effettuato un trattamento di dati in violazione dell’obbligo di sicurezza di cui all’art. 32 del Regolamento e dei principi di integrità e di riservatezza e di responsabilizzazione di cui all’art. 5 del medesimo Regolamento e non ha provveduto a notificare la violazione dei dati personali all’Autorità, né ha fornito adeguata documentazione sulle decisioni assunte e sulle valutazioni svolte, in grado di comprovare che, con riferimento ai trattamenti oggetto della violazione, fosse improbabile che la stessa presentasse un rischio per i diritti e le libertà degli interessati; ciò, in violazione dell’art. 33 del Regolamento.

Con nota del XX, la Casa di Cura ha fatto pervenire le proprie memorie difensive, nelle quali, in particolare, ha evidenziato che:

“l’oggetto del trattamento è limitato e pertinente alla specifica prestazione sanitaria prestata a beneficio della Sig.ra XX presso Casa di Cura Privata Sant’Antonino, con specifico riferimento alla formazione, custodia e conservazione della cartella clinica inerente all’evento clinico di ricovero”;

“la condotta posta all’attenzione di Codesta Autorità concerne un singolo e isolato episodio di smarrimento della sola cartella clinica relativa al ricovero della sopra menzionata interessata, in assenza di notifica di cui all’Art. 33 Regolamento Europeo 2016/679”;

“la limitatezza dell’unico evento in parola, a fronte del cospicuo numero medio di interessati coinvolti pari a circa 1000 ricoveri (media di ricoveri annui su 80 posti letto) nelle attività di trattamento poste in essere annualmente da Casa di Cura Privata Sant’Antonino S.r.l., risulta un fattore di primaria rilevanza nella definizione del carattere della gravità della violazione”;

“emerge (…) con lampante evidenza il carattere puramente sporadico della condotta, quanto la correlata violazione dell’obbligo di notifica”;

“il livello del danno derivante, subìto dall’interessato, va rapportato allo specifico contesto di riferimento. La perdita di disponibilità della cartella clinica ha un impatto limitato sui diritti e sulle libertà della persona interessata, nella misura in cui la Pubblica Autorità ha raccolto informazioni inerenti il ricovero della Sig.ra XX, attraverso la consegna di atti e riscontri documentali delle attività sanitarie rese nei confronti della paziente, ivi compresa la Scheda di Dimissione Ospedaliera riportante l’elenco delle attività svolte a beneficio della stessa, oltre che la documentazione sanitaria a disposizione dell’Ospedale di Piacenza presso cui la Sig.ra XX era precedentemente ricoverata. Le circostanze concrete escludono qualsivoglia esposizione dell’interessato a rischi ulteriori rispetto alla mera perdita di disponibilità dei dati contenuti nella cartella clinica. Tanto determina una sostanziale limitatezza del pregiudizio subìto dall’interessato, a fronte di una violazione temporalmente circoscritta”;

“Casa di Cura Privata Sant’Antonino S.r.l. ha colpevolmente violato l’obbligo di notifica di cui all’Art. 33 del Regolamento Europeo 2016/679. Nulla da rilevare circa l’imputabilità dell’infrazione, si prenda in considerazione l’elemento soggettivo della condotta omissiva”;

“le circostanze del caso rendono inequivoca l’assenza di qualsivoglia forma di intenzionalità nella violazione dell’obbligo normativo. Lungi dal voler intenzionalmente celare l’evento, Casa di Cura Sant’Antonino S.r.l. si attivava proattivamente nella ricerca della documentazione smarrita mediante plurimi interpelli rivolti alla sopra citata Digital Technologies S.r.l. SB, in un’ottica di piena e genuina collaborazione con l’Autorità Giudiziaria”;

“a seguito del riscontro negativo della predetta società responsabile, il (…) legale rappresentante della struttura, depositava formale denuncia di smarrimento presso la Questura di Piacenza, in data XX; la concitazione dovuta agli accertamenti pregressi, alla pendenza del procedimento penale (…) e alle frenetiche attività di ricerca volte a soddisfare l’ordine di esibizione ricevuto dalla Pubblica Autorità, determinavano un’asimmetria comunicativa tra gli Uffici competenti della valutazione degli aspetti legati alla protezione dei dati personali”;

“la carenza nella trasmissione tempestiva e completa delle informazioni a disposizione, comportava il mancato recepimento della notizia dell’accertato smarrimento e la mancata comunicazione al Data Protection Officer nominato, che generavano la conseguente violazione rilevante ai sensi dell’art. 33 GDPR. A tale falla comunicativa conseguiva la concreta impossibilità, tanto da parte dei soggetti interni, quanto da parte del Data Protection Officer, di operare una valutazione in ordine alla gravità della violazione dei dati personali e, in via conseguenziale, di informare l’Autorità di controllo”;

“la mancata conoscenza della notizia da parte dei soggetti competenti, in un contesto tale che relegava la contingente attenzione del Legale Rappresentante ai risvolti giudiziari della vicenda, è sufficiente ex se ad escludere qualsiasi carattere di intenzionalità della violazione dell’obbligo di notifica. La colpevole asimmetria comunicativa determinava la colpevole trasgressione della prescrizione di cui all’Art. 33 del GDPR. (…) tali elementi di fatto, (…) escludono in modo perentorio qualunque forma di intenzionalità della condotta, facendo trasparire l’assoluta buona fede dei referenti di Casa di Cura Privata Sant’Antonino S.r.l.”;

“l’evento di smarrimento della cartella clinica oggetto di trattazione rappresenta un isolato caso di violazione dei dati personali di un unico soggetto interessato”;

“l’evento di smarrimento non risulta imputabile alla carenza di misure di sicurezza di cui all’Art. 32 GDPR, bensì alla scarsa diligenza del responsabile esterno incaricato della conservazione e digitalizzazione delle cartelle cliniche (…)”;

“quanto all’assetto organizzativo interno, (…), le modalità operative prevedono un articolato procedimento di conservazione e trasmissione delle cartelle cliniche presso gli uffici competenti alla relativa gestione”;

“nello specifico, le cartelle cliniche vengono conservate presso i singoli reparti di degenza, all’interno delle guardiole, in appositi carrelli dotati di chiusura a chiave; chiavi, nella disponibilità del solo personale medico autorizzato. Conseguentemente al termine del ricovero, a seguito della chiusura della cartella clinica da parte del medico di reparto, le cartelle cliniche vengono trasportate all’ufficio accettazione, al fine di compilare un apposito report, ove vengono conservate in appositi armadi chiusi a chiave ed accessibili dal solo personale autorizzato. Al termine di quest’attività, il personale dell’ufficio accettazione dispone le cartelle all’interno di scatoloni sigillati per il trasporto presso l’Ufficio DRG”;

“l’ufficio DRG, incaricato dei flussi e della creazione delle SDO, provvede ad effettuare i dovuti controlli circa la congruità delle informazioni ivi riportate e la corretta compilazione delle cartelle cliniche, procedendo alla creazione della SDO, che viene sottoposta alla validazione del Direttore sanitario, mediante sottoscrizione”;

“tale modalità operativa è stata pedissequamente seguita dal personale di Casa di Cura Privata Sant’Antonino, come comprovato dell’accertata presenza della scheda di dimissione ospedaliera relativa al ricovero della Sig.ra XX. Le cartelle cliniche, corredate delle SDO, vengono restituite all’Ufficio accettazione, che le conserva, in ordine nosologico, all’interno di un archivio dedicato, chiuso a chiave, collocato al terzo piano della struttura.  La documentazione, quindi, permane in archivio fino al termine dell’anno, quando le cartelle cliniche vengono inserite all’interno di apposite scatole sigillate, ai quali vengono apposti l’anno di riferimento e i relativi numeri nosologici (es. anno XX da XX a XX)”;

“tale modalità operativa assicura la riservatezza, la sicurezza, l’integrità e la disponibilità dei dati nel corso dell’intero procedimento, ove vengono coinvolti esclusivamente soggetti autorizzati all’accesso in funzione delle proprie mansioni e vengono utilizzati esclusivamente archivi cartacei chiusi e ad accesso limitato. L’apposizione dei numeri nosologici attesta l’individuazione analitica delle cartelle cliniche inserite all’interno delle scatole sigillate (dalla XXX alla XYZ)”;

“al termine della descritta procedura, le scatole contenenti le cartelle cliniche vengono ritirate dalla Digital Technologies s.r.l. SB, all’epoca dei fatti Edita Digital Technologies, società esterna responsabile della conservazione e dell’archiviazione. La scelta di esternalizzare tale servizio è stata operata dal Titolare al fine di assicurare un’ottimale conservazione dei documenti e di minimizzare i rischi di violazioni. Quanto al rapporto contrattuale in essere tra le parti al momento del fatto, si rilevi che la società Edita Digital Technologies subentrava nel contratto stipulato tra la Casa di Cura Privata Sant’Antonino S.r.l. e la società Edita S.p.A. il XX, a seguito di un contratto di affitto di ramo d’azienda che veniva comunicato in data  XX”;

“l’evento, quindi, avveniva in una fase di transizione per il Responsabile inizialmente incaricato, pur anche in un contesto giudiziario travagliato, alla luce della procedura fallimentare che interessava Edita S.p.A. e che determinava la dichiarazione di fallimento della stessa da parte del Tribunale di Milano (…)”;

“la società subentrante, assicurava esplicitamente la continuità del servizio, garantendo “il continuo miglioramento delle attività e dei servizi a Voi offerti”. Edita Digital Technologies si obbligava contrattualmente al diligente adempimento delle prestazioni di: 1. Ritiro dell’archivio delle cartelle cliniche presenti presso gli archivi di Casa di Cura Privata Sant’Antonino 2. Deposito presso le proprie strutture 3. Consegna delle cartelle in originale”;

“quanto alle specifiche della prestazione, Edita Digital Technologies si obbligava all’invio di un “file .xls contenente il dettaglio della materialità oggetto di ritiro (es. XX – XX– XX)”, quanto a mettere a disposizione di Casa di Cura Privata S. Antonino un file copia del Database delle scatole contenenti le cartelle cliniche lungodegenza in deposito”;

“a tal riguardo, in contravvenzione agli obblighi pattuiti, non si rinveniva alcun file .xls contenente il dettaglio della materialità oggetto di ritiro. Né, tantomeno, lo stesso veniva inviato dalla Digital Technologies S.r.l., società con la quale è stato formalizzato l’appalto di servizi a partire dal XX, a seguito della specifica richiesta a mezzo pec di trasmissione di tale file digitale, a seguito delle attività di ricerca effettuate dal Titolare nel tentativo di rinvenire la documentazione sanitaria”;

“il mancato invio di tale file costituisce una violazione degli obblighi contrattuali che determina l’impossibilità per la Digital Technologies S.r.l. di dimostrare il corretto, e completo, adempimento della prestazione. Si rilevi, inoltre, che il Titolare non riceveva alcuna comunicazione circa la mancanza della cartella clinica in oggetto, nonostante la stessa rientrasse all’interno di quelle elencate nella numerazione nosologica proceduralmente attribuita”;

“incolpevole risultava l’affidamento della Casa di Cura Privata Sant’Antonino nei confronti della società esterna responsabile dell’archiviazione, cui venivano trasmesse cartelle cliniche all’interno di plichi sigillati, con una numerazione ben precisa, in presenza di un’attività di ritiro delle cartelle presso la sede del Titolare; ergo, in assenza di qualsivoglia responsabilità in ordine al trasporto delle stesse. Né si può obiettare che casa di Cura Privata Sant’Antonino risulti responsabile di una inidonea gestione della documentazione in parola, alla luce dei procedimenti descritti e delle misure operative di sicurezza assicurate, pur nell’ottica di garantire la continuità operativa del Titolare e, di converso, le indispensabili prestazioni mediche agli interessati”;

“la cartella clinica risultava regolarmente formata e gestita, come testimoniato dalla presenza della relativa SDO; la medesima rientrava all’interno dell’elenco (secondo numerazione nosologica) contenuto nella scatola consegnata alla Digital Technologies; il Titolare confidava, incolpevolmente, nella disponibilità del documento presso la sede del Responsabile esterno che assumeva la responsabilità dell’archiviazione”;

“si richiamano (…) le seguenti misure implementate dall’Organizzazione: Identificazione univoca del paziente: Ciascuna cartella clinica ha un proprio numero nosologico identificativo del paziente, cui vengono associati anche gli accertamenti, gli esami strumentali e le visite effettuate. Detto numero viene comunicato dall’ufficio accettazione, al momento dell’ingresso del paziente in struttura e della contestuale raccolta della documentazione atta al ricovero, al fine di garantire la riservatezza del paziente. Durante tutto il periodo di degenza, il paziente viene identificato col numero di letto; Conservazione e trasferimenti sicuri delle cartelle cliniche: Le cartelle cliniche dei pazienti vengono conservate presso il reparto di degenza, all’interno delle guardiole accessibili esclusivamente dal personale autorizzato, in appositi carrelli dotati di chiusura a chiave. Al termine del ricovero, a seguito della chiusura delle cartelle cliniche da parte del medico incaricato, il coordinatore del reparto di riferimento si occupa di trasportare le stesse presso l’ufficio accettazione, ove vengono riposte in un armadio dotato di chiave e viene compilato un apposito report relativo alle cartelle depositate. Mensilmente, il personale dell’accettazione dispone le cartelle all’interno di scatole sigillate, per l’invio all’Ufficio DRG. L’Ufficio DRG verifica la completezza della documentazione, consultando il gestionale ed i ricoveri eseguiti, e svolgendo un doppio controllo con l’ASL. L’Ufficio DRG, quindi, a seguito della verifica della congruità delle informazioni e della corretta compilazione delle cartelle cliniche, procede all’inserimento della SDO all’interno della cartella clinica ed alla sottoposizione della mera scheda di dimissione al Direttore Sanitario, che provvede a validarla mediante sottoscrizione. A seguito dei predetti accertamenti, l’Ufficio DRG restituisce le cartelle all’ufficio accettazione, che le conserva, secondo un ordine nosologico, all’interno dell’archivio dedicato chiuso a chiave, collocato al terzo piano della struttura. Le cartelle cliniche permangono nell’archivio fino al termine dell’anno. Nel mese di dicembre, l’impiegato preposto imballa le cartelle relative all’anno “in chiusura” all’interno di apposite scatole, sulle quali appone l’anno di riferimento ed i relativi numeri nosologici (es. XX – XX). Successivamente a tale operazione, il soggetto incaricato contatta il soggetto esterno Digital Technologies, responsabile dell’archiviazione delle cartelle cliniche, accordandosi sulle tempistiche e sulle modalità di ritiro. La Digital Technologies provvede al ritiro e trasporto dei plichi contenenti le cartelle dalla sede del Cliente alle proprie strutture, assicurando l’utilizzo di mezzi e personale qualificato, con gestione e responsabilità a proprio rischio (come indicato all’Art. 4 del contratto stipulato tra le Parti). Una volta pervenute presso la sede, in base al contratto stipulato tra le parti, la Digital Technologies mette a disposizione della Committente un file copia del database delle scatole contenenti le cartelle cliniche in deposito. Da verifiche effettuate detti file non risultano pervenuti presso la Casa di Cura Sant’Antonino; Gestione del controllo degli accessi: tutti gli uffici hanno accesso limitato al solo personale incaricato al trattamento ed abilitato alla conoscenza dei dati in funzione delle proprie mansioni. In particolare, si specifica che presso il reparto di degenza, le cartelle sono conservate all’interno delle guardiole, in appositi carrelli dotati di chiusura a chiave, accessibili esclusivamente da personale autorizzato. L’accesso al predetto ufficio accettazione, posto al piano terra, è consentito al solo personale amministrativo, di coordinamento e direzione. L’archivio delle cartelle cliniche dell’anno in corso è posto al terzo piano, in un locale cui accede esclusivamente il personale dell’amministrazione e di direzione; Istruzioni agli autorizzati al trattamento dei dati: casa di Cura Privata Sant’Antonino S.r.l. forniva debita istruzione agli autorizzati al trattamento dei dati, adottando apposito Regolamento Aziendale Interno (…) con l’indicazione di alcune best practice quali: clear desk policy (…); chiusura di armadi e locali, quando non presidiati (…);utilizzo di distruggidocumenti per la distruzione di documenti cartacei contenenti dati personali (…); rispetto del principio di riservatezza (…). Nel medesimo Regolamento Aziendale interno, inoltre, venivano incluse istruzioni in merito all’utilizzo dei dispositivi elettronici (…), software (…) e social media () utilizzati”;

“Casa di Cura Privata Sant’Antonino S.r.l. sta provvedendo all’adozione di (…) misure di sicurezza di tipo organizzativo (….)” tra le quali si segnala una “Procedura per la gestione degli eventi, incidenti e data breach: Al fine di scongiurare l’eventualità del verificarsi di un futuro vulnus idoneo a determinare qualsivoglia violazione delle prescrizioni di cui all’Art. 33 GDPR, Casa di Cura Privata Sant’Antonino si è impegnata nell’adozione di una procedura ad-hoc, volta a definire i criteri di qualificazione di violazioni e incidenti concernenti i dati personali trattati, a determinare le modalità operative di risposta e a garantire un adeguato livello di comunicazione e trasmissione delle informazioni ai soggetti competenti, al fine di consentire di operare le opportune verifiche e le correlate implicazioni in termini di informazione agli interessati e/o notifica tempestiva all’Autorità. L’assetto procedurale predisposto, in piena implementazione secondo le tempistiche tecniche necessarie alla formale integrazione nel contesto del sistema di gestione adottato dal Titolare e nell’ambito di un processo di concreta sensibilizzazione di tutti i soggetti coinvolti nei processi di trattamento, consta di tre documenti: - Procedura per la gestione degli eventi, incidenti e data breach (…), Registro eventi, incidenti, data breach (…), modulo di segnalazione evento, incidente, data breach (…)”;

“Casa di Cura Privata Sant’Antonino, a partire dall’insediamento del (…)” nuovo “presidente del Consiglio di Amministrazione, si è costantemente e laboriosamente attivata per garantire il pedissequo rispetto delle prescrizioni normative. Tale processo in progressivo adeguamento e ottimizzazione prendeva il via a partire dal nuovo insediamento. La subentrante Direzione intraprendeva una serie di attività, economicamente gravose, volte a colmare lacune societarie strutturali e a porre rimedio a difetti di conformità normativa. La revisione delle procedure e dei rapporti in essere con i soggetti esterni avveniva in maniera graduale, ma senza soluzione di continuità (…)”;

“l’attenzione della nuova proprietà si focalizzava, quindi, sulle improrogabili migliorie strutturali e sugli aspetti operativi, ivi comprese le pratiche adottate nell’assicurare un’adeguata tutela alle informazioni trattate. Nel corso di tali attività, i referenti dell’epoca omettevano di comunicare che il fornitore esterno, Edita Digital Technologies, non forniva i riscontri documentali, contrattualmente pattuiti, circa la documentazione sanitaria ricevuta. Riscontri documentali, che avrebbero consentito di verificare la presenza della cartella clinica presso la sede del responsabile esterno, o quantomeno di accertare le cause di tale smarrimento”.

Alla luce delle dichiarazioni della Società, si è reso necessario chiedere alla società Digital Technologies s.r.l. elementi di informazione utile alla valutazione del caso (nota del XX). La predetta società, con comunicazione dell’XX, ha sostanzialmente confermato le dichiarazioni fornite precedentemente alla Casa di Cura Sant’Antonino s.r.l. e agli atti del procedimento, in relazione al mancato rinvenimento presso i propri archivi della cartella clinica oggetto di segnalazione, precisando che “la Clinica Sant’Antonino inseriva le cartelle in scatole sigillate (…) che venivano ritirate. Tali dati sono del tutto anonimi e la scrivente non ha alcun modo di associare il numero nosologico ad uno specifico paziente. Le scatole vengono ritirate già sigillate, il che impedisce l’effettiva verifica del loro contenuto, anche perché non è prevista alcuna lavorazione del loro contenuto, tipo la scansione delle cartelle. Quanto al file Excel, la cui mancata consegna la Casa di Cura lamenta, tale file riproduce esattamente quanto la medesima Casa di Cura dichiara di avere consegnato, essendo compilato sulla base dei dati apposti sulle scatole. Pertanto da tale file non avrebbe potuto in alcun modo desumersi la mancanza della cartella clinica della signora XX tra quelle effettivamente consegnate. Per effetto di quanto sopra illustrato, per la scrivente non era in alcun modo possibile avvedersi che la cartella clinica della signora XX non era quelle consegnate, anche se era riportato sulla scatola il numero nosologico ad essa riferito (che, peraltro, non era associabile alla paziente). Precisiamo che, quando ci è stata chiesta la cartella clinica della signora XX, la scatola che avrebbe dovuto contenerla era ancora sigillata e che essa non era stata in alcun modo manomessa. Precisiamo, inoltre, che le scatole dei clienti per cui fornivamo il servizio di storage sono state sempre custodite in locali debitamente protetti da impianto di allarme. Non abbiamo mai subito furti o tentativi di effrazione. Inoltre, il personale addetto alla movimentazione delle scatole ed alla loro gestione deve seguire una precisa procedura che prevede che, a fronte di una richiesta del Cliente di estrarre un documento, la scatola viene presa dall’ubicazione di magazzino, portata nel locale adibito alla lavorazione, aperta, viene estratto il documento e gestito per l’invio (scansione o originale). Successivamente la scatola viene richiusa e riposizionata a magazzino nell’ubicazione corrispondente. Di tale procedura rimane traccia scritta, perché le richieste vengono inoltrate agli addetti via mail, oltre ad essere le attività di ricerca ed estrazione dei documenti oggetto di fatturazione. Dopo che ci siamo avveduti della mancanza della cartella della signora XX, abbiamo verificato che detta cartella non fosse stata inserita in altro scatola ed abbiamo invano controllato tutte le scatole sino a XX. Tutto ciò premesso, confermiamo quanto già affermato ossia che la cartella clinica della signora XX non ci è stata mai consegnata”.

3.  Esito dell’attività istruttoria

Sulla base della documentazione acquisita in atti e preso atto di quanto rappresentato dalla Società nella documentazione e nelle memorie difensive, si osserva che:

1. il Regolamento prevede che i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (principio di «integrità e riservatezza»)” (art. 5, par. 1, lett. f) del Regolamento). L’adeguatezza di tali misure deve essere valutata da parte del titolare e del responsabile del trattamento rispetto alla natura dei dati, all’oggetto, alle finalità del trattamento e al rischio per i diritti e le libertà fondamentali degli interessati, tenendo conto dei rischi che derivano dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati (art. 32, par. 1 e 2 del Regolamento);

2. in relazione agli obblighi di sicurezza, il Regolamento prevede che “in caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo (..) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati presenti un rischio per i diritti e le libertà delle persone fisiche” e che “qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo” (par. 4);

3. il Considerando n. 85 precisa che “non appena viene a conoscenza di un’avvenuta violazione dei dati personali, il titolare del trattamento dovrebbe notificare la violazione dei dati personali all’autorità di controllo competente, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che i titolare del trattamento non sia in grado di dimostrare che, conformemente al principio di responsabilizzazione, è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”;

4. le “Linee guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679” del Gruppo di Lavoro Articolo 29 per la Protezione dei Dati del 3 ottobre 2017, come modificate e adottate in ultimo il 6 febbraio 2018 e fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018 (di seguito “Linee guida sulla notifica”) evidenziano che “a seconda della natura della violazione, il titolare del trattamento può avere la necessità di effettuare ulteriori accertamenti per stabilire tutti i fatti pertinenti relativi all’incidente […]. Ciò significa che il Regolamento prende atto del fatto che il titolare del trattamento non sempre dispone di tutte le informazioni necessarie su una violazione entro 72 ore dal momento in cui ne è venuto a conoscenza, dato che non sempre sono disponibili entro tale termine dettagli completi ed esaustivi su un incidente. Pertanto, il Regolamento consente una notifica per fasi. (…). Di conseguenza, in molti casi il titolare del trattamento dovrà effettuare ulteriori indagini e dare seguito alla notifica fornendo informazioni supplementari in un secondo momento. Ciò è consentito a condizione che il titolare del trattamento indichi i motivi del ritardo, in conformità all’articolo 33, paragrafo 1” (sez. II.B.2);

5. l’art. 33 del Regolamento prevede, altresì, che “il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all’autorità di controllo di verificare il rispetto del presente articolo” (art. 33, par. 5 del Regolamento);

6. con riguardo alla documentazione della violazione, le Linee guida sulla notifica stabiliscono che: “indipendentemente dal fatto che una violazione debba o meno essere notificata all’autorità di controllo, il titolare del trattamento deve conservare la documentazione di tutte le violazioni”; “tale obbligo è collegato al principio di responsabilizzazione”, di cui all’art. 5, par. 2 del Regolamento; “lo scopo della tenuta di registri delle violazioni non notificabili, oltre a quelle notificabili, è collegato anche agli obblighi del titolare del trattamento ai sensi dell’articolo 24, e l’autorità di controllo può richiedere di consultare tali registri. Di conseguenza il titolare del trattamento è incoraggiato a creare un registro interno delle violazioni, indipendentemente dal fatto che sia tenuto a effettuare la notifica o meno” (sez. V.A);

7. le medesime Linee guida sulla notifica specificano che “sebbene spetti al titolare del trattamento determinare quale metodo e struttura utilizzare per documentare una violazione, determinate informazioni chiave dovrebbero essere sempre incluse”, che il titolare del trattamento è tenuto a “registrare i dettagli relativi alla violazione, comprese le cause, i fatti e i dati personali interessati. Dovrebbe altresì indicare gli effetti e le conseguenze della violazione e i provvedimenti adottati per porvi rimedio” e raccomandano “di documentare anche il ragionamento alla base delle decisioni prese in risposta a una violazione. In particolare, se una violazione non viene notificata, è opportuno documentare una giustificazione di tale decisione. La giustificazione dovrebbe includere i motivi per cui il titolare del trattamento ritiene improbabile che la violazione possa presentare un rischio per i diritti e le libertà delle persone fisiche” (sez. V.A).

8.le Linee guida EDPB 01/2021 sugli esempi riguardanti la notifica di violazione dei dati specificano poi che la documentazione interna di una violazione è un obbligo indipendente dai rischi connessi alla violazione stessa e deve essere predisposta in ogni singolo caso (punto 15);

9. ai dati personali concernenti le persone decedute continuano ad applicarsi le tutele previste dalla disciplina in materia di protezione dei dati personali (art. 2-terdecies del Codice; cfr. anche provv. del 10 gennaio 2019, n. 2, doc. web n. 9084520; provv. 29 aprile 2021, n. 173, doc. web n. 9672313; provv. 16 settembre 2021, n. 329, doc. web n. 9718851; provv. 7 aprile 2022, n. 118, doc. web n. 9772545; provv. 23 marzo 2023, n. 90, doc. web n. 9888188);

10. alla luce del principio di responsabilizzazione (c.d. accountability), “il titolare del trattamento deve conformarsi ed essere in grado di comprovare sia il rispetto dei principi e degli adempienti previsti dal Regolamento” (artt. 5, par. 2, 24 e del Regolamento);

11.il Regolamento prevede che il titolare possa affidare un trattamento “a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i principi del Regolamento” (art. 28, par. 1). Il «responsabile del trattamento» è, infatti, “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento” (art. 4, par. 1, punto 8, del Regolamento). In ogni caso, permane una “responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto” (Considerando n. 74 del Regolamento in relazione all’art. 5 del Regolamento).

4. Conclusioni

Alla luce delle valutazioni sopra esposte, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice (“Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”), si rileva che gli elementi forniti dalla Casa di Cura Sant’Antonino s.r.l. nelle memorie difensive sopra richiamate non sono idonei ad accogliere le richieste di archiviazione, non consentendo di superare i rilievi notificati dall’Ufficio con il citato atto di avvio del procedimento.

Infatti, alla luce della documentazione acquisita, non risulta documentato che lo smarrimento della cartella clinica sia avvenuta presso la Digital Technologies s.r.l.. Tale circostanza è stata, al contrario, smentita dalla predetta Società, la quale ha dichiarato espressamente di non aver mai ricevuto in consegna la cartella clinica della sig.ra XX (come risulta dalla documentazione acquisita agli atti e allegata al riscontro fornito dal titolare alla richiesta di informazioni e dalle dichiarazioni fornite all’Autorità da Digital Technologies s.r.l. l’XX).

Al riguardo, si rappresenta che l’aver affidato l’attività di archiviazione delle cartelle cliniche alla società Digital Technologies s.r.l. non avrebbe, in ogni caso, esonerato il titolare del trattamento da un obbligo di attività di vigilanza e controllo sull’attività svolta, per proprio conto, dalla predetta Società e di verifica generale del rispetto della normativa in materia di protezione dei dati. Ciò, in ragione del fatto che il titolare è il soggetto sul quale ricadono le decisioni circa le finalità e le modalità del trattamento dei dati personali degli interessati e che ha una “responsabilità generale” sui trattamenti posti in essere (art. 4, par. 1, punto 7, artt. 5, par. 2 del Regolamento e 24 del Regolamento); lo stesso è, infatti, tenuto a “mettere in atto misure adeguate ed efficaci [e…] dimostrare la conformità delle attività di trattamento con il […] Regolamento, compresa l’efficacia delle misure” (Cons. n. 74), anche con riferimento alla predisposizione di misure tecniche e organizzative che soddisfino i requisiti del Regolamento sotto il profilo della sicurezza (artt. 24 e 32 del Regolamento). Tale obbligo, sussiste, altresì, quando talune operazioni di trattamento siano poste in essere da un responsabile che agisce per suo conto (cfr. le decisioni del Garante relative anche al ruolo e alle connesse responsabilità del titolare e del responsabile del trattamento: provv. 2 dicembre 2021, n. 422 e 423, docc. web nn. 9734884, 9734934; provv. 17 settembre 2020, nn. 160 e 161, docc. web nn. 9461168 e 9461321, provv. 11 febbraio 2021, n. 49, docc. web n. 9562852, nonché provv. 17 dicembre 2020, nn. 280, 281 e 282, docc. web nn. 9524175, 9525315 e 9525337; cfr. anche già provv. 7 marzo 2019, n. 81, docc. web n. 9121890).

In relazione al mancato adempimento degli obblighi previsti dall’art. 33 del Regolamento, si rileva, altresì, che la procedura relativa alla gestione degli eventi, incidenti e violazioni di dati personali è stata adottata e successivamente implementata, soltanto a partire da XX.

Per tali ragioni, in relazione alla descritta condotta, si rileva l’illiceità del trattamento di dati personali effettuato dalla Casa di Cura Sant’Antonino s.r.l., nei termini di cui in motivazione, per la violazione degli artt. 5, par. 1, lett. f) e par. 2 del Regolamento e degli artt. 32 e 33 del medesimo Regolamento.

In tale quadro, considerato che il titolare del trattamento ha provveduto ad adottare una procedura per la gestione degli eventi, degli incidenti e delle violazioni di dati personali, non ricorrono allo stato i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

Ciò premesso, sulla base dei criteri indicati dall’art. 83 del Regolamento, considerando che non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento, che l’episodio risulta essere un fatto isolato e, sotto il profilo psicologico, appare di carattere colposo, che lo smarrimento ha riguardato documentazione relativa ad un solo soggetto, che sono state implementate misure volte a prevenire il mancato rispetto degli obblighi previsti dall’art. 33 del Regolamento in caso di violazione di dati personali, si ritiene che le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi del Considerando n. 148 del Regolamento e delle “Linee guida riguardanti l’applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal “Gruppo di Lavoro Art. 29” il 3 ottobre 2017, WP 253 e fatte proprie dal Comitato europeo per la protezione dei dati con l’”Endorsement 1/2018” del 25 maggio 2018. 2018. Si ritiene, pertanto, relativamente al caso in esame, che sia sufficiente ammonire il titolare del trattamento ai sensi degli art. 58, par. 2, lett. b), del Regolamento.

Si rileva, altresì, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Si informa, infine, che copia del presente provvedimento verrà pubblicata sul sito web della scrivente Autorità, ai sensi dell’art. 154-bis, comma 3, del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

a) dichiara, ai sensi dell’art. 57, par. 1, lett. a), del Regolamento, l’illiceità del trattamento effettuato dal titolare del trattamento, Casa di Cura Sant’Antonino s.r.l., con sede in Piacenza, Viale Malta, 4 – c.a.p. 29121- C.F. e P.IVA 00250900339;

b) ai sensi dell’art. 58, par. 2, lett. b), del Regolamento, ammonisce tale titolare del trattamento per aver violato le disposizioni di cui agli artt. 5, par. 1, lett. f) e par. 2, 32 e 33 del Regolamento, nei termini di cui in motivazione;

c) in conformità all’art. 17 del Regolamento del Garante n. 1/2019, dispone l’annotazione della violazione nel registro interno dell’Autorità di cui all’art. 57, par. 1, lett. u), del Regolamento.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’Autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 13 marzo 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei