Provvedimento del 9 ottobre 2025 [10193671]
Provvedimento del 9 ottobre 2025 [10193671]
Condividi[doc. web n. 10193671]
Provvedimento del 9 ottobre 2025
Registro dei provvedimenti
n. 588 del 9 ottobre 2025
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il Cons. Angelo Fanizza, Segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, (di seguito “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. del 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
ESAMINATA la documentazione in atti;
VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;
RELATORE l’avv. Guido Scorza;
PREMESSO
1. L’istanza pervenuta
Con nota del XX, il sig. XX ha trasmesso, per il tramite del proprio legale di fiducia, una nota indirizzata alla società “Sol et Salus” S.p.A (C.F. 00432390409), con sede in via San Salvador 204, Torre Pedrera (RN), cap. 47922, di seguito la “Società”, con la quale lamentava una violazione della disciplina in materia di protezione dei dati personali da parte della predetta Società, derivante dall’imbustamento e consegna della documentazione sanitaria.
In particolare, è stato rappresentato che l’istante si è “sottoposto, in data XX, ad una risonanza magnetica alla schiena, effettuata presso la (…) (Società Sol et Salus S.p.A.), con ritiro del referto cartaceo e annesso dischetto inserito in plico chiuso, intervenuto in data XX. Il giorno XX, il signor XX si recava a Bologna presso l’Ospedale (…), dopo avere preso debitamente appuntamento, per sottoporsi alla visita neuroradiologica concordata con il medico chirurgo (che) avrebbe dovuto visionare l’esame specialistico onde valutare modalità del relativo intervento. In quella circostanza, una volta inserito il CD nel computer del (medico), estratto dalla busta ancora sigillata, veniva visualizzata una risonanza al cervello, ovviamente, non relativa al (…) assistito. Una volta estratto il CD, consegnato dalla (…) struttura, si appurava che su tale supporto fosse riportato un altro nominativo e relativa data di nascita ovvero XX nato il XX”.
È stato, altresì, dichiarato che, stante l’impossibilità per il sig. XX di svolgere la predetta visita in quanto veniva ritenuto indispensabile dai professionisti sanitari dell’Ospedale di Bologna “visionare direttamente la risonanza magnetica effettuata, (…) una volta rientrato a Rimini (…), il signor XX si recava nuovamente presso la (…) (Società) per reclamare la propria risonanza magnetica e spiegare l'accaduto. Alla richiesta di avere a disposizione il proprio CD, il personale della (…) struttura non era, comunque, in grado di fornirlo prontamente al mio assistito, tanto da invitarlo a recarsi presso la “sala risonanze” e attendere per ben un’ora che gli venisse fornito un nuovo supporto. (…)”.
2. L’attività istruttoria
In relazione a quanto descritto nella nota sopra citata, l’Ufficio, con nota del XX (prot. n. XX), ha chiesto, ai sensi dell’art. 157 del Codice, alla società “Sol et Salus” S.p.A, in qualità di titolare del trattamento, di fornire alcuni elementi utili alla valutazione dei profili rilevanti in materia di protezione dei dati personali rispetto al caso oggetto dell’istanza.
A seguito della predetta richiesta, la Società, con nota del XX, ha rappresentato, in particolare, che:
- “In data XX, il sig. XX si è sottoposto a un esame di risonanza magnetica presso la nostra struttura. Il referto è stato successivamente ritirato dal paziente in data XX, e successivamente, (…) al momento della visita medica presso l’Ospedale (…) è emerso che, mentre il referto cartaceo era corretto, il CD contenente le immagini della risonanza non apparteneva al sig. XX, bensì ad un altro paziente (…)”;
- “la documentazione sanitaria viene generata e archiviata digitalmente tramite il sistema RIS-PACS. Le modalità attraverso le quali viene abitualmente costituita la documentazione del reparto di diagnostica per immagini sono puntualmente descritte all’interno delle procedure allegate. La consegna avviene presso l'ufficio preposto, previa identificazione del paziente tramite documento di identità”;
- “l’analisi interna ha evidenziato che la violazione è stata causata da errore umano da parte del personale addetto alla consegna dei referti, (…). Più specificatamente, l’operatore incaricato, formato ed espressamente autorizzato, ha erroneamente predisposto il cd/dvd contenente l'esame eseguito e la stampa cartacea del correlato referto, inserendo il cd/dvd di altro paziente nella busta contenente il referto cartaceo del soggetto interessato, non avvedendosi dell’errore commesso”;
- “al momento dell’evento, erano già in vigore le seguenti misure di protezione:
1) adozione di procedure interne per la corretta gestione della documentazione clinica;
2) utilizzo del sistema RIS/PACS per la tracciabilità dei dati;
3) backup quotidiani e piani di disaster recovery;
4) monitoraggio continuo delle cyber minacce tramite sistemi avanzati di protezione endpoint e threat hunting;
5) formazione ai dipendenti sul GDPR con focus sulle violazioni dei dati personali e procedura data breach”;
- “a seguito della segnalazione e della richiesta di chiarimenti del Garante, la struttura intende implementare le seguenti misure correttive:
- controllo incrociato della documentazione sanitaria contenete il referto ed il CD investendo di tale onere il medico ed il tecnico della diagnostica per immagini;
- verifica dell’applicazione delle procedure interne per migliorare la gestione della documentazione clinica e ridurre il rischio di errore umano;
- potenziamento della formazione del personale con corsi specifici sulla gestione della documentazione sanitaria e sulle procedure da seguire, ivi inclusa la procedura per la gestione delle violazioni dei dati personali.
A seguito della violazione sono in corso di programmazione audit al fine di vigilare sul rispetto delle procedure interne e garantire la corretta applicazione delle istruzioni operative contenute nelle (specifiche) procedure (adottate)”.
Alla predetta nota di riscontro è stata, altresì allegata, specifica documentazione, tra cui un documento denominato “Sol et Salus – diagnostica per immagini” da cui risultano istruzioni sulla consegna della documentazione. In particolare, all’interno del predetto allegato è riportato che “Al termine dell’esame viene consegnato il cd contenente le immagini al paziente e, sulla base delle modalità di ritiro del referto scelto in fase di accettazione, verrà consegnato o inviato via posta il referto. Il referto è disponibile dal 6° giorno lavorativo successivo all’esecuzione dell’esame. Il ritiro può avvenire personalmente da persone delegate fornite dal foglio di ritiro firmato con documento di identificazione. Il medico stampa il referto, lo firma e lo consegna al TSRM che provvede all'imbustamento del cd e del referto, chiude la busta e la consegna alla segretaria di TAC/RM per il successivo ritiro da parte dell'utente”.
3. La notifica delle violazioni e le memorie difensive.
In relazione alla documentazione in atti e a quanto dichiarato dal titolare del trattamento, l’Ufficio, con nota del XX (prot. n. XX), ha notificato alla Società, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitando il medesimo titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7 del Codice; nonché art. 18, comma 1 della legge n. 689 del 24/11/1981).
Più precisamente, l’Ufficio, nell’atto di avvio del procedimento poc’anzi citato, ha ritenuto che la predetta società, in relazione all’episodio occorso, relativo alla consegna al sig. XX della documentazione sanitaria riguardante un paziente diverso, abbia effettuato un trattamento di dati personali in contrasto con la disciplina in materia di protezione dei dati personali, in violazione degli artt. 5, par. 1, lett. f) e 9 del Regolamento, per aver comunicato dati relativi alla salute in assenza di un idoneo presupposto giuridico.
A seguito della notifica della violazione, la Società, con nota del XX, ha fatto pervenire la propria memoria difensiva, nella quale, oltre a ribadire quanto già evidenziato nel riscontro alla richiesta di informazioni dell’Autorità, ha rappresentato, in particolare, che:
- “la violazione ha riguardato un unico caso di consegna errata di supporto digitale (CD) contenente immagini diagnostiche di un altro paziente. L’episodio è stato isolato, limitato a due soggetti ben identificati, senza evidenza di diffusione ulteriore dei dati. Considerato che presso la struttura Sol et Salus vengono eseguiti annualmente oltre 20.000 esami di diagnostica per immagini che prevedono la consegna di CD, il dato conferma l’eccezionalità e l’assenza di una tendenza sistemica. La portata dell’incidente, limitata a un solo interessato, e l’adozione delle conseguenti misure hanno consentito un rapido contenimento della violazione”;
- “l’evento è riconducibile ad un errore umano non intenzionale da parte di un operatore sanitario, tecnico radiologo, autorizzato e formato, che ha erroneamente imbustato un CD errato. Non vi è stata intenzionalità né consapevolezza dell’errore (…) L'evento è pertanto da considerarsi di natura colposa verificatosi nonostante la presenza di procedure formalizzate”;
- “a seguito della segnalazione, il supporto errato è stato recuperato tempestivamente e, informato il paziente coinvolto, sono state escluse conseguenze pregiudizievoli per il paziente interessato. Inoltre, è stato verificato che il CD del sig. XX non sia stato consegnato ad altri soggetti, in assenza di qualsiasi altra segnalazione analoga, olire ad aver avviato internamente un’analisi approfondita per prevenire il ripetersi di simili episodi, nonché un immediato audit in data XX per la verifica del rispetto delle procedure. L’Azienda, a seguito dell’evento, ha provveduto a richiamare formalmente il responsabile del reparto di diagnostica per immagini al fine di sensibilizzare l’intera equipe sulla importanza del rispetto delle procedure per evitare che si possano ripetere in futuro episodi simili”;
4. L’esito dell’istruttoria
Sulla base della documentazione in atti e delle dichiarazioni fornite dal titolare del trattamento nel corso del procedimento istruttorio, si osserva quanto segue.
Per “dati relativi alla salute” si intendono “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, n. 15 del Regolamento). I dati personali relativi alla salute meritano una maggiore protezione dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali (Cons. n. 51 del Regolamento).
La disciplina in materia di protezione dei dati personali stabilisce che i medesimi dati devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (principio di “integrità e riservatezza”)” (art. 5, par. 1, lett. f) del Regolamento).
Per quanto attiene, specificamente, all’ambito sanitario, la disciplina in materia di protezione dei dati personali prevede, altresì, che le informazioni sullo stato di salute possano essere comunicate unicamente all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso previa delega scritta di quest’ultimo (art. 9 del Regolamento).
5. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.
Sulla base delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria - considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” - gli elementi forniti dal titolare del trattamento nel riscontro alla richiesta di informazioni e nella memoria difensiva non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento sanzionatorio sopra citato, non ricorrendo alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Per tali ragioni, si confermano le valutazioni preliminari dell’Ufficio e si rilevano le violazioni degli artt. 5, par. 1, lett. f) e 9 del Regolamento da parte della società “Sol et Salus” S.p.A.
Ciò posto, tenuto conto che:
- dalle risultanze degli atti, l’episodio -pur avendo determinato un inconveniente, derivante dalla impossibilità di mostrare le immagini contenute nel CD-rom relative alla risonanza magnetica ai professionisti sanitari dell’Ospedale di Bologna- risulta essere un fatto isolato e, sotto il profilo psicologico, privo di dolo;
- il titolare del trattamento ha implementato le misure di volte ad evitare la ripetizione della condotta lamentata;
- il titolare del trattamento si è dimostrato prontamente collaborativo durante tutta la fase istruttoria e procedimentale;
-il titolare non ha subito precedenti procedimenti per violazioni pertinenti da parte dell’Autorità.
Le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi del cons. 148 del Regolamento e delle “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal “Gruppo di Lavoro Art. 29” il 3 ottobre 2017, WP 253 e fatte proprie dal Comitato europeo per la protezione dei dati con l’”Endorsement 1/2018” del 25 maggio 2018. Si ritiene, pertanto, relativamente al caso in esame, che sia sufficiente ammonire il titolare del trattamento ai sensi degli artt. 58, par. 2, lett. b) e 83, par. 2 del Regolamento.
Si rileva, altresì, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
Si informa, infine, che copia del presente provvedimento verrà pubblicata sul sito web della scrivente Autorità, ai sensi dell’art. 154-bis, comma 3, del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019.
TUTTO CIÒ PREMESSO IL GARANTE
a) dichiara, ai sensi dell’art. 57, par. 1, lett. f) del Regolamento, l’illiceità del trattamento effettuato dal titolare del trattamento, società “Sol et Salus” S.p.A;
b) ai sensi dell’art. 58, par. 2, lett. b), del Regolamento, ammonisce tale titolare del trattamento per aver violato gli artt. 5, par. 1, lett. f) e 9 del Regolamento, come sopra descritto;
c) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’Autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 9 ottobre 2025
IL PRESIDENTE
Stanzione
IL RELATORE
Scorza
IL SEGRETARIO GENERALE
Fanizza
