g-docweb-display Portlet

Pubblicazione sul sito web di una ASL di dati idonei a rivelare lo stato di salute - 17 marzo 2016 [5045365]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

VEDI ANCHE provvedimento del 6 luglio 2016

 

[doc. web n. 5045365]

Pubblicazione sul sito web di una ASL di dati idonei a rivelare lo stato di salute - 17 marzo 2016

Registro dei provvedimenti
n. 125 del 17 marzo 2016

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d. lgs. 30 giugno 2003, n. 196, di seguito "Codice");

VISTA la segnalazione in atti con la quale è stato rappresentato che l´Azienda Sanitaria Locale Benevento ha pubblicato online documenti contenenti le proposte di liquidazione n. QQ, n. WW, n. YY, n. HH di rimborsi destinati agli assistiti dializzati, o per controlli post operatori, oppure assistiti in hospice (ossia malati terminali);

RILEVATO, da un accertamento preliminare effettuato dall´Ufficio in data 9 marzo 2016, che sul sito web istituzionale dell´Azienda Sanitaria Locale Benevento – http://www.aslbenevento1.it/ – dal link situato nella homepage denominato «ZZ»/«KK» è possibile accedere a un´altra area del sito web (http://...) da cui è possibile consultare gli atti adottati dall´ente. Al link denominato «KK» (http://...) è liberamente visionabile e scaricabile uno dei documenti oggetto di segnalazione, e precisamente:

- il provvedimento intitolato «KK» «JJ» – all´url http://.... Tale documento, alle pagine 4-8, riporta delle schede per la liquidazione di rimborsi di spesa effettuate per prestazioni di degenza nei reparti SUAP (Speciale Unità di Accoglienza Permanente) e HOSPICE, dedicati come noto a soggetti che hanno subito gravi deficit neurologici dovuti a un danno delle strutture cerebrali oppure a malati terminali, con indicazione in chiaro dei nominativi dei pazienti (Sigg. XY e KW) e in un caso anche del relativo codice fiscale (p. 10).

RILEVATO, altresì, nel medesimo accertamento preliminare, con riferimento agli altri documenti oggetto di segnalazione che:

- all´url http://... è scaricabile il provvedimento intitolato «KK» «QW», contenente la scheda per la liquidazione di rimborsi di «spese controllo post operatorio» con indicazione del nominativo e del codice fiscale del soggetto interessato;

- all´url http://... è scaricabile il provvedimento intitolato «KK» «QY» contenente la scheda per la liquidazione di rimborsi di «spese controllo post operatorio» con indicazione del nominativo, data di nascita e codice fiscale del soggetto interessato;

- all´url http://... è scaricabile il provvedimento intitolato «KK» «HJ» contenente le schede per la liquidazione di rimborsi di spesa effettuate per «KJ» con indicazione dei nominativi e codici fiscali dei soggetti interessati e in alcuni casi anche della data di nascita.

CONSIDERATO che per dato personale si intende «qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale» (art. 4, comma 1, lett. b, del Codice);

CONSIDERATO che per diffusione dei dati personali si intende «il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione» (art. 4, comma 1, lett. m, del Codice);

CONSIDERATO che la diffusione dei dati personali da parte dei soggetti pubblici è ammessa unicamente quando è prevista da una norma di legge o di regolamento nel rispetto dei principi di pertinenza e non eccedenza (art. 19, comma 3, e art. 11, comma 1, lett. d¸ del Codice).

CONSIDERATO che nel trattamento effettuato da soggetti pubblici i «dati idonei a rivelare lo stato di salute non possono essere diffusi» (art. 22, comma 8, del Codice);

CONSIDERATO che, in proposito, anche il d. lgs. 14/3/2013 n. 33, recante il «Riordino della disciplina riguardante gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni», prevede – fra i «Limiti alla trasparenza» – che «Restano fermi i limiti alla diffusione e all´accesso delle informazioni […] relativi alla diffusione dei dati idonei a rivelare lo stato di salute […]» (art. 4, comma 6), precisando – anche con riferimento agli «Obblighi di pubblicazione degli atti di concessione di sovvenzioni, contributi, sussidi e attribuzione di vantaggi economici a persone fisiche ed enti pubblici e privati» di importo superiore a mille euro erogati nell´anno solare – che «È esclusa la pubblicazione dei dati identificativi delle persone fisiche destinatarie dei provvedimenti di cui al presente articolo, qualora da tali dati sia possibile ricavare informazioni relative allo stato di salute […] degli interessati» (art. 26, comma 4);

RICHIAMATE, inoltre, le indicazioni fornite dal Garante con il Provvedimento del 15 maggio 2014, recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati» (in G.U. 12 giugno 2014, n. 134 suppl. ord. n. 43 e in www.gpdp.it, doc. web n. 3134436), in cui, si evidenzia che:

- è «sempre vietata la diffusione di dati idonei a rivelare lo "stato di salute" (art. 22, comma 8, del Codice) […]» e che, in particolare, «è vietata la pubblicazione di qualsiasi informazione da cui si possa desumere, anche indirettamente, lo stato di malattia o l´esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici» (parte prima, par. 2 e par. 9.e.; parte seconda, par. 1. Cfr., inoltre, i provvedimenti del Garante ivi citati in nota 49);

- non risulta giustificato diffondere, con riferimento agli atti di attribuzione di benefici economici – nel rispetto dei principi di necessità, pertinenza e non eccedenza (art. 3, comma 1, e art. 11, comma 1, lett. d, del Codice) – «fra l´altro, dati quali, ad esempio, […] il codice fiscale di persone fisiche» (parte prima, par. 9.e.);

PRESO ATTO che la pubblicazione sul web dei testi integrali dei provvedimenti dell´Azienda Sanitaria Locale Benevento recanti le proposte di liquidazione «JJ», «QW», «QY» e «HJ» (presenti agli url http://...; http://...; http://...; http://...) – che riportano in chiaro i dati personali (nominativo e in alcuni casi anche il codice fiscale) dei soggetti assistiti in ricoveri in reparti SUAP o HOSPICE, oppure che hanno effettuato controlli post operatori o viaggi per dialisi – ha causato una diffusione di dati sensibili in quanto idonei a rivelare lo stato di salute dei soggetti interessati (artt. 4, comma 1, lett. d) nonché dati personali eccedenti come il codice fiscale, in violazione della normativa rilevante in materia di protezione dei dati personali (artt. 22, comma 8, 11, comma 1, lett. d, del Codice; art. 4, comma 6, del d. lgs. n. 33/2013);

CONSIDERATO che nella gestione del dominio «http://...», dal quale si accede all´KK dell´Azienda Sanitaria Locale Benevento, appare coinvolta anche la società «A Software Factory Srl» (cfr. quanto riportato nella stessa pagina web che compare all´url indicato);

CONSIDERATO che il Garante ha il compito di vietare anche d´ufficio il trattamento, in tutto o in parte, o di disporre il blocco dei dati personali se il trattamento risulta illecito o non corretto o quando, in considerazione della natura dei dati o, comunque, delle modalità del trattamento o degli effetti che esso può determinare, vi è il concreto rischio del verificarsi di un pregiudizio rilevante per uno o più interessati (artt. 154, comma 1, lett. d, 143, comma 1, lett. c, e 144 del Codice);

RITENUTA, pertanto, ai sensi delle predette disposizioni, la necessità di disporre in via d´urgenza – con effetto immediato a decorrere dalla data di ricezione del presente provvedimento e con riserva di ogni altra determinazione, anche sanzionatoria, all´esito della definizione dell´istruttoria avviata sul caso – la misura temporanea del blocco del trattamento dei dati personali descritti nel presente provvedimento nei confronti dell´Azienda Sanitaria Locale Benevento e della società «A Software Factory Srl», con conseguente obbligo a carico di entrambi i predetti soggetti di astenersi da ogni ulteriore diffusione online dei dati personali contenuti nei seguenti documenti:

a. provvedimento intitolato «KK» «JJ» che contiene, alle pagine 4-8, le schede per la liquidazione di rimborsi di spesa effettuate per prestazioni di degenza nei reparti suap e hospice, con indicazione in chiaro dei nominativi dei pazienti e in un caso del relativo codice fiscale, attualmente presente all´url: http://....

b. provvedimento intitolato «KK» «QW» che contiene la scheda per la liquidazione di rimborsi di «spese controllo post operatorio» con indicazione del nominativo e del codice fiscale del soggetto interessato, attualmente presente all´url http://...;

c. provvedimento intitolato «KK» «QY» che contiene la scheda per la liquidazione di rimborsi di «spese controllo post operatorio» con indicazione del nominativo, data di nascita e codice fiscale del soggetto interessato, attualmente presente all´url http://...;

d. provvedimento intitolato «KK» «HJ» che contiene la schede per la liquidazione di rimborsi di spesa effettuate per «KJ» con indicazione dei nominativi e codici fiscali dei soggetti interessati e in alcuni casi anche della data di nascita, attualmente presente all´url http://....

TENUTO CONTO che, ai sensi dell´art. 170 del Codice, chiunque essendovi tenuto non osserva il presente provvedimento di blocco del trattamento dei dati personali è punito con la reclusione da tre mesi a due anni;

VISTA la documentazione in atti;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

Relatore il dott. Antonello Soro;

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi degli artt. 154, comma 1, lett. d), 143, comma 1, lett. c), e 144, del Codice, dispone in via d´urgenza – con effetto immediato a decorrere dalla data di ricezione del presente provvedimento e con riserva di ogni altra determinazione, anche sanzionatoria, all´esito della definizione dell´istruttoria avviata sul caso – la misura temporanea del blocco del trattamento dei dati personali descritti nel presente provvedimento nei confronti dell´Azienda Sanitaria Locale Benevento e della società «A Software Factory Srl», con conseguente obbligo a carico di entrambi i predetti soggetti di astenersi da ogni ulteriore diffusione online dei dati personali contenuti nei seguenti documenti:

a. provvedimento intitolato «KK» «JJ» che contiene, alle pagine 4-8, le schede per la liquidazione di rimborsi di spesa effettuate per prestazioni di degenza nei reparti suap e hospice, con indicazione in chiaro dei nominativi dei pazienti e in un caso del relativo codice fiscale, attualmente presente all´url: http://....

b. provvedimento intitolato «KK» «QW» che contiene la scheda per la liquidazione di rimborsi di «spese controllo post operatorio» con indicazione del nominativo e del codice fiscale del soggetto interessato, attualmente presente all´url http://...;

c. provvedimento intitolato «KK» «QY» che contiene la scheda per la liquidazione di rimborsi di «spese controllo post operatorio» con indicazione del nominativo, data di nascita e codice fiscale del soggetto interessato, attualmente presente all´url http://...;

d. provvedimento intitolato «KK» «HJ» che contiene la schede per la liquidazione di rimborsi di spesa effettuate per «KJ» con indicazione dei nominativi e codici fiscali dei soggetti interessati e in alcuni casi anche della data di nascita, attualmente presente all´url http://....

Ai sensi degli artt. 152 del Codice e 10 del d. lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma,17 marzo 2016

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia