g-docweb-display Portlet

Pubblicazione sul sito web di una azienda USL di dati idonei a rivelare lo stato di salute - 6 luglio 2016 [5432325]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

VEDI ANCHE: Pubblicazione sul sito web di una azienda USL di dati idonei a rivelare lo stato di salute - 10 marzo 2016

[doc. web n. 5432325]

Pubblicazione sul sito web di una azienda USL di dati idonei a rivelare lo stato di salute - 6 luglio 2016

Registro dei provvedimenti
n. 290 del 6 luglio 2016

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d. lgs. 30 giugno 2003, n. 196, di seguito "Codice");

VISTA la documentazione in atti;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Antonello Soro;

PREMESSO

1. Introduzione

Con il provvedimento di blocco n. 106 del 10/3/2016 [doc. web 4916900] il Garante ha disposto «in via d´urgenza – con effetto immediato a decorrere dalla data di ricezione del presente provvedimento e con riserva di ogni altra determinazione, anche sanzionatoria, all´esito della definizione dell´istruttoria avviata sul caso – la misura temporanea del blocco del trattamento dei dati personali dei dati personali descritti nel presente provvedimento nei confronti della Regione Toscana e dell´Azienda USL Toscana Nord Ovest, con conseguente obbligo a carico di entrambi i predetti soggetti di astenersi da ogni ulteriore diffusione online dei dati personali (nome e cognome, iniziali del nome e cognome, data e luogo di nascita, indirizzo di residenza) dei soggetti assistiti riportati nell´allegato al decreto dell´Azienda USL Toscana Nord Ovest-Zona distretto Livornese n. QK, attualmente presente all´url http://...».

In merito, l´Azienda USL Toscana nord ovest ha fornito riscontro alle richieste d´informazioni dell´Ufficio con la nota prot. n. QQ del WW a firma del  XY (a cui è stata allegata la nota, datata YY, avente prot. n. HH del JJ, indirizzata dall´Azienda USL Toscana nord ovest alla società Insiel Mercato di Trieste) e con la nota del KK prot. n. ZZ.

Analogamente, la Regione Toscana ha fornito riscontro con la nota prot. n. XX n. QW del QY, a firma della KW.

Dall´istruttoria sono emersi nuovi elementi che devono integrare le valutazioni preliminari già espresse da questa Autorità nel citato provvedimento di blocco n. 106 del 10/3/2016.

2. Osservazioni

In primo luogo, alla luce dei riscontri forniti dall´Azienda USL Toscana nord ovest e dalla Regione Toscana, è risultato che titolare del trattamento dei dati personali (art. 4, comma 1, lett. f, del Codice) oggetto del citato provvedimento di blocco n. 106 del 10/3/2016 è unicamente l´Azienda USL Toscana nord ovest (cfr. nota dell´Azienda USL Toscana nord ovest prot. n. QQ del WW). In merito, è stato, inoltre, rappresentato che «né Regione Toscana né il Consorzio Hypertix svolgono un ruolo rilevante nella gestione dell´ZZ dell´Azienda» e che «il sito ... risulta locato e risolto sulla rete internet all´indirizzo IP ..., gestito direttamente dall´Azienda Usl Toscana Nord Ovest» (Ivi. Circostanze confermate anche nella nota della Regione Toscana prot. n. XX n. QW del QY e nella nota dell´Azienda USL Toscana nord ovest del KK prot. n. ZZ).

L´Azienda USL Toscana nord ovest ha, inoltre, rappresentato (nota prot. n. QQ del WW) che:

- «all´interno del processo di gestione informatica di "ZZ"», Estar Toscana (Ente di Supporto Tecnico Amministrativo Regionale del servizio sanitario regionale dotato di personalità giuridica pubblica) assolve «funzioni tecnologiche […] a supporto delle Aziende Sanitarie, genericamente riconducibili a quelle di amministrazione dei sistemi informatici in uso» e che «Nei confronti di questo soggetto si è proceduto alla attribuzione della Responsabilità esterna nel trattamento dei dati personali su espressa richiesta pervenuta a tutte le ex Aziende da parte della Regione Toscana (nelle more della predisposizione della deliberazione dello stesso Ente Regione volta a disciplinare il sistema di relazioni tra Estar e le Aziende Sanitarie). Per la ex ASL 6 la nomina è stata conferita con nota prot. n° QY del QH»;

- la stessa Azienda si avvale, altresì, della Società Insiel Mercato di Trieste per lo svolgimento dei propri compiti istituzionali legati alla tenuta e gestione dell´. Nello specifico, quest´ultima società distribuisce «l´applicazione informatica che gestisce tutti gli atti deliberativi aziendali (vale a dire i Decreti, quali atti dei Dirigenti, e le Deliberazioni, quali atti del Direttore Generale)», ed è «sia la fornitrice dell´applicazione di gestione degli atti deliberativi sia il gestore del modulo "ZZ", sezione separata dell´applicazione ma in essa comunque integrata, come può rilevarsi dal sito internet di quella società all´url https://www....».

Al riguardo, con particolare riferimento alla circostanza che i dati personali possano essere trattati oltre che dall´Azienda USL Toscana nord ovest anche da soggetti privati, si osserva che, nel trattamento di dati personali connesso allo svolgimento dei propri compiti istituzionali, ciascun soggetto pubblico può avvalersi del contributo di soggetti esterni, affidando a essi determinate attività che restano nella sfera della titolarità dell´amministrazione stessa e che non comportano decisioni di fondo sulle finalità e sulle modalità di utilizzazioni dei dati.

In questa ipotesi, tuttavia, è necessario che l´amministrazione – in qualità di titolare del trattamento – designi il soggetto esterno preposto al trattamento come «responsabile del trattamento» (art. 4, comma 1, lett. g, del Codice) con un apposito atto scritto che specifichi analiticamente i compiti a esso affidati (art. 29, commi 1-5, del Codice).

In caso contrario, il trattamento di dati personali si configura come una «comunicazione» e, in quanto tale, è assoggettata alle norme più stringenti previste per tale operazione. Infatti, l´operazione di «comunicazione» di dati personali – ossia «il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall´interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione» (art. 4, comma 1, lett. l, del Codice) – da parte di un soggetto pubblico (come l´Azienda USL Toscana Nord ovest) a soggetti privati (come la società Insiel) è ammessa unicamente quando è prevista da una norma di legge o di regolamento (art. 19, comma 3, del Codice).

Dagli atti è emerso che Estar Toscana è stata nominata «responsabile "esterno" del trattamento dei dati personali» dalla ex ASL 6 Livorno (confluita nell´Azienda USL Toscana Nord ovest) con nota prot. n. QY del QH; mentre la società Insiel Mercato di Trieste, è stata nominata Responsabile esterno nel trattamento dei dati personali dall´Azienda USL Toscana Nord ovest solo con la nota datata YY (prot. n. HH del JJ), con la comunicazione dei «Compiti ed istruzioni per i responsabili del trattamento dei dati personali» riportanti i «Principi generali da osservare».

Quest´ultima designazione, pertanto, risulta essere successiva sia alla segnalazione che al citato provvedimento del Garante di blocco del trattamento di dati personali n. 106 del 10/3/2016, con la conseguenza che, medio tempore, l´Azienda USL Toscana Nord Ovest ha esercitato funzioni istituzionali a essa spettanti tramite la società Insiel Mercato di Trieste che al tempo non risultava essere stata designata responsabile del trattamento.

Pertanto, si rileva che tale condotta non è conforme alla disciplina in materia di protezione dei dati personali, in quanto ha determinato – per il periodo della mancata designazione – un´operazione di comunicazione di dati personali da parte di un soggetto pubblico (l´Azienda USL) a un soggetto privato (la società Insiel) in assenza di idonei presupposti normativi, in violazione dell´art. 19, comma 3, del Codice.

Sotto il diverso profilo della diffusione dei dati personali, nel provvedimento di blocco n. 106 del 10/3/2016 si era già preso atto della pubblicazione nell´ZZ dell´Azienda USL Toscana, accessibile dal sito web istituzionale, del testo integrale dell´allegato al decreto dell´Azienda USL Toscana Nord Ovest-Zona distretto Livornese n. QK (url http://...), che riportava in chiaro i dati personali (nome e cognome, data e luogo di nascita, indirizzo di residenza) dei soggetti assistiti che avevano fatto domanda per l´erogazione di contributi economici previsti dalla Delibera di Giunta della Regione Toscana n. KH del KX per i «pazienti affetti da particolari patologie che, malgrado, l´assistenza fornita dal SSN, incorrono in rilevanti spese per ulteriori livelli di assistenza, anche di natura farmacologica».

Al riguardo, come già evidenziato nel citato provvedimento di blocco n. 106 del 10/3/2016, si conferma che nel trattamento dei dati da parte dei soggetti pubblici, i «dati idonei a rivelare lo stato di salute non possono essere diffusi» (art. 22, comma 8, del Codice), con la conseguenza che risulta vietata la diffusione di qualsiasi dato da cui possa desumersi lo stato di malattia o l´esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici (art. 22, comma 8, nonché art. 65, comma 5 e art. 68, comma 3, del Codice. Cfr., inoltre, provv. del Garante recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati» del 15 maggio 2014, in G.U. 12 giugno 2014, n. 134 suppl. ord. n. 43 e in www.garanteprivacy.it, doc. web n. 3134436, parte prima, par. 2 e par. 9.e.; parte seconda, par. 1.; nonché i provvedimenti del Garante ivi citati in nota 49).

Inoltre, richiamando ancora quanto già evidenziato nel provvedimento di blocco n. 106 del 10/3/2016, si ricorda che il trattamento dei dati personali deve avvenire nel rispetto del principio di necessità, pertinenza e non eccedenza (art. 3, comma 1, e art. 11, comma 1, lett. d, del Codice), con la conseguenza che non risulta giustificato diffondere, con riferimento agli atti di attribuzione di benefici economici, «fra l´altro, dati quali, ad esempio, l´indirizzo di abitazione o la residenza» (parte prima, par. 9.e., delle «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», cit.).

Peraltro, anche la disciplina statale in materia di trasparenza prevede che «Restano fermi i limiti […] relativi alla diffusione dei dati idonei a rivelare lo stato di salute […]» (art. 7-bis, comma 6, del d. lgs. 14/3/2013 n. 33, che riproduce il testo dell´abrogato art. 4, comma 6), precisando – anche con riferimento agli «Obblighi di pubblicazione degli atti di concessione di sovvenzioni, contributi, sussidi e attribuzione di vantaggi economici a persone fisiche ed enti pubblici e privati» di importo superiore a mille euro erogati nell´anno solare – che «È esclusa la pubblicazione dei dati identificativi delle persone fisiche destinatarie dei provvedimenti di cui al presente articolo, qualora da tali dati sia possibile ricavare informazioni relative allo stato di salute […] degli interessati» (art. 26, comma 4, ivi).

Si rileva, di conseguenza, che la pubblicazione nell´ZZ del citato allegato al decreto dell´Azienda USL Toscana Nord Ovest-Zona distretto Livornese n. QK, riportante in chiaro i dati personali dei soggetti assistiti, non risulta conforme alla disciplina rilevante in materia di protezione dei dati personali, in quanto ha causato una diffusione:

- di dati sensibili, in quanto idonei a rivelare lo stato di salute dei soggetti interessati, in violazione dell´art. 22, comma 8, del Codice (cfr. anche art. 4, comma 6, del d. lgs. n. 33/2013);

- di dati personali eccedenti, quali l´indirizzo di residenza, in violazione dell´art. 11, comma 1, lett. d, del Codice.

In merito alla predetta pubblicazione, l´Azienda USL Toscana Nord Ovest-Zona ha comunque rappresentato che «l´Azienda ha immediatamente provveduto alla rimozione dell´"Allegato privacy" al decreto n° QK del QZ da "ZZ" (avvenuta non appena presa cognizione della inosservanza riscontrata e del correlato provvedimento di "blocco")» (nota prot. n. QQ del WW). Dall´accertamento effettuato dall´Ufficio in data 16/6/2016 risulta confermato che l´allegato oggetto del provvedimento di blocco n. 106 del 10/3/2016 non risulta più accessibile online all´url indicato nel predetto provvedimento, per cui la condotta tenuta in violazione della disciplina rilevante in materia di protezione dei dati personali ha esaurito i suoi effetti.

A ciò va aggiunto però che, dal medesimo accertamento effettuato in data 16/6/2016, è risultato ancora visibile – nello «HH» dell´ZZ presente sul sito web istituzionale – il testo, privo dell´allegato, del decreto dell´Azienda USL Toscana Nord Ovest-Zona distretto Livornese n. QK nel quale sono riportate le sole iniziali del nome e del cognome dei soggetti assistiti e sono sostituiti con degli omissis gli altri dati personali (url: http://...).

Sul punto il Garante non si è espresso nel provvedimento di blocco n. 106 del 10/3/2016, stante l´urgenza e la temporaneità propri di questo tipo di provvedimento, nonché il carattere sommario della relativa istruttoria.

Tuttavia, in questa sede è opportuno evidenziare che la sostituzione del nome e del cognome dei soggetti interessati con le relative iniziali, può non essere una misura sufficiente a prevenire il potenziale rischio di re-identificazione dell´interessato, anche a posteriori, in particolari contesti o ambiti geografici, oppure mediante il collegamento con altre informazioni eventualmente nella disponibilità di terzi o ricavabili da altre fonti (cfr., in proposito, anche quanto indicato nella parte prima, par. 3, «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», cit.).

Oltretutto, nel caso di specie, la finalità di rendere pubblica la decisione dell´Azienda USL Toscana Nord Ovest-Zona distretto Livornese n. QK avente a oggetto «Rimborsi ex Delib. G.R.T. n. JK del KJ: Recepimento pareri commissione aziendale di valutazione del ZX assistiti della zona di Livorno», può essere perseguita senza l´indicazione delle iniziali dei soggetti assistiti e mediante la relativa sostituzione con degli omissis, come è già stato fatto nello stesso decreto dell´Azienda per gli altri dati personali (artt. 3, comma 1, e 11, comma 1, lett. d, del Codice).

3. Esito dell´istruttoria

Il blocco del trattamento è un provvedimento a carattere temporaneo che, soddisfatte le esigenze anche probatorie che ne avevano disposto l´adozione, deve essere seguito da un ulteriore provvedimento che – in sostituzione della misura temporanea già disposta e sulla base di un esame compiuto del merito – disponga in modo stabile sulla liceità e correttezza del trattamento (art. 4, comma 1, lett. o, del Codice).

Pertanto, si ritiene, in primo luogo, di dover disporre nei confronti della Regione Toscana la revoca della misura temporanea del blocco del trattamento dei dati personali adottata con il provvedimento del Garante n. 106 del 10/3/2016 per la mancanza – emersa a seguito dell´istruttoria – del requisito della titolarità del trattamento dei dati oggetto del predetto provvedimento.

Il Garante, ai sensi degli artt. 143, comma 1, lett. c), e 154, comma 1, lett. d), del Codice, ha il compito di «vietare anche d´ufficio, in tutto o in parte, il trattamento illecito o non corretto dei dati o disporne il blocco», nonché «di adottare gli altri provvedimenti previsti dalla disciplina applicabile al trattamento di dati personali». Pertanto, ai sensi dei predetti articoli, in ragione dell´illiceità del trattamento rilevata nel precedente paragrafo, si ritiene necessario di conseguenza vietare all´Azienda USL Toscana nord ovest il trattamento dei dati personali effettuato nei termini previsti dal provvedimento di blocco del trattamento n. 106 del 10/3/2016.

Sotto altro profilo, il Garante, ai sensi degli artt. 143, comma 1, lett. b), e 154, comma 1, lett. c), del Codice, ha, altresì, il compito di prescrivere, anche d´ufficio, «le misure necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti». Al riguardo, si ritiene necessario prescrivere all´Azienda USL Toscana nord ovest di oscurare – onde evitare potenziali re-identificazioni dei soggetti interessati – le iniziali del nome e del cognome dei soggetti assistiti che compaiono nel testo del decreto dell´Azienda USL Toscana Nord Ovest-Zona distretto Livornese n. QK, pubblicato nello «XX» dell´ZZ presente sul sito web istituzionale (url: http://...).

Con separato provvedimento saranno valutati gli estremi per contestare all´Azienda USL Toscana nord ovest la sanzione amministrativa prevista dagli artt. 162, comma 2-bis, e 167 del Codice, in relazione all´avvenuta diffusione di dati idonei a rivelare lo stato di salute (in violazione dell´art. 22, comma 8, del Codice) e all´avvenuta comunicazione di dati personali alla società Insiel in assenza di idonei presupposti normativi (in violazione dell´art. 19, comma 3, del Codice).

In caso d´inosservanza del presente provvedimento, si renderanno applicabili le sanzioni (rispettivamente penale e amministrativa) di cui agli artt. 170 e 162, comma 2-ter, del Codice.

TUTTO CIÒ PREMESSO IL GARANTE

1) dispone nei confronti della Regione Toscana la revoca della misura temporanea del blocco del trattamento dei dati personali adottata con il provvedimento del Garante n. 106 del 10/3/2016 per mancanza del requisito della titolarità del trattamento dei dati oggetto del predetto provvedimento;

2) rileva l´illiceità del trattamento dei dati effettuato dall´Azienda USL Toscana nord ovest nei termini indicati in premessa, per violazione degli artt. 22, comma 8; 11, comma 1, lett. d; 19, comma 3, del Codice e, di conseguenza, vieta – ai sensi dei citati artt. 143, comma 1, lett. c), e 154, comma 1, lett. d), del Codice – alla predetta Azienda USL il trattamento dei dati personali effettuato nei termini previsti dal provvedimento di blocco del trattamento n. 106 del 10/3/2016;

3) prescrive ai sensi degli artt. 143, comma 1, lett. b), e 154, comma 1, lett. c), del Codice, all´Azienda USL Toscana nord ovest di oscurare – onde evitare potenziali re-identificazioni dei soggetti interessati – le iniziali del nome e del cognome dei soggetti assistiti che compaiono nel testo del decreto dell´Azienda USL Toscana Nord Ovest-Zona distretto Livornese n. QK, pubblicato nello «XX» dell´ZZ presente sul sito web istituzionale (url: http://...)

4) richiede all´Azienda USL Toscana nord ovest, ai sensi dell´art. 157 del Codice, di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto previsto nel precedente punto 3 del presente provvedimento e di fornire comunque riscontro entro trenta giorni dalla ricezione dello stesso. Si ricorda che il mancato riscontro alla richiesta ex art. 157 è punito con la sanzione amministrativa di cui all´art. 164 del Codice.

Ai sensi degli artt. 152 del Codice e 10 del d. lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 6 luglio 2016

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia