g-docweb-display Portlet

Pubblicazione sul sito web di una ASL di dati idonei a rivelare lo stato di salute - 6 luglio 2016 [5493629]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 5493629]

Pubblicazione sul sito web di una ASL di dati idonei a rivelare lo stato di salute - 6 luglio 2016

 

Registro dei provvedimenti
n. 291 del 6 luglio 2016

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d. lgs. 30 giugno 2003, n. 196, di seguito "Codice");

VISTA la documentazione in atti;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Antonello Soro;

PREMESSO

1. Introduzione

Con il provvedimento di blocco del trattamento di dati personali n. 125 del 17/3/2016 – adottato ai sensi degli artt. 154, comma 1, lett. d) e 143, comma 1, lett. c) del Codice in materia di protezione dei dati personali - d. lgs. 30 giugno 2003, n. 196 (di seguito "Codice") – il Garante ha disposto «in via d´urgenza – con effetto immediato a decorrere dalla data di ricezione del presente provvedimento e con riserva di ogni altra determinazione, anche sanzionatoria, all´esito della definizione dell´istruttoria avviata sul caso – la misura temporanea del blocco del trattamento dei dati personali descritti nel presente provvedimento nei confronti dell´Azienda Sanitaria Locale Benevento e della società «A Software Factory Srl», con conseguente obbligo a carico di entrambi i predetti soggetti di astenersi da ogni ulteriore diffusione online dei dati personali contenuti nei seguenti documenti:

a. provvedimento intitolato «XX» «XX» che contiene, alle pagine XX, le schede per la liquidazione di rimborsi di spesa effettuate per prestazioni di degenza nei reparti suap e hospice, con indicazione in chiaro dei nominativi dei pazienti e in un caso del relativo codice fiscale, attualmente presente all´url: http://....

b. provvedimento intitolato «XX» «XX» che contiene la scheda per la liquidazione di rimborsi di «spese controllo post operatorio» con indicazione del nominativo e del codice fiscale del soggetto interessato, attualmente presente all´url http://...;

c. provvedimento intitolato «XX» «XX» che contiene la scheda per la liquidazione di rimborsi di «spese controllo post operatorio» con indicazione del nominativo, data di nascita e codice fiscale del soggetto interessato, attualmente presente all´url http://...;

d. provvedimento intitolato «XX» «XX» che contiene la scheda per la liquidazione di rimborsi di spesa effettuate per «XX» con indicazione dei nominativi e codici fiscali dei soggetti interessati e in alcuni casi anche della data di nascita, attualmente presente all´url http://...»;

In merito, l´Azienda Sanitaria Locale Benevento ha fornito riscontro alla richiesta di informazioni del Garante con la nota prot. n. XX del XX a firma del XX a cui sono state allegate le note prot. n. XX del XX a firma del XX e prot. n. XX del XX a firma della XX.

Analogamente, la società A Software Factory ha fornito riscontro con l´e-mail del 29/3/2016 e con la nota del 29/04/2016 dell´XX (acquisite, rispettivamente, al ns. prot. n. 8901/I del 30/3/2016 e n. 12654/I del 3/5/2016).

Dall´istruttoria sono emersi nuovi elementi che devono integrare le valutazioni preliminari già espresse da questa Autorità nel citato provvedimento di blocco n. 125 del 17/3/2016.

2. Osservazioni

In primo luogo, alla luce dei riscontri forniti è risultato che titolare del trattamento dei dati personali (art. 4, comma 1, lett. f, del Codice) oggetto del provvedimento di blocco n. 125 del 17/03/2016 è l´Azienda Sanitaria Locale Benevento che, a sua volta, si avvale della Società A Software Factory per lo svolgimento dei propri compiti istituzionali connessi alla tenuta e gestione dell´albo pretorio online (note dell´Azienda Sanitaria Locale Benevento prot. n. XX del XX e prot. n. XX del XX; nonché nota della società A Software Factory del XX.

Nello specifico, quest´ultima società, come affermato dalla stessa, fra l´altro, eroga servizi di «mantenimento (hosting), assistenza e manutenzione dell´applicazione software web based per la gestione dell´Albo Pretorio online di proprietà della predetta ASL», attraverso la fornitura «di uno spazio» nei server della Società A Software Factory «per ospitare l´applicazione software web based per la gestione dell´Albo Pretorio online dell´ASL» (nota della società A Software Factory del 29/3/2016. Cfr. anche note dell´Azienda Sanitaria Locale Benevento prot. n. XX del XX e prot. n. XX del XX).

In merito, deve essere ricordato che il Codice distingue le figure del «titolare» e del «responsabile» del trattamento dei dati personali, precisando che la prima è «la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza», mentre la seconda è «la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali» (art. 4, comma 1, lett. f e g).

Analogamente, si evidenzia che per «trattamento» di dati personali si intende «qualunque operazione o complesso di operazioni, effettuati anche senza l´ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l´organizzazione, la conservazione, la consultazione, l´elaborazione, la modificazione, la selezione, l´estrazione, il raffronto, l´utilizzo, l´interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati» (art. 4, comma 1, lett. a, del Codice).

Ciò considerato, dagli atti dell´istruttoria è emerso che l´attività svolta, per conto dall´Azienda Sanitaria Locale Benevento, dalla Società A Software Factory – contrariamente a quanto ritenuto da quest´ultima nella propria nota di riscontro del 29/3/2016 – comporta operazioni che rientrano nella citata definizione di trattamento di dati personali nonché funzioni che di norma spettano al titolare del trattamento (come i profili legati alla sicurezza dei dati), considerando che la citata società ha dichiarato di:

- mettere a disposizione della ASL spazi dei propri server per l´applicazione software web based per la gestione dell´Albo Pretorio online (ivi);

- curare i profili legati alle misure di sicurezza contro «eventuali rischi di distruzione e/o perdita, anche accidentale, di dati, o di accesso non consentito ai sistemi di gestione delle applicazioni»;

- aver messo in «atto, immediatamente alla lettura del provvedimento [n. 125 del 17/3/2016], le idonee misure tecniche necessarie a rendere inaccessibili i link ai documenti citati nel provvedimento di che trattasi con conseguente blocco del trattamento» (cfr. e-mail della citata Società del 29/3/2016).

Al riguardo, con particolare riferimento alla circostanza che i dati personali possano essere trattati oltre che dall´Azienda Sanitaria Locale Benevento anche da un soggetto privato (la Società A Software Factory), si osserva che, nel trattamento di dati personali connesso allo svolgimento dei propri compiti istituzionali, ciascun soggetto pubblico può avvalersi del contributo di soggetti esterni, affidando a essi determinate attività che restano nella sfera della titolarità dell´amministrazione stessa e che non comportano decisioni di fondo sulle finalità e sulle modalità di utilizzazioni dei dati.

Tuttavia, in questa ipotesi è necessario che l´amministrazione – in qualità di titolare del trattamento – designi il soggetto esterno preposto al trattamento (la Società A Software Factory) come «responsabile del trattamento» con un apposito atto scritto che specifichi analiticamente i compiti a esso affidati (art. 29, commi 1-5; e art. 4, comma 1, lett. g, del Codice).

In caso contrario, il trattamento di dati personali si configura come una «comunicazione» e, in quanto tale, è assoggettata alle norme più stringenti previste per tale operazione. Infatti, l´operazione di «comunicazione» di dati personali – ossia «il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall´interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione» (art. 4, comma 1, lett. l) – da parte di un soggetto pubblico (come l´Azienda Sanitaria Locale Benevento) a soggetti privati (come la Società A Software Factory) è ammessa unicamente quando è prevista da una norma di legge o di regolamento (art. 19, comma 3, del Codice).

In merito, dagli atti è emerso che l´Azienda Sanitaria Locale Benevento non ha nominato la Società A Software Factory responsabile del trattamento con un apposito atto scritto in cui siano specificati, in modo analitico, i compiti a essa affidati in materia di trattamento dei dati personali (cfr. note dell´Azienda Sanitaria Locale Benevento prot. n. XX del XX e prot. n. XX del XX, nonché nota della società A Software Factory del 29/3/2016).

Si rileva, pertanto, che tale condotta non risulta conforme alla disciplina rilevante in materia di protezione dei dati personali, in quanto ha determinato un´operazione di comunicazione di dati personali da parte di un soggetto pubblico (l´Azienda Sanitaria Locale Benevento) a un soggetto privato (la Società A Software Factory) in assenza di idonei presupposti normativi, in violazione dell´art. 19, comma 3, del Codice.

Sotto il diverso profilo della diffusione dei dati personali, nel provvedimento di blocco n. 125 del 17/3/2016 si era già preso atto dell´avvenuta pubblicazione sul sito web istituzionale dell´Azienda Sanitaria Locale Benevento dei testi integrali dei provvedimenti della predetta Azienda, recanti le proposte di liquidazione «XX», «XX», «XX» e «XX» (presenti agli url http://...; http://...; http://...; http://...), che riportavano in chiaro i dati personali (nominativo e in alcuni casi anche il codice fiscale) dei soggetti assistiti in ricoveri in reparti SUAP o HOSPICE, oppure che avevano effettuato controlli post operatori o viaggi per dialisi.

Al riguardo, come già evidenziato nel citato provvedimento di blocco n. 125 del 17/3/2016, si conferma che nel trattamento dei dati da parte dei soggetti pubblici, i «dati idonei a rivelare lo stato di salute non possono essere diffusi» (art. 22, comma 8, del Codice), con la conseguenza che risulta vietata la diffusione di qualsiasi dato da cui possa desumersi lo stato di malattia o l´esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici (art. 22, comma 8, nonché art. 65, comma 5 e art. 68, comma 3, del Codice. Cfr., inoltre, provv. del Garante recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati» del 15 maggio 2014, in G.U. 12 giugno 2014, n. 134 suppl. ord. n. 43 e in www.garanteprivacy.it, doc. web n. 3134436, parte prima, par. 2 e par. 9.e.; parte seconda, par. 1.; nonché i provvedimenti del Garante ivi citati in nota 49).

Peraltro, anche la disciplina statale in materia di trasparenza prevede che «Restano fermi i limiti […] relativi alla diffusione dei dati idonei a rivelare lo stato di salute […]» (art. 7-bis, comma 6, del d. lgs. 14/3/2013 n. 33, che riproduce il testo dell´abrogato art. 4, comma 6), precisando – anche con riferimento agli «Obblighi di pubblicazione degli atti di concessione di sovvenzioni, contributi, sussidi e attribuzione di vantaggi economici a persone fisiche ed enti pubblici e privati» di importo superiore a mille euro erogati nell´anno solare – che «È esclusa la pubblicazione dei dati identificativi delle persone fisiche destinatarie dei provvedimenti di cui al presente articolo, qualora da tali dati sia possibile ricavare informazioni relative allo stato di salute […] degli interessati» (art. 26, comma 4, ivi).

Inoltre, richiamando quanto già evidenziato nel provvedimento di blocco n. 125 del 17/3/2016, si ricorda il trattamento dei dati personali deve avvenire nel rispetto del principio di necessità, pertinenza e non eccedenza (art. 3, comma 1, e art. 11, comma 1, lett. d, del Codice), con la conseguenza che non risulta giustificato diffondere, con riferimento agli atti di attribuzione di benefici economici, «fra l´altro, dati quali, ad esempio, […] il codice fiscale di persone fisiche» (parte prima, par. 9.e., delle «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», cit.).

Si rileva, di conseguenza, che la pubblicazione dei citati testi integrali dei provvedimenti dell´Azienda Sanitaria Locale Benevento, recanti le proposte di liquidazione «XX», «XX», «XX» e «XX» non risulta conforme alla disciplina rilevante in materia di protezione dei dati personali, poiché ha causato una diffusione:

- di dati sensibili, in quanto idonei a rivelare lo stato di salute dei soggetti interessati, in violazione dell´art. 22, comma 8, del Codice (cfr. anche art. 4, comma 6, del d. lgs. n. 33/2013);

- di dati personali eccedenti, quali il codice fiscale, in violazione dell´art. 11, comma 1, lett. d, del Codice.

In merito alla pubblicazione, l´Azienda Sanitaria Locale Benevento ha comunque rappresentato di aver disposto la ripubblicazione delle citate delibere prive dei dati sensibili (cfr. note prot. n. XX del XX e prot. n. XX del XX). Dall´accertamento effettuato dall´Ufficio in data 17/6/2016 risulta, inoltre, che i provvedimenti dell´Azienda oggetto del provvedimento di blocco n. 125 del 17/03/2016 non risultano più accessibili online agli url indicati nel predetto provvedimento, per cui la condotta tenuta in violazione della disciplina rilevante in materia di protezione dei dati personali di cui agli artt. 22, comma 8, e 11, comma 1, lett. d, del Codice ha esaurito i suoi effetti.

3. Esito dell´istruttoria

Il blocco del trattamento è un provvedimento a carattere temporaneo che, soddisfatte le esigenze anche probatorie che ne avevano disposto l´adozione, deve essere seguito da un ulteriore provvedimento che – in sostituzione della misura temporanea già disposta e sulla base di un esame compiuto del merito – disponga in modo stabile sulla liceità e correttezza del trattamento (art. 4, comma 1, lett. o, del Codice).

Pertanto, in primo luogo, considerato che il Garante, ai sensi degli artt. 143, comma 1, lett. b), e 154, comma 1, lett. c), del Codice, ha il compito di prescrivere, anche d´ufficio, «le misure necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti», si ritiene necessario prescrivere all´Azienda Sanitaria Locale Benevento di nominare la Società A Software Factory «responsabile del trattamento» (art. 4, comma 1, lett. g, del Codice) attraverso un apposito atto scritto che specifichi analiticamente i compiti a esso affidati in materia di trattamento dei dati personali, vigilando anche tramite verifiche periodiche sulla puntuale osservanza del pieno rispetto delle proprie istruzioni e delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza (art. 29, commi 1-5, del Codice).

Inoltre, considerato che il Garante, ai sensi degli artt. 143, comma 1, lett. c), e 154, comma 1, lett. d), del Codice, ha il compito di «vietare anche d´ufficio, in tutto o in parte, il trattamento illecito o non corretto dei dati o disporne il blocco», nonché «di adottare gli altri provvedimenti previsti dalla disciplina applicabile al trattamento di dati personali», in ragione dell´illiceità del trattamento rilevata nel precedente paragrafo, si ritiene necessario vietare all´Azienda Sanitaria Locale Benevento, anche per il tramite della Società A Software Factory, il trattamento dei dati personali effettuato nei termini previsti dal provvedimento di blocco del trattamento n. 125 del 17/3/2016.

Con separato provvedimento saranno valutati gli estremi per contestare all´Azienda Sanitaria Locale Benevento la sanzione amministrativa prevista dagli artt. 162, comma 2-bis, e 167 del Codice, in relazione all´avvenuta diffusione di dati idonei a rivelare lo stato di salute (in violazione dell´art. 22, comma 8, del Codice) e all´avvenuta comunicazione di dati personali alla Società A Software Factory in assenza di idonei presupposti normativi (in violazione dell´art. 19, comma 3, del Codice).

In caso d´inosservanza del presente provvedimento, si renderanno applicabili le sanzioni (rispettivamente penale e amministrativa) di cui agli artt. 170 e 162, comma 2-ter, del Codice.

TUTTO CIÒ PREMESSO IL GARANTE

1) prescrive all´Azienda Sanitaria Locale Benevento di nominare la Società A Software Factory «responsabile del trattamento» (art. 4, comma 1, lett. g, del Codice) attraverso un apposito atto scritto che specifichi analiticamente i compiti a esso affidati in materia di trattamento dei dati personali, vigilando anche tramite verifiche periodiche sulla puntuale osservanza del pieno rispetto delle proprie istruzioni e delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza (art. 29, commi 1-5, del Codice);

2) rileva l´illiceità del trattamento dei dati effettuato all´Azienda Sanitaria Locale Benevento nei termini indicati in premessa, per violazione degli artt. 22, comma 8; 11, comma 1, lett. d, e 19, comma 3 del Codice e, di conseguenza, vieta – ai sensi dei citati artt. 143, comma 1, lett. c), e 154, comma 1, lett. d), del Codice – alla predetta Azienda Sanitaria, anche per il tramite della Società A Software Factory, il trattamento dei dati personali effettuato nei termini previsti dal provvedimento di blocco del trattamento n. 125 del 17/3/2016;

3) richiede all´Azienda Sanitaria Locale Benevento, ai sensi dell´art. 157 del Codice, di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto previsto nel precedente punto 1 del presente provvedimento e di fornire comunque riscontro entro trenta giorni dalla ricezione dello stesso. Si ricorda che il mancato riscontro alla richiesta ex art. 157 è punito con la sanzione amministrativa di cui all´art. 164 del Codice.

Ai sensi degli artt. 152 del Codice e 10 del d. lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 6 luglio 2016

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia