g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Ordinanza ingiunzione o revoca
  4. Ordinanza ingiunzione nei confronti di Società LARC - 28 ottobre 2021 [9724881]

Ordinanza ingiunzione nei confronti di Società LARC - 28 ottobre 2021 [9724881]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9724881]

Ordinanza ingiunzione nei confronti di Società LARC - 28 ottobre 2021

Registro dei provvedimenti
n. 385 del 28 ottobre 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il Cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il D.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Le istanze pervenute e l’attività istruttoria

1.1. Con nota del 18 settembre 2020, è stata segnalata dalla sig.ra XX una violazione del Regolamento, derivante da una erronea consegna di referti -verificatasi in data 16 settembre 2020 presso la sede di via Mombarcaro 80 a Torino della Società LARC- che ha interessato la madre della segnalante, la sig.ra XX. In particolare alla stessa, dopo aver effettuato l’esame diagnostico dell’ecocardiogramma, le sarebbe stato consegnato il referto di un’altra persona paziente, pur riportando, le immagini allegate, il nome della sig.ra XX.

Successivamente, il Presidente dell’Ordine dei Medici Chirurghi e Odontoiatri della Provincia di Savona, coinvolto dalla segnalante nella vicenda, dopo aver interpellato il medico che ha firmato il referto in questione, ha dichiarato che “a causa di un problema tecnico verificatosi sulla stampante, questa ha prodotto, invece che il referto inviato in stampa dal medico in quel momento, un referto precedente che era rimasto in memoria. Il referto della Sig.ra Teresa XX non è stato consegnato a nessuno ed è ancora disponibile per il ritiro presso la struttura LARC. Il Dott. (…) si scusa per il disguido che è avvenuto indipendentemente dalla propria volontà. Pertanto, trattandosi di evento accidentale conseguenza di un problema tecnico informatico, non si ravvedono comportamenti deontologicamente scorretti a carico del Dott. (…)”.

In data 25 settembre 2020 la Società ha notificato una violazione di dati personali, ai sensi dell’art. 33 del Regolamento, dichiarando che “secondo quanto asserito nel reclamo, al termine di esame strumentale specialistico, ad una paziente veniva consegnata una cartellina contenente le immagini diagnostiche dell’esame svolto ed il referto cartaceo intestato ad un’altra paziente (di cui non sono stati forniti gli estremi)”.

Nella citata comunicazione è stato evidenziato che la violazione ha avuto ad oggetto dati anagrafici “(nome, cognome, sesso, data di nascita)”, dati di contatto “(indirizzo postale)”, dati di accesso e di identificazione “(customer Id, tipologia di cliente-es. privato, assicurato, SSN, ecc.)”, dati relativi alla salute “(referto dell’esame specialistico con firma digitale del medico)” ed è stato causato da una “disattenzione nel comporre la cartellina contenente la documentazione dell’esame svolto”; in particolare l’“errore di inserimento di un referto improprio nella cartellina (sarebbe)  derivato anche da un malfunzionamento della stampante. Infatti si ritiene che a causa di inceppamento della stampante, il medico abbia inviato almeno due stampe del referto, una delle quali correttamente consegnata. L’altra inavvertitamente consegnata al paziente successivo (oggetto della segnalazione) al posto di quella propria, rimasta invece in coda”.

Quali misure adottate a seguito della violazione e per prevenire simili eventi in futuro sono state previste:

- la “comunicazione al soggetto che ha inviato la segnalazione con riscontro puntuale di quanto indicato”, la “richiesta di fornire un’indicazione probante circa il referto erroneamente consegnato al fine di dimostrare la veridicità della segnalazione stessa” e il “contestuale invito a distruggere tale referto qualora ne sia effettivamente in possesso”;

- la “spedizione del referto corretto e messa a disposizione di ulteriore accertamento domiciliare per la paziente oggetto della segnalazione”;

- la “comunicazione all’interessato i cui dati sono stati erroneamente divulgati (ad una sola persona) con le scuse del titolare e le rassicurazioni del caso sul coinvolgimento nell’ottenere la distruzione dei documenti presso il destinatario improprio”, che verrà effettuata appena possibile;

- il “richiamo generale a tutti gli operatori sanitari di controllare sempre i dati dei referti, immagini, ecc., che si consegnano ai pazienti a fine visita/esame”;

- una “nota di censura a XX per l’errore che è dipeso comunque da una sua disattenzione nel mancato controllo dei dati di intestazione dei documenti che consegnava”;

- un “controllo dell’efficienza delle stampanti per evitare che si inceppino e determinato l’invio di più di una stampa per il medesimo referto, così da evitare di avere più stampe in coda”;

- la comunicazione ai pazienti volta a richiamare l’attenzione sull’esigenza di “controllare sempre i documenti loro consegnati prima di lasciare lo studio medico”.

Con specifico riferimento ai fatti descritti nella citata segnalazione e notifica di violazione di dati personali, l’Ufficio, con nota del 9 ottobre 2020 (prot. n. 37585), ha notificato alla Società ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

In particolare, l’Ufficio, nel predetto atto, ha rilevato che, sulla base degli elementi acquisiti e delle relative valutazioni, la Società ha effettuato, mediante la consegna di un referto a persona diversa dall’interessato, una comunicazione di dati relativi alla salute a persona diversa dall’interessato in assenza di un idoneo presupposto giuridico e, quindi, in violazione dei principi di base del trattamento di cui agli artt. 5 e 9 del Regolamento.

Con nota del 30 ottobre 2020, la Società ha fatto pervenire le proprie memorie difensive, nelle quali, in particolare, oltre a ribadire quanto già dichiarato nella notifica di violazione effettuata ai sensi dell’art. 33 del Regolamento, ha evidenziato:

- che “la violazione sarebbe avvenuta il 16/09/2020, intorno alle ore 16:20 presso la sede operativa di via Mombarcaro 80 a Torino: al termine di un esame strumentale specialistico (ecocardiogramma) condotto dal medico consulente, (…), ad una paziente (sig.ra XX), accompagnata dalla figlia (sig.ra XX), veniva consegnata una cartella contenente le immagini diagnostiche dell’esame svolto ed il referto cartaceo, intestato, però ad un’altra persona. Il reclamo con il quale la figlia ha segnalato la violazione, ricevuto per iscritto il 18/09/2020 è stato ritenuto plausibile il 24/09/2020 al termine dell’istruttoria interna, conclusasi anche con la consegna del referto intestato alla paziente e il rifacimento dell’esame presso il domicilio della stessa. Tuttavia, nonostante le richieste, la reclamante non ha fornito il nominativo del soggetto il cui referto le sarebbe stato consegnato per errore, non rendendo così ancora oggi comprovata la potenziale violazione della privacy”;

- che “le prassi aziendali e deontologiche del personale sanitario prevedono che i referti siano consegnati esclusivamente agli interessati (o loro delegati …); la consegna del referto, intestato ad un terzo, al posto di quello della sig.ra XX è avvenuto per un fatto accidentale (la stampante che ha stampato due volte lo stesso referto) unita alla lieve colpa del sanitario, il quale aveva commentato il referto oralmente senza controllare l’intestazione del documento scritto consegnato alla paziente, documento che non è stato oggetto di controllo immediato neppure da parte dell’interessata e della figlia che l’accompagnava”;

- quali “eventuali altri fattori attenuanti applicabili alle circostanze del caso”: “esiguità del numero delle persone coinvolte: un interessato alla perdita di riservatezza; 2 destinatari non autorizzati (la reclamante sig.ra XX e probabilmente la paziente, madre della reclamante, sig.ra XX)”; “assenza della certezza in merito all’avvenuta violazione dei dati personali in quanto, pur in presenza di una segnalazione plausibile, non è stato ottenuto riscontro rispetto alla richiesta di fornire il nominativo della controparte interessata o copia del referto erroneamente consegnato, secondo quanto asserito nel reclamo”; “colpa lieve ed oggettiva dell’azienda per il fatto del proprio collaboratore, scelto tra una rosa di professionisti riconosciuti, iscritti all’albo dei medici e chirurghi, che devono sottostare ad obblighi deontologici ben precisi”; “adozione di procedure e sistemi di controllo atti a limitare il più possibile lesioni al diritto della privacy dei propri pazienti, pur senza comunque riuscire ad azzerare il rischio di malfunzionamento di taluni strumenti di stampa in dotazione dei propri collaboratori”.

1.2. Con nota del 3 febbraio 2021, la sig.ra XX ha formulato un reclamo avente ad oggetto la consegna, da parte della Società LARC di un reperto, nel quale veniva indicata l’anagrafica di un’altra paziente della struttura, omonima nel cognome (sig.ra XX), che si era recata nel marzo 2018 presso la struttura.

A seguito della richiesta di informazioni dell’Ufficio (nota dell’11 febbraio 2021, prot. n. 0008441), con la quale è stato chiesto di far conoscere ogni informazione utile per la valutazione del caso e, in particolare, il rispetto del principio di esattezza dei dati e il presupposto giuridico che avrebbe consentito la predetta comunicazione di dati personali a soggetti terzi, la Società ha fornito riscontro, con la nota del 4 marzo 2021. In particolare, il legale rappresentante della medesima Società, in relazione ai fatti oggetto di reclamo, ha rappresentato che:

- “in data 11 settembre 2020 alle 17 presso il poliambulatorio di Torino corso Venezia n. 10, venivano eseguite dal Dott. XX a favore della sig.ra XX, ultima paziente della giornata, due densitometrie ossee: una alle 17:51 al tratto femorale e la seconda alle 17:59 al tratto lombare, entrambe refertate dal Dott. XX. In tali circostanze, mentre nel primo esame, il femorale, veniva correttamente indicato il nome della paziente, nel secondo, quello lombare, per un errore umano, veniva indicata l’anagrafica di un’altra paziente LARC, omonima nel cognome, la sig.ra XX. Ciò è avvenuto in quanto il sistema software della strumentazione per la densitometria propone al medico esecutore la possibilità di riutilizzare i dati anagrafici già presenti perché caricati da precedenti esami; in questa circostanza, e solo per il secondo esame, il medico, volendo riprendere l’anagrafica della medesima paziente alla quale aveva appena refertato la densitometria femorale, non si avvedeva di aver invece selezionato l’anagrafica della omonima XX al posto di XX. Va inoltre precisato che tale software, collegato inscindibilmente e esclusivamente all’elettromedicale, predispone solo l’immagine diagnostica propria dell’esame densitometrico, mentre il referto clinico è compilato dal medico mediante altro sistema”;

- “nel caso de quo il referto, intestato correttamente alla sig.ra XX, veniva infatti redatto dal Dott. XX. Pertanto, il referto e le immagini relative alla densitometria lombare consegnate alla paziente XX presso il centro di Ciriè in busta sigillata, pur recando, in uno solo degli allegati, l’intestazione di XX, si riferivano alla XX (…). Queste precisazioni venivano fornite immediatamente (….) all’avvocato della sig.ra XX in data 29.09.2020, ribadendo come non poteva trattarsi di referto appartenente ad altro paziente, stante la contiguità di orario del secondo esame rispetto al primo (otto minuti tra l’uno e l’altro)”;

- “la LARC S.p.A. ha sempre posto grande attenzione all’esattezza dei dati, adottando tutte le misure idonee alla modifica o rettifica dei dati inesatti; attraverso i software in uso, la LARC controlla periodicamente la correttezza dei dati raccolti, confrontandoli anche con dati appartenenti allo stesso interessato, ma raccolti in momenti differenti o che abbiano avuto una provenienza differente. Nel rispetto del principio di esattezza del dato personale, il Titolare monitora per tutto il loro ciclo vitale i dati personali raccolti, dai primi momenti con cui vi entra in contatto e fino alla loro cancellazione. Per fare ciò e per limitare il più possibile la possibilità di errore la LARC gestisce la fase della validazione e verifica della coerenza dei dati personali; effettua la segnalazione di eventuali errori o problematiche nella raccolta; impone il rifiuto di raccolta dei dati incompleti o imprecisi; effettua il monitoraggio delle operazioni di caricamento (momento di caricamento, autore, tipo di dato inserito). Per svolgere tale attività nel miglior modo possibile, la LARC investe anche sulla formazione del personale che si occupa del caricamento e della raccolta dei dati. In questi casi, infatti, il rischio dell’errore umano assume una concreta possibilità di manifestarsi, come si è verificato, purtroppo, nel caso concreto”, nel quale “non si sono ravvisati errori nella raccolta dei dati e non sono stati divulgati dati relativi alla salute inesatti (perché non aggiornati o perché sbagliati). E’stata solo inserita su uno degli allegati del referto appartenente alla sig.ra XX, il nome della omonima XX. I dati relativi alla salute di entrambe le pazienti erano e sono esatti. A seguito della verifica dell’errore, si è provveduto a correggere il dato sul software dell’elettromedicale per la densitometria ossea, senza tuttavia necessità di correggere il referto clinico in quanto esatto”;

-  in relazione al presupposto giuridico per la divulgazione a terzi, “non esiste il presupposto giuridico per la suddetta divulgazione, essendo trattato di un errore umano nell’utilizzo del software di caricamento anagrafica. A ragione di ciò è stata aperta una segnalazione di presunta violazione di dati personali, (data breach) che è stata valutata positivamente in quanto riferita a divulgazione non autorizzata di dati personali, con la valutazione che «sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche» ai sensi dell’art. 33, co.1 del Reg. (UE) 2016/679: pertanto, non è stato necessario procedere con la notificazione. In particolare, si è ritenuto trascurabile il rischio per i seguenti motivi: perché i dati divulgati non riguardano dati relativi alla salute; perché i dati divulgati riguardano un unico interessato; perché i suoi dati personali sono facilmente reperibili nel web in un sito di runner (….); perché i suoi dati personali comuni erano stati divulgati a una sola persona (…)”.

Con nota del 7 aprile 2021 (prot. n. 18190), l’Ufficio, in relazione alla vicenda descritta al punto 1.2. ha notificato all’Azienda, ai sensi dell’art. 166, comma 5, del Codice, l’avvio di un nuovo procedimento, per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitando la Società a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice cit.; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981 cit.). In tale atto, l’Ufficio ha rilevato che, sulla base degli elementi in atti e delle relative valutazioni, la Società ha effettuato un trattamento di dati inesatti e, mediante la consegna di un reperto contenente l’indicazione di un soggetto diverso da quello al quale lo stesso si riferisce, ha effettuato una comunicazione di dati relativi alla salute di una paziente (XX) ad altra paziente (XX) in assenza di un idoneo presupposto giuridico e, quindi, in violazione dei principi di base del trattamento di cui agli artt. 5 e 9 del Regolamento, omettendo, altresì, di notificare la predetta violazione al Garante, ai sensi dell’art. 33 del Regolamento.

Con nota del 16 aprile 2021 (prot. n. 8770), la Società ha fatto pervenire i propri scritti difensivi, nei quali, oltre a quanto già indicato nella nota con la quale è stato fornito riscontro alla richiesta di informazioni dell’Autorità e dopo una sintetica ricostruzione dei fatti occorsi, ha rappresentato che:

- “a seguito di reclamo della paziente, sig.ra XX, che lamentava la presenza del reperto relativo al tratto lombare (All. 2) intestato alla sig.ra XX, il poliambulatorio identificava quanto accaduto (..) e, oltre ad offrire l’assistenza alla reclamante rassicurandola sulla correttezza del referto e delle immagini rappresentate nei reperti, verificava anche la sussistenza di una violazione di dati personali: in particolare, veniva stabilito essere avvenuta una divulgazione non autorizzata di dati personali contenuti nel reperto” relativo al tratto lombare, “a causa a) dell’errore del medico esecutore che aveva abbinato in maniera impropria i dati sulla salute della sig.ra XX (immagini del reperto densitometrico) con i dati anagrafici in intestazione della sig.ra XX e, anche, b) del mancato controllo del medico refertante in merito alla congruità dei dati del referto (…) e dei reperti (…)”:

- “ciò, dunque, ha determinato che la sig.ra XX sia impropriamente venuta a conoscenza dei seguenti dati personali della sig.ra XX (la cui omonimia nel cognome ha tratto in inganno il medico esecutore che non si è accorto della differenza nel nome proprio), ma di nessun dato relativo alla salute della sig.ra XX: cognome e nome; identificativo del paziente; data di nascita; genere; etnia generica; età della menopausa; altezza; peso; età registrata a sistema (…)”;

- “con riferimento all’età della menopausa si sottolinea come essa non possa essere annoverata tra i dati relativi alla salute, in quanto non aggiunge nessuna  informazione sullo stato di salute della sig.ra XX che non sia già desumibile dalla sola data di nascita, che è chiaramente un dato comune. Tale considerazione deriva dal fatto che la condizione patologica (e dunque relativa allo stato di salute) si ha con un’età menopausale precoce, inferiore a 47 anni. Diversamente, è del tutto normale che una donna di oltre 53 anni sia in menopausa. Pertanto, i dati sono sostanzialmente riconducibili ai dati anagrafici: Con riferimento al contenuto del campo indicato con “etnia”, sebbene possa essere frainteso, esso non rientra tra le categorie particolari in quanto generico e non specificamente riferito ad un’effettiva origine razziale”;

- “alcuni dati della sig.ra XX siano facilmente reperibili nel web in un sito di runner (..)” e “sulla base della ricerca sulla dislocazione geografica dei cognomi in Italia (…), sia plausibile che le sig.re XX e XX siano imparentate e si conoscano”;

- in relazione alla stima della gravità della violazione, la stessa è stata valutata bassa, “in quanto è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche, in questo caso dell’unica persona interessata (sig.ra XX), che non corre rischi specifici per la sua salute per altri suoi diritti fondamentali; il fatto che un terzo (sig.ra XX) sia venuto a conoscenza di alcuni suoi dati personali non comporta alcuna conseguenza dannosa, visto che i dati della sig.ra XX sono di facile reperibilità on line o sono ricavabili con una semplice deduzione (es. relativamente alla condizione di menopausa) (…). Alla sig.ra XX, inoltre è stato chiesto di non divulgare ulteriormente i dati della sig.ra XX e di distruggere il reperto errato a fronte della sostituzione con quello rettificato”;

- “non sono ravvisabili le violazioni contestate relative” alla “comunicazione di dati relativi alla salute di un paziente a soggetti diversi dal paziente stesso” e alla “mancata notificazione della violazione dei dati personali per la clausola di esclusione di cui al comma 1dell’art. 33 del RGPD”;

- “è invece incontestabile un primo trattamento inesatto di dati personali, successivamente e tempestivamente rettificato, nonché la comunicazione di dati personali (ma non appartenenti a categorie particolari) ad un soggetto diverso dell’interessato, in difetto di presupposto giuridico, essendosi trattato di un mero errore”;

-  nel caso in questione “non si può (...) affermare che sia stata consegnata documentazione sanitaria della sig.ra XX alla sig.ra XX, in quanto del tutto difforme dai fatti”;

- “l’attribuzione dell’intestazione (…) non esatta sul reperto allegato al referto, intestato alla paziente cui tutta la prestazione sanitaria era rivolta, è avvenuta per un errore materiale del primo sanitario esecutore dell’esame e per la mancata verifica del secondo sanitario durante la refertazione; tali situazioni, di carattere colposo, sono state prontamente contestate in data 05/10/2020 ai due professionisti (..), che hanno il dovere professionale di verificare la corrispondenza di tutta la documentazione da loro predisposta e sottoscritta con la persona a cui effettivamente si riferisce: applicando maggiore attenzione avrebbero potuto evitare e intercettare tempestivamente l’errore e correggerlo in corso di processo, prima che la documentazione venisse consegnata (e i dati in essa presenti comunicati)”.

Nell’ambito dell’audizione richiesta ai sensi dell’art. 166, comma 6, del Codice, e tenutasi in data 20 maggio 2021, la Società LARC ha ribadito che:

- “con riguardo ai dati contenuti nella documentazione sanitaria il cui trattamento è oggetto di segnalazione, soltanto l’intestazione del referto era riferita erroneamente alla sig.ra XX, avendo, invece, la sig.ra XX ricevuto correttamente il referto e le valutazioni mediche relative alla prestazione dalla stessa effettuata. L’errata intestazione, peraltro, riguarda soltanto il secondo allegato diagnostico e non tutto il resto della documentazione (che ricomprendeva altri due documenti). Nella predetta intestazione, inoltre, erano ricompresi solo i dati anagrafici comuni, tra i quali nome, cognome, data di nascita e genere; non vi erano, nella errata comunicazione, valutazioni mediche riferite alla sig.ra XX”;

- “la sig.ra XX, che ha segnalato la vicenda, non ha subito alcuna violazione della confidenzialità dei suoi dati personali e sulla salute”;

- “il data breach è stato valutato, ma il rischio per la sig.ra XX è stato considerato trascurabile e, pertanto, si è ritenuto che non fosse necessario effettuare la predetta comunicazione, ai sensi dell’art. 33 del Regolamento”;

- “la Società ha riesaminato le procedure già a suo tempo adottate per evitare il ripetersi di fatti simili e, in particolare, ha previsto controlli a campione a posteriori delle copie archiviate della documentazione sanitaria nonché una revisione delle procedure dei controlli preventivi, in tempo reale, e un aggiornamento formativo per tutto il personale per sensibilizzarlo in ordine al corretto abbinamento della documentazione sanitaria”;

- “i due medici coinvolti nella vicenda sono stati richiamati dalla Società per una maggiore attenzione nella composizione della documentazione”;

- “alla sig.ra XX è stato chiesto ripetutamente e per iscritto di non divulgare in alcun modo i dati della sig.ra XX, dei quali era entrata in possesso, ma la stessa non ha mai fornito riscontro sul punto e ha avanzato, invece, una richiesta risarcitoria di 3.500 euro”;

- “alla sig.ra XX è stato proposto di ripetere gratuitamente l’esame oggetto di contestazione, anche al fine di confermare la riferibilità del referto alla sua persona, ma ha rifiutato ritenendo che fosse venuto meno il rapporto fiduciario tra lei e la Società” (cfr. verbale di audizione del 20 maggio 2021).

Tenuto conto che la violazione descritta nel punto 1.2. ha riguardato il medesimo oggetto del procedimento avviato a seguito della notificazione relativa alla violazione di cui al punto 1.1., l’Ufficio ha disposto la riunione dei due procedimenti istruttori, ai sensi dell’art. 10, comma 4 del citato Regolamento n. 1/2019, concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante (nota del 30 agosto 2021, prot. n. 43710).

2.  Esito delle attività istruttorie

Preso atto di quanto rappresentato dalla Società nella documentazione in atti e nelle memorie difensive, si osserva che:

1. per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)”; per “dati relativi alla salute” “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, nn. 1 e 13 del Regolamento);

2. le informazioni sullo stato di salute possono essere comunicate solo all’interessato e possono essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico (art. 9 Regolamento e art. 84 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101);

3. il titolare del trattamento è tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di «esattezza», secondo il quale devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati e quello di «integrità e riservatezza», secondo il quale i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (art. 5, par. 1, lett. d) e f) del Regolamento).

3. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ gli elementi forniti dal titolare del trattamento nelle memorie difensive sopra richiamate, seppure meritevoli di considerazione, non sono idonee ad accogliere le richieste di archiviazione formulate nelle memorie difensive, non consentendo di superare, integralmente, i rilievi notificati dall’Ufficio con i richiamati atti di avvio dei procedimenti.

In particolare, in relazione alla segnalazione di cui al punto 1.1., la Società ha effettuato, mediante la consegna di un referto a persona diversa dall’interessato, una comunicazione di dati relativi alla salute in assenza di un idoneo presupposto giuridico.

Quanto al reclamo di cui al punto 2.2., si evidenzia che l’avvenuta prestazione di un servizio di assistenza sanitaria riferita ad una persona specificatamente indicata con i seguenti dati: cognome e nome; identificativo del paziente; data di nascita; genere; etnia generica; età della menopausa; altezza; peso; età registrata a sistema, costituisce un’informazione riconducibile alla nozione di dato sulla salute ai sensi dell’art. 4, par. 1, n. 15 del Regolamento e del Cons. n. 35.

Da ciò deriva che la Società, oltre a effettuare un trattamento di dati inesatti, ha posto in essere una comunicazione di dati relativi alla salute di una paziente (XX) ad altra paziente (XX) in assenza di un idoneo presupposto giuridico, mediante la consegna di un reperto contenente l’indicazione di un soggetto diverso da quello al quale lo stesso si riferisce. In relazione, invece, all’omessa notifica di violazione, si accoglie la motivazione in ordine all’esito della valutazione, effettuata dalla Società, ai sensi dell’art. 33, par. 1, del Regolamento, in quanto, considerata l’esiguità dei dati violati, che hanno riguardato una sola persona, il rischio che l’utilizzo di tali dati abbia comportato un danno per l’interessata può essere considerato relativamente basso.

Per tali ragioni si rileva l’illiceità dei trattamenti di dati personali effettuati, nelle due citate occasioni, dalla Società LARC, nei termini di cui in motivazione, per la violazione degli artt. 5, par. 1, lett. d) e f), e 9 del Regolamento.

In tale quadro, considerato, in ogni caso, che la condotta ha esaurito i suoi effetti e che sono state fornite idonee assicurazioni da parte del titolare del trattamento, che, al riguardo, ha implementato specifiche misure organizzative e tecniche per evitare il ripetersi delle condotte contestate, non ricorrono allo stato i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

4. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i) e 83 del Regolamento; art. 166, comma 7, del Codice). 

La violazione degli artt. 5, par. 1, lett. d) e f) e 9 del Regolamento causata dalle condotte poste in essere dalla Società è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 4, a) e par. 5, lett. a) del Regolamento (cfr. art. 21, comma 5, del d.lgs. n. 101/2018).

Si consideri che il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2, del Regolamento in relazione ai quali si osserva che:

- i trattamenti effettuati dalla Società oggetto del presente provvedimento riguardano dati idonei a rilevare informazioni sulla salute, in totale, di due interessati (art. 83, par. 2, lett. a) e g) del Regolamento);

- la condotta posta in essere dalla Società non presenta elementi di volontarietà nella determinazione degli eventi (art. 83, par. 2, lett. b) del Regolamento);

- la Società ha tempestivamente preso in carico la problematica emersa nelle due violazioni di dati personali, a cui è seguita l’individuazione di misure (art. 83, par. 2, lett. c) e d) del Regolamento);

- il titolare ha dimostrato un elevato grado di cooperazione (art. 83, par. 2, lett. f) del Regolamento);

- in un caso la violazione è stata determinata dall’omonimia dei cognomi degli interessati (art. 83, par. 2, lett. k) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, nella misura di euro 8.000 (ottomila) per la violazione degli artt. 5, par. 1, lett. d) e f), e 9 del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento e delle numerose violazioni aventi ad oggetto la medesima condotta, verificatesi in un ristretto arco temporale.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dalla Società LARC, per la violazione degli artt. 5, par. 1, lett. d) e f) e 9 del Regolamento.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, alla Società LARC, con sede legale in C.so Venezia 10 – 10155 Torino, P. IVA 02226050017, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 8.000 (ottomila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento, secondo le modalità indicate in allegato, entro 30 giorni dalla notifica in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

Alla predetta Società LARC, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 8.000,00 (ottomila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 28 ottobre 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei

 

Scheda

Doc-Web
9724881
Data
28/10/21

Argomenti

Dati sanitari Centri medici

Tipologie

Ordinanza ingiunzione o revoca

Vedi anche (8)