[doc. web n. 10185490]

Provvedimento del 25 settembre 2025

Registro dei provvedimenti
n. 533 del 25 settembre 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il Cons. Angelo Fanizza, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018 n. 101, recante disposizioni per l'adeguamento dell’ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTE le “Linee guida in materia di Dossier sanitario” adottate dal Garante il 4 giugno 2015 (Provvedimento pubblicato in G.U. 164 del 17 luglio 2015, doc. web n. 4084632,),

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n.9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n.1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. L’attività istruttoria

Con nota del XX la Sig. XX, che presta attività lavorativa, in qualità di XX, presso l’Arcispedale civile “Sant'Anna” di Ferrara afferente all’Azienda ospedaliero universitaria di Ferrara (di seguito Azienda), ha formulato un reclamo al Garante, lamentando una violazione della disciplina in materia di protezione dei dati personali derivante dall’accessibilità a terzi di suoi dati personali trattati attraverso il dossier sanitario aziendale.

In particolare, nel reclamo è stato rappresentato che il XX, l’interessata avvertendo un malore si recava al Pronto Soccorso Ginecologico dell'ospedale di Ferrara ove è anche dipendente. Nel corso dell’accesso è stato redatto un verbale in cui è refertato un aborto di una “prima gravidanza 5 settimane + 3 gg. Insorta dopo PMA, non ancora visite in gravidanza” (documentazione in atti). La ricorrente ha evidenziato che, sebbene di tale accesso non avesse informato nessuno dei suoi colleghi, il XX una collega le riferiva di essere venuta a conoscenza dell’aborto e che “della stessa gravidanza era circolata notizia dettagliata su un gruppo WhatsApp di lavoro, ove uno dei partecipanti è (…)” un “XX dello stesso ospedale” (…). ciò stante la ricorrente ha lamentato che “L'informazione poteva essere stata estrapolata esclusivamente dal sistema informatico dell'ospedale, atteso che: - in tale nosocomio i medici sono utilizzatori dell'applicativo denominato “SAP”, occorrente per richiedere esami ai pazienti ricoverati o per visualizzare tutti i referti degli esami già effettuati in precedenza (cartella clinica). Tale applicativo è strettamente medico ed ognuno di loro accede con un proprio username e password; - tuttavia in radiologia alcuni tecnici, e quindi non medici, utilizzano (in maniera impropria) il software in questione, accedendovi con un username e password generico della radiologia, che ad oggi non dovrebbe più esistere. Si ritiene innanzitutto anomalo ed in conflitto con la normativa vigente, il fatto che esista ancora un accesso generico di reparto a un sistema informatico di una AUSL che contiene innumerevoli dati personali. Proprio da tale falla deriva poi, in maniera inequivoca, la violazione dei dati personali da parte di terzi”.

A seguito del reclamo l’Ufficio ha chiesto elementi alla predetta Azienda con nota del XX (prot. n. XX), alla quale la stessa ha fornito riscontro con nota del XX, dichiarando, in particolare, che:

“i referti dei sistemi dipartimentali esterni (…) (Laboratorio, Radiologia, ecc..) vengono convogliati verso una unica area del modulo ISHMed denominata "Patient Organizer" (di seguito, PO) che, quindi, è il Dossier Sanitario propriamente inteso, che quindi è il Dossier disciplinato dalle Linee Guida (…)”;

“al fine di controllare che l’accesso al PO sia limitato al solo personale che interviene nel processo di cura del paziente, oltre alle indicazioni inserite nel “Disciplinare sull’utilizzo dei servizi informatici” deliberato in data (in allegato), tutte le abilitazioni al sistema SAP vengono richieste dai Direttori di Unità XX Operativa tramite comunicazione e-mail alla Direzione Medica. Dopo conferma della Direzione Medica, l’ICT procede alla profilazione sul sistema”;

“tutti i sistemi informatici aziendali, ivi compreso SAP, possono essere utilizzati solo dopo aver eseguito accesso ad una utenza di "dominio" aziendale”; “l’accesso al dominio aziendale, necessita di autorizzazione con "utenza" personale di dominio e password di dominio. L'accesso di dominio, se eseguito con successo, consente poi di fare accesso a SAP tramite accesso con utenza SAP e password SAP nominative”;

“al fine di poter mettere in campo l’adozione di idonee misure di sicurezza, si sono individuati diversi profili di autorizzazione e di livelli di autenticazione di accesso”;

“l’accesso al PO è limitato al personale sanitario che interviene nel processo di cura. Tale processo di cura deve essere posto in essere esclusivamente da parte dei soggetti operanti in ambito sanitario ma deve essere consentito l’accesso anche a tutto il personale che a vario titolo interviene nel processo di cura, come ad esempio quello operante nel reparto in cui è ricoverato il paziente, o che è stato coinvolto nella richiesta di una consulenza”;

“al fine di consentire e tracciare le motivazioni per cui personale non afferente direttamente alla UO ove il paziente è ricoverato esegue accesso al PO del paziente (ad esempio nel caso di una consulenza specialistica) sono tracciati a sistema tutti i nominativi del personale sanitario e la propria area di afferenza”;

“il PO, quindi, è raggiungibile, direttamente, dal personale sanitario che ha in cura il paziente (a prescindere dal fatto che in quel momento il paziente sia fisicamente in Azienda o meno), nonché dal personale che non ha in cura direttamente il paziente (che, quindi, non è in quel momento accettato direttamente presso la propria area di competenza: UO, Ambulatorio, ecc...), tramite inserimento di opportuna motivazione di accesso ad un paziente (salvo diverse autorizzazioni indicate dalla Direzione) che, come noto, costituisce una attestazione del pubblico ufficiale che, se non vera, oltre a generare responsabilità penale, può comportare l’avvio di un procedimento disciplinare”;

“i controlli sugli accessi al Dossier del singolo paziente (log) riepilogano principalmente per ogni paziente: utenza che ha eseguito accesso; orario/giornata di accesso; postazione pc da cui ha eseguito accesso; documenti del PO che sono stati acceduti”;

“sono stati adottati dei sistemi di audit per controllare eventuali comportamenti anomali che possano configurare trattamenti illeciti basati su: la numerosità di accesso ad un “paziente”; la numerosità di utenti che fanno accesso ad un paziente; il numero e tipologia di utenti che possono avere accesso al PO. Tali strumenti sono eseguibili ed eseguiti (come si dirà: periodicamente ma, allo stato, non sistematicamente) da personale esterno a personale diverso rispetto a quello cui è affidato il trattamento dei dati sanitari dei pazienti”;

“tali audit vengono eseguiti manualmente e periodicamente e danno la possibilità di incrociare le informazioni per costruire, anche su normali fogli excel, degli indicatori che possano aiutare a individuare ulteriori audit migliorativi”;

“al momento non sono previste esecuzioni automatiche di tali audit che verranno invece programmati nella “upgrade di release” del sistema prevista entro XX grazie ai fondi PNRR”;

“in passato, prima della pubblicazione delle Linee Guida sul Dossier Sanitario del Garante, per motivi organizzativi furono attivate una moltitudine di utenze generiche, necessarie per consentire l’organizzazione dei singoli reparti e delle singole UO dell’Azienda. In seguito alla designazione del DPO aziendale e, quindi, a sue indicazioni sulla necessità di eliminare tutte le utenze “generiche” con contestuale assegnazione di singole utenze nominative, si procedette in tal senso, censendole tutte e, appunto, eliminandole”;

“purtroppo ci si è resi conto solo in seguito al reclamo di cui in intestazione che era rimasta attiva una utenza "generica" della Radiologia che fu fornita per un utilizzo di servizio limitato e temporaneo durante il cambio/sostituzione del sistema RIS (per consentire la verifica dei dati storici del paziente durante il fermo del sistema della Radiologia e per consentire l’analisi dei dati di integrazione tra il sistema della Radiologia e il Sistema Ospedaliero al ripristino delle funzionalità). Purtroppo era sfuggita nei controlli periodici e negli audit di riferimento (“sembrava” un medico e la numerosità e la qualità degli accessi non destava un utilizzo “improprio”). Si assicura che, nei giorni immediatamente successivi la comunicazione del reclamo, appena resici conto dell’esistenza di tale utenza, la stessa è stata eliminata”;

“con l’occasione, tramite una analisi manuale qualitativa puntuale di tutte le utenze presenti (circa 1900), sono state individuate altre due utenze generiche, non necessarie ed eliminate”;

“per il resto, a fronte della richiesta del DPO aziendale in tal senso, si è proceduto ad un’analisi puntuale dell’accesso da parte di terzi al Dossier della paziente reclamante così che si aggiunge, in allegato, uno schema completo che riepiloga: tutti gli accessi eseguiti sul paziente dal XX; quale documento è stato consultato nel corso di ogni singolo accesso (in alcuni casi l'accesso al paziente non ha conseguito una apertura di nessun documento ma si segnala che con l’accesso è comunque consultabile l’elenco dei referti del paziente); la postazione PC da cui è stato eseguito accesso al Dossier; l'utenza di dominio che ha eseguito l'accesso al PC in quella postazione di lavoro (come richiesto dal DPO è stato verificato l’accesso da due postazioni in particolare)”;

“la progettualità inerente il Progetto PNRR prevede per il DEA Ospedale di Cona una serie di interventi sui principali sistemi informatici aziendali tra cui anche l’upgrade di release della attuale versione del sistema SAP”;

“tra le aree che potranno beneficiare particolarmente di tale aspetto vi sono anche quelle legate alla gestione dei Profili. Si punterà a dettagliare ulteriormente i profili di abilitazione in base alle singole attività che intervengono nel processo di cura del paziente. I profili delle varie professionalità, infatti, si stanno differenziando (specialmente nella area delle professioni sanitarie, nella area della ricerca e nella area didattica degli specializzandi) e stanno intervenendo sempre più a vario titolo nel processo di cura. La digitalizzazione ci impone che la maggior parte possibile di tali attività siano inserite e tracciate a sistema”;

“i profili di abilitazione dovranno avere quindi un dettaglio di autorizzazione di “generazione di documenti e /o processi” e “visualizzazione degli stessi” ancora più dettagliati rispetto all’attuale”.

Nell’ambito di un successivo supplemento istruttorio dell’Ufficio, la predetta Azienda, con nota del XX, ad integrazione degli elementi forniti con il precedente riscontro, ha dichiarato, in particolare, che

“Le informazioni agli interessati sono rese tramite informativa di primo livello, affissa nei locali di passaggio (sale di attesa dei CUP, di PS, di reparto e di ambulatorio), la quale informativa fa rinvio a quella di secondo livello presente nei siti istituzionali (…). Il consenso della paziente, in particolare, fu acquisito all’epoca del suo primo ingresso, in forma orale, da parte del sanitario, mediante flag del relativo campo del Patient Organiser di SAP (DSE). Non esiste, quindi, un “modello” di consenso informato, ma solo il “modello” dell’informativa, in quanto, appunto, il consenso fu acquisito mediante flag dell’apposito campo”;

− “Si conferma che gli accessi lamentati dalla reclamante sono stati effettuati dalla utenza generica già indicata (…) e che la stessa è stata eliminata [a seguito dell’istruttoria avviata dall’Ufficio]”;

− “l’accesso denominato (UtenteSAP) MEDICORAD è l’account generico poi disattivato, in quanto scoperto a causa dei fatti in questione, e relativamente al quale è stato identificato l’operatore che aveva avuto accesso al sistema. Tutti i righi dove l’Utente SAP è MEDIRAG riguardano, quindi, accessi da account generico. Diversamente, l’Utente SAP XX (Pronto Soccorso Ginecologi) è l’accesso della dott.ssa XX (profilo medici), che era il medico che aveva in cura l’interessata, e che ha fatto accesso per ragioni di cura della stessa”;

− “il servizio di XX utilizza SAP dal XX, ai fini dell'organizzazione delle visite mediche preventive e periodiche del personale esposto a fattori di rischio professionale (ex D.Lgs. 81/2008, e precedentemente ex D.Lgs. 626/1994)”;

− “Per quanto riguarda lo specifico quesito posto, si segnala che in data XX XX (allo stato non più in servizio) ha acceduto al Dossier (con cdc 961 del Servizio di XX) alle ore XX, per programmare (per il giorno XX) gli esami ematochimici della dipendente XX ciò in previsione delle visite mediche periodiche effettuate in data XX dal medico competente (XX) e in data XX dal medico autorizzato alla radioprotezione (XX)”;

− “l’accesso al Dossier del paziente è senz’altro consentito al sanitario che lo ha in cura e a quello che ha emesso il relativo referto, nonché a tutti i medici operanti presso l’U.O. che ha rilasciato il singolo referto”; “Gli altri sanitari (ovvero quelli che “non hanno in cura” il paziente) potranno accedere solo sulla base della motivazione da loro addotta (…). Qualora il medico scegliesse 'Altra motivazione' è obbligato a compilare un campo testuale scrivendo la motivazione specifica: Laddove non venga compilato il campo con la motivazione specifica compare un campo “errore” bloccante, tale da non permette di accedere al repository”;

− gli “audit vengono eseguiti manualmente e periodicamente (…) Per quanto in particolare riguarda l’anno precedente la presente attività istruttoria, dalla lettura dei file excel estratti non era emersa alcuna attività “sospetta”. Al momento non sono previste esecuzioni automatiche di tali audit che verranno invece programmati nella “upgrade di release” del sistema prevista entro XX grazie ai fondi PNRR”.

In relazione alle risultanze della predetta attività istruttoria, l’Ufficio, con nota del XX (prot. n. XX), ha notificato all’Azienda Ospedaliero Universitaria di Ferrara, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

In particolare, nella predetta nota l’Ufficio ha evidenziato che la configurazione del dossier sanitario effettuata dall’Azienda è stata posta in essere in violazione dei principi di base del trattamento di cui agli artt. 5, par. 1, lett. a), b), c) e f), 9, 25 e 32 del Regolamento e delle Linee guida in materia di Dossier sanitario del 4 giugno 2015 (Provvedimento del 4.6.2015, pubblicato in G.U. 164 del 17 luglio 2015, consultabile su www.gpdp.it doc. web n. 4084632). La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 4 e par. 5 del Regolamento.

Con nota del XX, l’Azienda ha inviato gli scritti difensivi, ribadendo quanto già rappresentato in atti ed evidenziando, in particolare, gli ambiti di accesso consentiti alle diverse tipologie di utenti che possono consultare il dossier aziendale (utenti medici, farmaceutici, infermieristici, amministrativi). Con specifico riferimento alle utenze ammnistrative è stato specificato che “Generalmente gli utenti amministrativi non hanno accesso al “Patient Organizer” ma alla base dati di SAP, che comprende tutti gli eventi, anche quelli eventualmente oscurati, ma sono limitati ad accedere: ai dati “di accettazione amministrativa del paziente” (ADT); alle reportistiche di visualizzazione “tipo portineria” per informazione di localizzazione dei pazienti dentro l’ospedale da fornire ai parenti in visita. Ad alcune utenze denominate “amministrative”, specificamente autorizzate dalla Direzione, è consentito avere accesso alla intera storia clinica dei pazienti e, quindi, a tutta la base dati aziendale compresa in SAP, ma non al Patient Organizer”. È stato inoltre evidenziato che “il sistema distingue diversi livelli di profilazione, ma è senz'altro vero che all'intero di ciascuno dei predetti profili non distingue diversi livelli di profondità. In realtà, tuttavia, non è prevista una differente profondità proprio perché gli appartenenti a ciascun profilo, alla luce della ragione per cui possono accedere, hanno tutti la necessità di accedere a tutti i documenti previsti per quel particolare profilo di autorizzazione (tant'è vero che, per gli infermieri che accedono per finalità differenti, sono state creati due profili di autorizzazione diversi che, di fatto, equivalgono allo stesso profilo professionale, ma con diversa profondità”.

L’Azienda ha inoltre rappresentato di aver creato un gruppo di lavoro al fine di limitare l’accesso al dossier da parte solo del personale che interviene nel percorso di cura individuando precise casistiche al riguardo. E’ stato poi indicato che è prevista l'attivazione di un nuovo Dossier  dal XX (c.d. Clinical Data Repository-CDR), con riferimento al quale “verranno nuovamente acquisiti tutti i consensi dei pazienti, uno per l'attivazione del Dossier e uno per il suo popolamento con i referti precedenti” e che, nel contesto del nuovo applicativo, il singolo medico curante verrà abilitato all’accesso ai dossier di tutti i pazienti (che abbiano prestato il consenso) e che in quel momento hanno in cura.

È stato inoltre evidenziato che il gruppo di lavoro, anche alla luce del parere del DPO, ha tuttavia sollevato la necessità che taluni accessi vengano consentiti anche ai medici curanti che, pur non avendo in cura il paziente, abbiano la necessità di accedervi per specifiche ma previamente individuate ragioni finalizzate alla cura del paziente, senza margini di discrezionalità (es. consulto).

L’Azienda ha inoltre ribadito di aver “accertato l’inesistenza di altre utenze generiche” oltre a quelle evidenziate a seguito dell’istruttoria dell’Ufficio già rimosse.

È stato inoltre evidenziato che il predetto gruppo di lavoro ha “convenuto sull'idea di censire i professionisti a cui consentire l'accesso al Dossier, rimuovendo coloro la cui necessità NON è ricollegata alle ragioni di cura”.

Su richiesta dell’Azienda, il XX si è svolta da remoto l’audizione, ai sensi dell’art. 166, commi 6 del Codice, nell’ambito della quale è stato precisato che il dossier sanitario aziendale utilizzato alla data dell’audizione era in fase di dismissione e che sarebbe stato sostituito dal nuovo dossier denominato CDR che sarebbe stato attivato a partire dal XX, anche se nessun utente potrà accedervi finché il gruppo di lavoro non avrà predisposto e adottato  le nuove procedure aziendali volte a disciplinare a livello Aziendale la profilazione degli accessi al dossier sanitario. Finché non saranno adottate le nuove procedure aziendali sarà attivo il Patient Organizer con le modalità correttive individuate dal predetto gruppo di lavoro e disposte dall’Azienda. Secondo quanto indicato dall’Azienda nel corso dell’audizione il nuovo CDR sarà verosimilmente operativo a partire dal mese di ottobre XX.

Ad integrazione di quanto rappresentato nel corso della predetta audizione, l’Azienda ha fatto pervenire ulteriori memorie con nota dell’XX, nell’ambito delle quali ha rappresentato che all’epoca dei fatti contestati al profilo utente medico veniva richiesta la motivazione di accesso al dossier solo se quest’ultimo non aveva in cura il paziente e che il  “profilo utenze infermieristiche che emettono ‘attestazione di avvenuta prestazione specialistica: Acced(eva)(ono) a tutte le tipologie di referti e di cartelle cliniche, previa selezione della motivazione di accesso (menu a tendina)” mentre il “ profilo utenze amministrative: Acced(eva)(ono) a tutte le tipologie di referti e di cartelle cliniche, previa selezione della motivazione di accesso (menu a tendina), ad esclusione dei referti prodotti dal Centro di diagnostica biomolecolare”.

È stato inoltre rappresentato che “le utenze amministrative sono state eliminate, così come le utenze dei medici legali (che non svolgono attività clinica) e dei medici del lavoro. L'eliminazione delle predette utenze è avvenuta, come da comunicazione del Direttore ICT, in data XX”, specificando che “le guardianìe non avevano (e non hanno) accesso al Patient Organizer nella sua totalità ma esclusivamente ai reparti di ricovero”.

L’Azienda ha poi specificato che per problemi tecnici l’implementazione del nuovo sistema informativo ospedaliero, prevista per il XX, è stata rinviata al XX e che è ancora in corso la predisposizione della “Procedura Interaziendale” relativa alla profilazione degli accessi al nuovo dossier sanitario denominato CDR.

L’Azienda ha inoltre rappresentato che, fino all'approvazione della citata procedura non verranno profilati utenti per l'accesso al nuovo dossier sanitario (CDR) che, pertanto, fino a quella data, sarà costituito esclusivamente dal Patient Organiser di SAP al quale, nell'emergenza, sono state apportate le modifiche di seguito riassunte: rimozione dal Patient Organizer di SAP della possibilità di accedere per “altra motivazione” e che pertanto le casistiche di accesso sono prevenzione, cura e riabilitazione, “critical review”, procedura trapianti e prelievi d’organo, farmacovigilanza); sostituzione della frase presente nel pop-up che viene sottoposto al personale che accede al Patient Organizer ai fini della scelta dell'opzione della motivazione dell'accesso in cui si richiamano le possibili conseguenze penali di un accesso illecito al dossier; soppressione a partire dal XX delle credenziali di accesso al Patient Organizer di SAP degli utenti  amministrativi di reparto, utenti medici del lavoro, utenti medici legali che svolgono attività di certificazione; predisposizione di una bozza della valutazione d'impatto del nuovo dossier sanitario (CDR).

Con nota del XX (prot. n. XX) l’Ufficio ha richiesto ulteriori informazioni all’Azienda con specifico riferimento all’accesso al dossier sanitario da parte del personale di guardiania e dell’utenza infermieristica che emette “l’attestazione di avvenuta prestazione specialistica”, per le motivazioni denominate “critical review” e “farmacovigilanza”, nonché in merito alle misure adottate per limitare l’accesso al dossier per il tempo strettamente necessario in cui si articola il percorso di cura.

Con nota del XX, l’Azienda ha riscontrato che il personale di guardiania “cercando per nome e cognome, vede esclusivamente informazioni necessarie a indicare "dove" il paziente è ricoverato (Nome Unità Operativa/Stanza numero/Letto numero)” e che l’utenza infermieristica che emette “l’attestazione di avvenuta prestazione specialistica”, “ha le medesime permission del Medico (….) e, quindi, può accedere a tutti i documenti clinici del paziente che ha in cura”.

Per quanto riguarda la modalità di accesso denominata “critical review” è stato rappresentato che si tratta di un “accesso finalizzato all'analisi di un caso clinico significativo per svariati motivi quali: rarità, formazione e miglioramento assistenziale di un percorso (es. analisi evento avverso avvenuto durante il ricovero) e per i quali l'Azienda ha valutato comunque sufficiente consentire l'accesso ai pazienti che hanno dato il consenso alla costituzione del Dossier Sanitario”.

Con riferimento alla modalità denominata “farmacovigilanza” è stato precisato che l’accesso è consentito al Responsabile della farmacovigilanza, di cui al dm 30 aprile 2015, e al personale dallo stesso delegato, che riceve le schede di segnalazione delle reazioni avverse ai farmaci deve “entro 7 gg dal ricevimento, di verificare la completezza e congruità dei dati inseriti dal segnalatore nella scheda, in cui sono presenti specifici campi (ad es. indicazione terapeutica, data inizio/fine ADR, data inizio/fine terapia, condizioni concomitanti /predisponenti, farmaci concomitanti, esito della reazione). Lo stesso art. 22, comma 5, specifica poi che il Responsabile di Farmacovigilanza deve provvedere alla ricerca attiva di informazioni sulle segnalazioni ove necessario, reperibili solo su Patient Organizer”. “A tale attività routinaria si aggiungono tutti i progetti di farmacovigilanza attiva regionali e nazionali (es.POEM, PAPEOS) ai quali l'Azienda aderisce e in cui l'obiettivo è proprio la ricerca attiva delle segnalazioni”.

In merito alla profondità temporale dell’accesso al dossier sanitario, l’Azienda ha specificato che il personale sanitario “non ha possibilità di visualizzare pazienti che non sono in carico al reparto in quel momento temporale (quindi non ha possibilità di visualizzare e, quindi, di selezionare pazienti che non sono ricoverati e/o, nella specialistica ambulatoriale, che non hanno visite prenotate)”.

2. Esito dell’attività istruttoria.

In base ai profili fattuali sopra evidenziati e alle affermazioni rese dall’Azienda nel corso dell’istruttoria svolta dall’Uffici, di cui il dichiarante risponde ai sensi dell’art. 168 Codice, si ritiene di confermare le violazioni rilevate nell’atto di contestazione per le ragioni di seguito esposte.

2.1. Il quadro giuridico di riferimento

In via preliminare, si rappresenta che il trattamento di dati personali deve avvenire nel rispetto della normativa applicabile in materia di protezione dei dati personali e, in particolare, delle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, il “Regolamento”) e del d.lgs. n. 196 del 30 giugno 2003 (Codice in materia di protezione dei dati personali – di seguito, il “Codice”).

Con particolare riferimento alla questione in esame, si evidenzia che i dati personali devono essere “trattati in modo lecito corretto e trasparente” (principio di “liceità, correttezza e trasparenza” e “in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti (principio di “integrità e riservatezza”)” (art. 5, par. 1, lett. a) e f) del Regolamento).

I dati inoltre devono essere raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità e comunque, “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (principi della limitazione della finalità e di minimizzazione dei dati - art. 5, par. 1, lett. b) e c) del Regolamento).

Gli stessi dati devono essere, altresì, trattati nel rispetto del principio di protezione dei dati fin dalla progettazione e per impostazione predefinita secondo il quale, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso, il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate, volte ad attuare in modo efficace i principi di protezione dei dati e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del Regolamento e tutelare i diritti degli interessati; il titolare è tenuto, altresì, a mettere in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità (art. 25 del Regolamento).

Il Regolamento prevede poi che il titolare del trattamento metta in atto “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”, tenendo conto, tra l’altro, “della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” (art. 32 del Regolamento).

Con riferimento ai trattamenti in esame, il Garante ha adottato le “Linee guida in materia di Dossier sanitario - 4 giugno 2015” (Provvedimento del 4.6.2015, pubblicato in G.U. 164 del 17 luglio 2015, consultabile su www.gpdp.it doc web n. 4084632), nelle quali sono state individuate un primo quadro di cautele, al fine di delineare specifiche garanzie e responsabilità, nonché misure e accorgimenti necessari ed opportuni da porre a garanzia dei cittadini, in relazione ai trattamenti di dati sanitari che li riguardano, che, al pari degli altri provvedimenti dell’Autorità, continuano ad applicarsi anche dopo la piena applicazione del Regolamento, in quanto compatibili con lo stesso (art. 22, comma 4, d.lgs n. 101/2018).

Nelle richiamate linee guida del 2015, il Garante ha specificato che il dossier sanitario, costituendo l’insieme dei dati personali generati da eventi clinici presenti e trascorsi riguardanti l’interessato, costituisce un trattamento di dati personali specifico e ulteriore rispetto a quello effettuato dal professionista sanitario con le informazioni acquisite in occasione della cura del singolo evento clinico. Come tale, quindi, si configura come un trattamento facoltativo.

Nelle suddette Linee guida il Garante, al fine di scongiurare il rischio di un accesso alle informazioni trattate mediante il dossier sanitario da parte di soggetti non autorizzati o di comunicazione a terzi di dati sanitari da parte di soggetti a ciò abilitati, ha specificamente chiesto al titolare del trattamento di porre particolare attenzione nell’individuazione dei profili di autorizzazione e nella formazione dei soggetti abilitati, dovendo essere limitato l’accesso al dossier al solo personale sanitario che interviene nel processo di cura del paziente ed essere adottate modalità tecniche di autenticazione al dossier che rispecchino le casistiche di accesso a tale strumento proprie di ciascuna struttura sanitaria.

Al fine di scongiurare il rischio di un accesso a tali informazioni da parte di soggetti non autorizzati o di comunicazione a terzi delle stesse da parte di soggetti a ciò abilitati, è necessario, pertanto, che il titolare ponga una particolare attenzione nell’individuazione dei profili di autorizzazione e nella formazione dei soggetti abilitati.

A tal fine, nelle predette Linee guida, il Garante ha indicato ai titolari del trattamento di effettuare un monitoraggio delle ipotesi in cui il relativo personale sanitario può avere necessità di consultare il dossier sanitario, per finalità di cura dell’interessato e, in base a tale ricognizione, individuare i diversi profili di autorizzazione all’accesso.

L’accesso al dossier deve essere, pertanto, limitato al solo personale sanitario che interviene nel tempo nel processo di cura del paziente con esclusione di periti, compagnie di assicurazione, datori di lavoro, associazioni o organizzazioni scientifiche, organismi amministrativi anche operanti in ambito sanitario, nonché del personale medico nell’esercizio di attività medico-legale (ad es., visite per l’accertamento dell’idoneità lavorativa o per il rilascio di certificazioni necessarie al conferimento di permessi o abilitazioni) (cfr., punto 6). Il Garante ha infatti più volte evidenziato che, attesa la natura facoltativa del dossier e l’incompletezza informativa di tale strumento (cfr. diritto di oscuramento), lo stesso non può essere utilizzato per finalità riconducibili alla gestione di esigenze organizzative e amministrative del titolare anche nell’ipotesi in cui, come nel caso di specie, lo stesso assuma sia la veste di datore di lavoro che di autorità sanitaria che ha in cura l’interessata (cfr. Provvedimento del 26 maggio 2022, doc. web n. 9791909 e provvedimento del 12 ottobre 2023, doc. web n. 9954220).

In via generale, infatti, il datore di lavoro può trattare i dati personali dei lavoratori (art. 4, n. 1, del Regolamento), anche relativi a “categorie particolari”, nella gestione del rapporto di lavoro, se il trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” (artt. 6, par. 1, lett. c), 9, parr. 2, lett. b) e 4; 88 del Regolamento) oppure quando sia “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, parr. 1, lett. e), 2 e 3, e art. 9, par. 2, lett. g), del Regolamento; artt. 2-ter e 2- sexies del Codice, nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139). Più nello specifico, il trattamento dei dati relativi alla salute dei dipendenti può essere legittimamente posto in essere solo quando sia “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (art. 9, parr. 2, lett. b), e 4, del Regolamento; v. pure, art. 88, del Regolamento e cons. 51-53; cfr., anche Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1, del d.lgs 10 agosto 2018, n. 101, doc. web n. 9124510).

Analogamente, considerata la facoltatività del dossier e la sua potenziale incompletezza dovuta alla facoltà di oscuramento, il dossier non può essere utilizzato per assolvere a specifici obblighi normativi (farmacovigilanza), con riferimento ai quali il titolare deve assicurare, nel rispetto dei principio di liceità del trattamento, l’accesso ad una base informativa completa.

Nelle predette Linee guida, il Garante ha ritenuto che “il titolare del trattamento deve mettere in opera sistemi per il controllo degli accessi anche al database e per il rilevamento di eventuali anomalie che possano configurare trattamenti illeciti, attraverso l’utilizzo di indicatori di anomalie (c.d. alert) utili per orientare successivi interventi di audit. Il titolare deve prefigurare, quindi, l’attivazione di specifici alert che individuino comportamenti anomali o a rischio relativi alle operazioni eseguite dagli incaricati del trattamento (es. relativi al numero degli accessi eseguiti, alla tipologia o all’ambito temporale degli stessi)” (punto 7, lett. b).

Si evidenzia, inoltre, che nelle predette Linee guida il Garante ha ricordato che è compito del titolare del trattamento non solo individuare i soggetti che hanno diritto ad accedere ai dossier sanitari aziendali perché intervengono nel processo di cura dei pazienti, ma anche quello di individuare la c.d. “profondità dell’accesso”. Il titolare deve valutare, infatti, in relazione ai diversi profili di autenticazione al dossier, se sia indispensabile che siano in concreto accessibili tutti i dati presenti nello stesso o solo una parte di essi. Ciò appare maggiormente evidente nelle ipotesi in cui sia consentito l’accesso al dossier a parte del personale che svolge funzioni amministrative correlate alla cura dell’interessato.

Il personale operante all’interno della struttura sanitaria in cui viene utilizzato il dossier può, pertanto, in qualità di soggetto autorizzato al trattamento, consultare solo le informazioni indispensabili per assolvere alle funzioni cui è preposto.

2.2. Le violazioni accertate dall’Autorità

Alla luce di quanto emerso negli atti istruttori, si rileva che l’Azienda: utilizzava utenze generiche per l’accesso ai dossier sanitari dei pazienti; consentiva ad utenti  amministrativi di reparto, utenti medici del lavoro, utenti medici legali che svolgono attività di certificazione di accedere al dossier; consentiva agli utenti medici di accedere al dossier di pazienti non in cura motivando l’accesso con un la generica indicazione di “altra motivazione” e che “le guardianìe non avevano (e non hanno) accesso al Patient Organizer nella sua totalità ma esclusivamente ai reparti di ricovero”.

Su tali aspetti si osserva che:

2.2.1 Profili di autorizzazione per l’accesso al dossier

La configurazione del dossier sanitario effettuata dall’Azienda consentiva, all’epoca dei fatti in esame, al personale sanitario di accedere a tale strumento informativo relativo a qualunque paziente fosse assistito dalla stessa, anche se in quel momento non presente nella struttura ospedaliera, dichiarando la sussistenza di una pluralità di casistiche predefinite, aventi anche diciture generiche come “altre motivazioni”.

Sulla base dei principi generali del trattamento (artt. 5, par. 1, lett. a), b), c) e f), 9 e 32 del Regolamento, nonché i principi di protezione dei dati fin dalla progettazione (privacy by design) e per impostazione predefinita (privacy by default) contemplati all’art. 25 del Regolamento e di quanto indicato nelle citate Linee guida, l’accesso al dossier deve essere limitato al solo personale sanitario che effettivamente interviene nel processo di cura del paziente e devono essere adottate modalità tecniche di autenticazione al dossier che rispecchino le casistiche di accesso a tale strumento proprie di ciascuna struttura sanitaria, che non risultano invece essere state adottate dall’Azienda. La circostanza di prestare servizio in una delle molte articolazioni funzionali della stessa non deve essere infatti considerata una condizione sufficiente per consentire l’accesso ai dossier sanitari di tutti i pazienti presenti a vario titolo, nelle diverse strutture sanitarie aziendali o non presenti ma che siano stati in passato assistiti dall’Azienda. L’accesso deve essere infatti consentito solo al personale che, sulla base delle prestazioni erogate e dei percorsi clinici attivati, può effettivamente essere coinvolto nel percorso di cura del paziente, ferma restando la possibilità per lo stesso di accedere a dossier sanitari per i quali non è stato di default abilitato l’accesso, al ricorre di specifici eventi (es. consulto) dichiarati dallo stesso professionista sanitario all’atto dell’accesso al sistema informatico del dossier.

Da quanto rappresentato in atti all’epoca dei fatti in esame l’Azienda non aveva adottato alcuna misura tecnica e organizzativa volta a limitare l’accesso al dossier per il tempo strettamente necessario a quello in cui si articolava il processo di cura.

Dalla documentazione acquisita agli atti risulta anche che l’accesso al dossier sanitario aziendale era possibile persino attraverso alcune utenze generiche, da una delle quali è stato effettuato l’accesso al dossier della reclamante (ad es. “(UtenteSAP) MEDICORAD” attiva presso il reparto di radiologia).

Tenuto conto della natura, dell’oggetto, del contesto e delle finalità del trattamento, che comporta l’acquisizione e la gestione di dati sulla salute, si ritiene che le predette modalità di accesso al sistema informatico non risultino adeguate sotto il profilo della sicurezza. L’utilizzo di utenze non nominali, da parte di più soggetti, impedisce, infatti, di attribuire le azioni compiute in un sistema informatico a un determinato soggetto, con pregiudizio, anche per il titolare che è di fatto privato della possibilità di controllare l’operato dei soggetti che agiscono sotto la propria autorità (art. 29 del Regolamento e 2-quaterdecies del Codice).

Inoltre, allorquando un’utenza non nominale, come quella in questione, venga utilizzata da più soggetti, possono determinarsi situazioni, come quella oggetto del reclamo, in cui non c’è coerenza tra i profili di autorizzazione che dovrebbero essere loro attribuiti e le effettive esigenze di operatività, favorendo accessi illeciti, come nel caso di specie e rendendo così possibile a un soggetto non autorizzato di operare in assenza di una specifica volontà del titolare.

Tenuto conto che l’Azienda ha riconosciuto che fino al 2018/2019 erano in uso numerose utenze generiche, si rappresenta che l’utilizzo di “credenziali di autenticazione in uso esclusivo dei soggetti che operano sotto la sua autorità (titolare) o quella del responsabile del trattamento” nel regime normativo previgente era già espressamente prevista quale misura minima di sicurezza alla cui adozione erano tenuti tutti i titolari di trattamento (ai sensi del disciplinare tecnico di cui all’allegato B al Codice, nel testo anteriore alle modifiche di cui al d.lgs. n. 101/2018), la cui violazione comportava anche l’applicazione di una sanzione penale (cfr. art. 169 del Codice, nel testo anteriore alle modifiche di cui al d.lgs. n. 101/2018).

Con riferimento ai predetti profili, l’Azienda ha rappresentato di aver implementato misure correttive che hanno previsto l’eliminazione le utenze generiche, la riduzione delle casistiche di accesso al dossier per il personale sanitario che non ha in cura il paziente, in attesa dell’individuazione di procedure di maggiore dettaglio in merito ai profili di accesso che saranno adottate con il nuovo dossier sanitario aziendale denominato CDR che sarà utilizzato dal personale autorizzato e previamente formato, verosimilmente ad XX a valle della approvazione di una specifica procedura aziendale.

Gli elementi sopra descritti hanno reso possibile l’accesso da parte di personale sanitario al dossier di interessati che non erano in cura presso gli stessi, in assenza, quindi, di un idoneo presupposto giuridico e quindi in violazione degli artt. 5, par. 1, lett. a) e f), 9 e 32 del Regolamento, nonché dei principi di protezione dei dati fin dalla progettazione (privacy by design) e per impostazione predefinita (privacy by default) contemplati all’art. 25 del Regolamento.

2.2.2. Accesso per finalità diverse da quelle di cura.

La configurazione del dossier sanitario effettuato dall’Azienda ha consentito l’accesso al dossier anche per finalità diverse da quelle di cura ovvero: da parte del servizio di XX “ai fini dell'organizzazione delle visite mediche preventive e periodiche del personale esposto a fattori di rischio professionale (ex D.Lgs. 81/2008, e precedentemente ex D.Lgs. 626/1994)”; da parte del personale delle Guardianie (sebbene a un novero ridotto di informazioni); dal personale con profilo amministrativo, da utenze infermieristiche che emettono l‘attestazione di avvenuta prestazione specialistica e dai medici del lavoro.

L’utilizzo del dossier anche per tali finalità viola il principio di limitazione della finalità secondo cui il dossier sanitario può essere utilizzato solo dal personale sanitario che ha in cura l’interessato, essendo inteso come strumento per agevolare il percorso di cura di quest’ultimo, e non invece per le richiamate esigenze organizzative e amministrative -illustrate in atti- perseguibili con i tipici strumenti che il datore di lavoro possiede per la gestione del personale e nel rispetto dei limiti previsti dalla disciplina di settore sopra richiamata.

Tra l’altro la facoltatività del dossier sanitario e l’incompletezza informativa, dettata dalla possibilità che l’interessato possa esercitare il diritto di oscuramento su alcune delle informazioni raccolte attraverso il dossier, rendono tale strumento un mezzo non adeguato per svolgere in modo efficace le attività organizzative e amministrative che l’Azienda può compiere nel rispetto dello specifico e diverso quadro normativo di settore.

Tale utilizzo del dossier sanitario della reclamante ha comportato, come sopra evidenziato, un trattamento illecito di dati in quanto lo stesso è stato effettuato per finalità diverse da quelle di cura perseguibili attraverso tale strumento sanitario, nonché da parte di soggetti che non erano coinvolti nel percorso di cura della reclamante stessa e quindi in violazione dei principi di liceità e limitazione delle finalità (art. 5, par. 1, lett. a) e b) del Regolamento).

Oltre che in violazione del principio di liceità e di limitazione della finalità, tali trattamenti sono avvenuti anche in violazione del principio di minimizzazione dei dati in quanto, ai sensi del quadro normativo di settore, il servizio di XX non dovrebbe poter accedere attraverso il dossier sanitario alla documentazione sanitaria dei dipendenti nel perseguimento di tali specifiche e distinte finalità relativa a prestazioni agli stessi erogate in qualità di assistiti e non di lavoratori (art. 5, par. 1, lett. a) e c) del Regolamento).

Con riferimento al “profilo utenze infermieristiche che emettono l‘attestazione di avvenuta prestazione specialistica”, l’Azienda ha confermato che con tali utenze è possibile accedere “a tutte le tipologie di referti e di cartelle cliniche”; ciò si pone in contrasto con i principi di minimizzazione dei dati e di limitazione della finalità secondo cui a tale profilo di utenza dovrebbe essere consentito di accedere al solo elenco di prestazioni con riferimento alle quali sono autorizzati a rilasciare le relative attestazioni, senza poter vedere i singoli referti delle prestazioni erogate. Come sopra ricordato spetta infatti al titolare determinare la c.d. “profondità dell’accesso”, valutando, in relazione ai diversi profili di autenticazione al dossier, i dati la cui conoscenza sia indispensabile per assolvere ai compiti lecitamente attribuiti.

Analogamente, si rileva che non risulta conforme alla disciplina di settore sopra evidenziata neanche la modalità di accesso al dossier sanitario denominata “farmacovigilanza”, in quanto la normativa richiamata da codesta Azienda (DM 30 aprile 2015) non prevede -come invece sostenuto dalla stessa- che il responsabile della farmacovigilanza debba accedere al dossier sanitario, bensì che i responsabili della farmacovigilanza verifichino la completezza e la congruità dei dati (art. 22, comma 5). Pertanto, la specifica normativa di settore -richiamata anche dall’Azienda- impone al titolare del trattamento di garantire al responsabile della farmacovigilanza di accedere ad una base dati completa, e quindi diversa dal dossier sanitario, proprio per assolvere ai compiti di verifica della completezza e della congruità dei dati.

Nessuna disposizione in materia di farmacovigilanza ha dunque previsto la possibilità di conoscere tali informazioni attraverso il dossier sanitario che, come già evidenziato, è uno strumento informativo facoltativo e per sua natura incompleto che può essere utilizzato esclusivamente per finalità di cura dell’interessato.

Tutto ciò premesso, in relazione agli elementi sopra evidenziati si rileva che l’Azienda, sia con riferimento ai fatti accertati nel corso dell’istruttoria sopra descritta, che anche allo stato attuate, non ha adottato, come richiesto dalle richiamate Linee guida del Garante, misure che limitino l’accesso al dossier al solo personale sanitario che ha in cura l’interessato, ciò, in violazione dei principi di base del trattamento di cui agli artt. 5, par. 1, lett. a), b) c) e f), 9 e 32 del Regolamento, nonché dei principi di protezione dei dati fin dalla progettazione (privacy by design) e per impostazione predefinita (privacy by default) contemplati all’art. 25 del Regolamento.

3. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive e nelle successive note integrative, relative al richiamato procedimento non consentono di superare i rilievi notificati dall’Ufficio con gli atti di avvio del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni si rileva l’illiceità del trattamento di dati personali effettuato dall’Azienda Ospedaliero Universitaria di Ferrara con riferimento al procedimento avviato a seguito degli accertamenti ispettivi e della notifica di violazione, nei termini di cui in motivazione, in particolare, per aver trattato dati personali attraverso il dossier sanitario in violazione dei principi di base del trattamento di cui agli artt. 5, par. 1, lett. a), b), c) e f), 9, 25 e 32 del Regolamento e delle Linee guida in materia di Dossier sanitario del 4 giugno 2015” (cit.).  

4. Misure correttive

L’art. 58, par. 2, del Regolamento prevede in capo al Garante una serie di poteri correttivi, di natura prescrittiva e sanzionatoria, da esercitare nel caso in cui venga accertato un trattamento illecito di dati personali.

Tra questi poteri, l’art. 58, par. 2, lett. d) del Regolamento, prevede il potere di “ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine”.

Alla luce delle valutazioni sopra richiamate, tenuto conto che l’Azienda ha posto in essere misure correttive temporanee e parziali in attesa che verrà reso operativo il nuovo dossier sanitario denominato CDR e predisposta una specifica procedure volta a disciplinare gli accessi al predetto dossier con riferimento al trattamento dei dati personali, si ritiene di dover ingiungere all’Azienda, ai sensi del richiamato art. 58, par. 2, lett. d) del Regolamento, di:

1. eliminare l’accesso al dossier sanitario con la modalità denominata “farmacovigilanza”, consentendo ai profili indicati dalla specifica normativa di settore di accedere, nel rispetto del principio di liceità del trattamento, ad una base dati completa;

2. limitare l’accesso al “profilo utenze infermieristiche che emettono attestazione di avvenuta prestazione specialistica” al solo elenco di prestazioni con riferimento alle quali sono autorizzati a rilasciare le previste attestazioni;

3. far pervenire, entro 90 giorni dalla notifica del presente provvedimento, idonea documentazione volta a illustrare le misure adottate per adempiere a quanto sopra ingiunto nei precedenti punti 1 e 2 e a quelle poste in essere nell’ambito della adottanda procedura aziendale per disciplinare il trattamento dei dati attraverso il nuovo dossier sanitario aziendale ed in particolare l’accesso allo stesso da parte del personale sanitario dell’Azienda.

4. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione dei principi di base del trattamento di cui agli artt. 5, par. 1, lett. a), b), c) e f), 9, 25 e 32 del Regolamento e delle Linee guida in materia di Dossier sanitario del 4 giugno 2015 (cit.) causata dalla condotta dell’Azienda Ospedaliero Universitaria di Ferrara è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 4 e 5, del Regolamento.

Si consideri che il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Ritenuto di dover applicare il par. 3 dell’art. 83 del Regolamento laddove prevede che “se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente Regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

Alla luce di quanto sopra illustrato e, in particolare, della categoria di dati personali interessata dalla violazione che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, trattandosi di dati sulla salute, del numero dei soggetti interessati (175.582  pazienti) i cui dati sono stati trattati tramite il dossier sanitario in violazione delle disposizioni sopra richiamate, della durata della violazione (dal 2011-2012), si ritiene che il livello di gravità della violazione commessa dall’Azienda sia medio (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023, punto 60).

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nella fattispecie in esame, sono state tenute in considerazione le circostanze sotto riportate:

- le misure tempestivamente implementate dall’Azienda, seppure in via temporanea e parziale, per conformare il trattamento dei dati personali dei pazienti effettuato attraverso il dossier sanitario al quadro normativo vigente anche al fine di tutelare i diritti e le liberta degli interessati (art. 83, par. 2, lett. c) del Regolamento, in vista dell’adozione di ulteriori e più robuste misure che verranno implementare nel nuovo dossier sanitario aziendale (CDR) e declinate in una specifica procedura aziendale volta proprio a disciplinare il trattamento dei dati attraverso il CDR;

- il Garante ha preso conoscenza delle violazioni a seguito di un reclamo (art. 83, par. 2, lett. h del Regolamento);

- l’Azienda non è destinataria di precedenti provvedimenti prescrittivi o sanzionatori relativamente allo stesso oggetto ed ha collaborato nel corso dell’attività istruttoria che l’ha vista coinvolta (art. 83, par. 2, lett. e) e f) del Regolamento);

- la circostanza che numerose violazioni accertate erano state oggetto di altri interventi sanzionatori e correttivi da parte dell’Autorità nell’ultimo decennio (art. 83, par. 2, lett. k del Regolamento).

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di determinare l’ammontare della sanzione amministrativa pecuniaria da applicare nei confronti della Azienda, ai sensi dell’art. 83, par. 5 del Regolamento nella misura di euro 20.000,00 (ventimila/00).

In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante. Ciò in considerazione della gravità della condotta contestata che coinvolge la disciplina sulla protezione dei dati personali di un numero elevato di interessati, della tipologia di dati personali oggetto di illecito trattamento e della circostanza che tali trattamenti sono stati oggetto di uno specifico provvedimento generale adottato dal Garante fin dal 2015.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato, descritti, dall’Azienda Ospedaliero Universitaria di Ferrara per la violazione dei principi di base del trattamento di cui agli artt. 5, par. 1, lett. a), b), c) e f), 9, 25 e 32 del Regolamento e delle Linee guida in materia di Dossier sanitario del 4 giugno 2015” (Provvedimento del 4.6.2015, pubblicato in G.U. 164 del 17 luglio 2015, consultabile su www.gpdp.it doc. web n. 4084632).

ORDINA

- ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, all’Azienda Ospedaliero Universitaria di Ferrara, con sede legale in Via Aldo Moro, 8 - 44124 Cona, Ferrara (Partita IVA 01295950388), di pagare la somma di euro 20.000,00 (ventimila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

- ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, di:

1. eliminare l’accesso al dossier sanitario con la modalità denominata “farmacovigilanza”, consentendo ai profili indicati dalla specifica normativa di settore di accedere, nel rispetto del principio di liceità del trattamento, ad una base dati completa;

2. limitare l’accesso al “profilo utenze infermieristiche che emettono attestazione di avvenuta prestazione specialistica” al solo elenco di prestazioni con riferimento alle quali sono autorizzati a rilasciare le previste attestazioni;

3. far pervenire, entro 90 giorni dalla notifica del presente provvedimento, idonea documentazione volta a illustrare le misure adottate per adempiere a quanto sopra ingiunto nei precedenti punti 1 e 2 e a quelle poste in essere nell’ambito della adottanda procedura aziendale per disciplinare il trattamento dei dati attraverso il nuovo dossier sanitario aziendale ed in particolare l’accesso allo stesso da parte del personale sanitario dell’Azienda

INGIUNGE

alla predetta Azienda, di pagare la predetta somma di euro 20.000,00 (ventimila/00), secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall'art. 27 della legge n. 689/1981. Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento -sempre secondo le modalità indicate in allegato- di un importo pari alla metà della sanzione irrogata entro il termine di cui all'art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.

DISPONE

- ai sensi dell’art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;

- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 25 settembre 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Fanizza