Diritti interna

Doveri interna

ricerca avanzata

Pubblicazione sul sito web di una azienda USL di dati idonei a rivelare lo stato di salute - 10 marzo 2016 [4916900]

VEDI ANCHE: Pubblicazione sul sito web di una azienda USL di dati idonei a rivelare lo stato di salute - 6 luglio 2016

 

[doc. web n. 4916900]

Pubblicazione sul sito web di una azienda USL di dati idonei a rivelare lo stato di salute - 10 marzo 2016

Registro dei provvedimenti
n. 106 del 10 marzo 2016

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d. lgs. 30 giugno 2003, n. 196, di seguito "Codice");

VISTA la segnalazione in atti inoltrata a questa Autorità con la quale è stata comunicata la pubblicazione all´url http://... di un documento contenente dati personali, anche di neonati e bambini piccoli, relativi al rimborso di medicinali costosi;

RILEVATO, da un accertamento preliminare effettuato dall´Ufficio in data 4 marzo 2016, che al predetto url è presente una pagina web – dell´area QQ dell´Azienda Usl Toscana Nord Ovest – dedicata alla pubblicazione del Decreto dell´Azienda unità sanitaria locale area vasta Nord Ovest, n. ZZ del KK proposto dal Servizio WW Zona Distretto Livornese, avente a oggetto «XX»;

RILEVATO, nel corso del medesimo accertamento preliminare che in tale pagina, nella parte dedicata agli allegati al predetto decreto, sono presenti due collegamenti ipertestuali denominati «YY)» e «HH», dai quali sono liberamente scaricabili:

- il testo del citato decreto dell´Azienda USL Toscana Nord Ovest-Zona distretto Livornese n. ZZ del KK che contiene le iniziali dei nomi dei soggetti interessati e sostituisce con degli omissis altri dati personali (http://...);

- il documento intitolato «allegato dati privacy» al predetto decreto (atto proposta n. KW del XY) in cui sono esplicitati i nominativi dei soggetti interessati riportati nel predetto testo con le sole iniziali indicando, inoltre, la data e il luogo di nascita, l´indirizzo e il luogo di residenza (http://...);

CONSIDERATO che nella parte motiva del citato decreto n. ZZ del KK dell´Azienda USL Toscana Nord Ovest-Zona distretto Livornese è contenuto l´elenco dei soggetti che hanno inoltrato la richiesta di rimborso per l´acquisto di farmaci e/o di contributi economici previsti dalla Delibera di Giunta della Regione Toscana n. 493 del 17/5/2001;

CONSIDERATO, altresì, che la citata Delibera di Giunta della Regione Toscana n. 493/2001 riguarda le «Direttive alle Aziende UU.SS.LL. per interventi assistenziali a favore di pazienti affetti da particolari patologie» e in particolare «per la realizzazione di un percorso assistenziale con iniziative anche a carattere sperimentale da inserire negli atti di programmazione attuativa aziendale, nei settori di gravi patologie con particolari specificità e rarità», che prevedono l´erogazione di contributi «su specifica richiesta dei pazienti affetti da particolari patologie che, malgrado, l´assistenza fornita dal SSN, incorrono in rilevanti spese per ulteriori livelli di assistenza, anche di natura farmacologica»;

CONSIDERATO che il decreto dell´Azienda USL Toscana Nord Ovest-Zona distretto Livornese n. ZZ pubblicato online contiene una tabella che – come si desume dallo stesso decreto – «per motivi di privacy» non riporta il nominativo dei pazienti assistiti, ma solo le iniziali del relativo nome e cognome, sostituendo con degli omissis altri dati personali.

RILEVATO, tuttavia, che contestualmente l´allegato, anch´esso pubblicato online, allo stesso predetto decreto dell´Azienda USL Toscana Nord Ovest-Zona distretto Livornese n. ZZ riporta, invece, in chiaro tutti i dati personali dei pazienti assistiti e precisamente: il nome e cognome, le relative iniziali, la data e il luogo di nascita, l´indirizzo e il luogo di residenza;

CONSIDERATO che per dato personale si intende «qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale» (art. 4, comma 1, lett. b, del Codice);

CONSIDERATO che per diffusione di dati personali si intende «il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione» (art. 4, comma 1, lett. m, del Codice);

CONSIDERATO che nel trattamento effettuato da soggetti pubblici i «dati idonei a rivelare lo stato di salute non possono essere diffusi» (art. 22, comma 8, del Codice, nonché art. 65, comma 5 e art. 68, comma 3, del Codice) e che i dati utilizzati non possono essere eccedenti rispetto alle finalità perseguite (art. 11, comma 1, lett. d, del Codice);

CONSIDERATO che, in proposito, anche il d. lgs. 14/3/2013 n. 33, recante il «Riordino della disciplina riguardante gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni», prevede – fra i «Limiti alla trasparenza» – che «Restano fermi i limiti alla diffusione e all´accesso delle informazioni […] relativi alla diffusione dei dati idonei a rivelare lo stato di salute […]» (art. 4, comma 6), precisando – anche con riferimento agli «Obblighi di pubblicazione degli atti di concessione di sovvenzioni, contributi, sussidi e attribuzione di vantaggi economici a persone fisiche ed enti pubblici e privati» di importo superiore a mille euro erogati nell´anno solare – che «È esclusa la pubblicazione dei dati identificativi delle persone fisiche destinatarie dei provvedimenti di cui al presente articolo, qualora da tali dati sia possibile ricavare informazioni relative allo stato di salute […] degli interessati» (art. 26, comma 4);

RICHIAMATE, inoltre, le indicazioni fornite dal Garante con il Provvedimento del 15 maggio 2014, recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati» (in G.U. 12 giugno 2014, n. 134 suppl. ord. n. 43 e in www.garanteprivacy.it, doc. web n. 3134436), in cui, fra l´altro, è specificato che è «sempre vietata la diffusione di dati idonei a rivelare lo "stato di salute" (art. 22, comma 8, del Codice) […]» e che, in particolare, «è vietata la pubblicazione di qualsiasi informazione da cui si possa desumere, anche indirettamente, lo stato di malattia o l´esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici», oltre a non risultare  giustificato, alla luce del principio di non eccedenza (art. 11, comma 1, lett. d, del Codice), «diffondere, fra l´altro, dati quali, ad esempio, l´indirizzo di abitazione o la residenza» (parte prima, par. 2 e par. 9.e.; parte seconda, par. 1. Cfr., inoltre, i provvedimenti del Garante ivi citati in nota 49);

PRESO ATTO che la pubblicazione sul web, all´url http://..., del testo integrale dell´allegato al decreto dell´Azienda USL Toscana Nord Ovest-Zona distretto Livornese n. ZZ – che riporta in chiaro i dati personali (nome e cognome, data e luogo di nascita, indirizzo di residenza) dei soggetti assistiti che hanno fatto domanda per l´erogazione di contributi economici previsti dalla Delibera di Giunta della Regione Toscana n. 493 del 17/5/2001 per i «pazienti affetti da particolari patologie che, malgrado, l´assistenza fornita dal SSN, incorrono in rilevanti spese per ulteriori livelli di assistenza, anche di natura farmacologica» – ha causato una diffusione di dati sensibili in quanto idonei a rivelare lo stato di salute dei soggetti interessati, in violazione della normativa rilevante in materia di protezione dei dati personali (artt. 4, comma 1, lett. d; 22, comma 8, del Codice.; art. 4, comma 6, del d. lgs. n. 33/2013);

CONSIDERATO che il dominio «uslnordovest.toscana.it», dove sono pubblicati il decreto n. ZZ dell´Azienda USL Toscana Nord Ovest-Zona distretto Livornese con il relativo allegato, risulta registrato dalla Regione Toscana (cfr. Registro dell´«anagrafe dei domini Internet .it», in www.nic.it);

CONSIDERATO che il Garante ha il compito di vietare anche d´ufficio il trattamento, in tutto o in parte, o di disporre il blocco dei dati personali se il trattamento risulta illecito o non corretto o quando, in considerazione della natura dei dati o, comunque, delle modalità del trattamento o degli effetti che esso può determinare, vi è il concreto rischio del verificarsi di un pregiudizio rilevante per uno o più interessati (artt. 154, comma 1, lett. d, 143, comma 1, lett. c, e 144 del Codice);

RITENUTA, pertanto, ai sensi delle predette disposizioni, la necessità di disporre in via d´urgenza – con effetto immediato a decorrere dalla data di ricezione del presente provvedimento e con riserva di ogni altra determinazione, anche sanzionatoria, all´esito della definizione dell´istruttoria avviata sul caso – la misura temporanea del blocco del trattamento dei dati personali descritti nel presente provvedimento nei confronti della Regione Toscana e dell´Azienda USL Toscana Nord Ovest, con conseguente obbligo a carico di entrambi i predetti soggetti di astenersi da ogni ulteriore diffusione online dei dati personali (nome e cognome, iniziali del nome e cognome, data e luogo di nascita, indirizzo di residenza) dei soggetti assistiti riportati nell´allegato al decreto dell´Azienda USL Toscana Nord Ovest-Zona distretto Livornese n. ZZ, attualmente presente all´url http://...;

TENUTO CONTO che, ai sensi dell´art. 170 del Codice, chiunque essendovi tenuto non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni;

VISTA la documentazione in atti;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

Relatore il dott. Antonello Soro;

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi degli artt. 154, comma 1, lett. d), 143, comma 1, lett. c), e 144, del Codice, dispone in via d´urgenza – con effetto immediato a decorrere dalla data di ricezione del presente provvedimento e con riserva di ogni altra determinazione, anche sanzionatoria, all´esito della definizione dell´istruttoria avviata sul caso – la misura temporanea del blocco del trattamento dei dati personali descritti nel presente provvedimento nei confronti della Regione Toscana e dell´Azienda USL Toscana Nord Ovest, con conseguente obbligo a carico di entrambi i predetti soggetti di astenersi da ogni ulteriore diffusione online dei dati personali (nome e cognome, iniziali del nome e cognome, data e luogo di nascita, indirizzo di residenza) dei soggetti assistiti riportati nell´allegato al decreto dell´Azienda USL Toscana Nord Ovest-Zona distretto Livornese n. ZZ, attualmente presente all´url http://....

Ai sensi degli artt. 152 del Codice e 10 del d. lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 10 marzo 2016

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia