Diritti interna

Doveri interna

ricerca avanzata

Ordinanza ingiunzione nei confronti di Azienda Unità Sanitaria Locale di Piacenza - 6 giugno 2018 [9023253]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
9023253
Data:
06/06/18
Argomenti:
Misure di sicurezza , Consenso , Informativa , Aziende sanitarie
Tipologia:
Ordinanza ingiunzione o revoca

[doc. web n. 9023253]

Ordinanza ingiunzione nei confronti di Azienda Unità Sanitaria Locale di Piacenza - 6 giugno 2018

Registro dei provvedimenti
n. 377 del 6 giugno 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale; 

RILEVATO che la Guardia di finanza, Nucleo speciale privacy, in esecuzione della richiesta di informazioni n. 31538/114083 del 3 ottobre 2017 formulata ai sensi dell’art. 157 del d. lgs. 30 giugno 2003 n. 196, recante il Codice in materia di protezione dei dati personali (di seguito “Codice”) ha svolto, formalizzandola con i verbali di operazioni compiute datati 12, 13 e 14 dicembre 2017, un’attività di controllo nei confronti dell’Azienda Unità Sanitaria Locale di Piacenza P.Iva: 01138510332, con sede in Piacenza, via Antonio Anguissola n. 15, in persona del legale rappresentante pro-tempore. Tale attività di controllo, anche a fronte dello scioglimento delle riserve formulate e da ultimo sciolte con l’invio delle note datate 28 dicembre 2017, ha consentito di accertare che l’Azienda Unità Sanitaria Locale ha costituito il Dossier Sanitario elettronico dei pazienti, mettendo in condivisione logica la storia clinica agli stessi riferita, a beneficio del personale sanitario della struttura:

1. senza aver informato preventivamente gli interessati dello specifico trattamento in argomento ai sensi dell’art. 13 del Codice e contrariamente a quanto chiarito dal Garante nelle “Linee guida in materia di dossier sanitario” del 4 giugno 2015 (in www.garanteprivacy.it, doc. web n. 4084632);

2. senza aver acquisito uno specifico consenso a detta finalità ai sensi dell’art. 23 del Codice e contrariamente a quanto chiarito dal Garante nelle “Linee guida in materia di dossier sanitario” del 4 giugno 2015;

3. non ha provveduto a designare gli incaricati del trattamento ai sensi dell’art. 30 del Codice e a impartire loro le prescritte istruzioni, così disattendendo quanto previsto dall’Allegato B al Codice, regole nn.rr. 1-10 e 12-15;

VISTO il verbale redatto dal Nucleo speciale privacy della Guardia di finanza in data 18 gennaio 2018, con il quale sono state contestate all’Azienda Unità Sanitaria Locale di Piacenza, rispettivamente, due violazioni amministrative, definibili in via breve ai sensi dell’art. 16 della legge 24 novembre 1981, n. 689, previste dall’art. 161 e dall’art. 162, comma 2-bis del Codice, in relazione all’art. 13 e all’art. 23, nonché la violazione amministrativa, non definibile in via breve ai sensi dell’art. 16 della legge 24 novembre 1981, n. 689, prevista dall’art. 162, comma 2-bis del Codice, in relazione alle misure indicate nell’art. 33;

VISTO lo scritto difensivo datato 8 marzo 2018 inviato ai sensi dell’art. 18 della legge n. 689/1981, con il quale l’Azienda Unità Sanitaria Locale di Piacenza, dopo aver osservato come a fronte dell’emanazione da parte del Garante delle “Linee guida in materia di dossier sanitario” datate 4 giugno 2015 “(…) nell’ambito del Tavolo regionale è stato dato atto che la versione definitiva delle Note interpretative alle Linee guida del Garante Privacy per la corretta gestione del DSE (Dossier sanitario elettronico) in Regione Emilia Romagna (…) sarebbe stato pertanto inviato ufficialmente all’Autorità e che sarà adottato dalla Regione entro l’anno. Ad oggi le suddette note con cui la Regione indicherà il percorso uniforme a livello regionale per dare corretta applicazione delle Linee guida di Codesta Autorità in materia di DSE, non risultano ancora pervenute”, ha preliminarmente evidenziato di aver “(…) provveduto ad adottare le deliberazioni con cui, fin dal 2005 (…), ha designato (…) quali responsabili del trattamento dei dati degli utenti, i Responsabili di Unità Operativa Complessa ed Unità Operativa Semplice Dipartimentale (…)”, di aver “(…) provveduto (…) mediante le stesse deliberazioni (…) a designare quali incaricati al trattamento dei dati dei pazienti (…) tutti i dipendenti dell’AUSL (…) precisandone i compiti(…)” e di ritenere che “(…) alla luce di tali considerazioni, e tenuto conto che la responsabilità nella eventualità di commissione di illeciti che comportano l’irrogazione di una sanzione amministrativa è personale, come si ricava dagli artt. 2. 3, 7 ed 11 l. n. 689/1981, emerge l’erroneità del verbale di contestazione in epigrafe elevato e notificato nei confronti dell’Azienda USL (…)”. Nel merito, con specifico riferimento a quanto contestato in ordine alla violazione dell’art. 33 del Codice, nell’illustrare diffusamente come “La designazione degli incaricati (…) è avvenuta ed inoltre le misure di sicurezza di cui all’art. 34, comma 1 lett. a), b) e c) d.lgs n. 196/2003 risultano rispettate secondo le modalità indicate all’All. B dello stesso Codice”, specificando come “(…) la designazione degli incaricati è stata effettuata per iscritto, così come è stato individuato l’ambito del trattamento ad essi consentito. Ciò è avvenuto anche con specifico riferimento agli ausili tecnologici messi a disposizione dall’Azienda, e così, quindi, anche al dossier sanitario elettronico”, ha rilevato come “(…) le prescrizioni normative in ordine alla designazione degli incaricati sono state invece pienamente rispettate dall’Azienda USL di Piacenza (…)” facendone discendere che “(…) ciò escluda di per sé la violazione delle misure di sicurezza di cui all’art. 34 lett. a), b( e c) del Codice. Ad ogni buon conto e per mero tuziorismo difensivo, si evidenzia che tale specifico aspetto è già stato oggetto di verifica, in passato, da parte della Guardia di finanza , nel corso delle sopracitate ispezioni del 2009 (controlli formalizzati dalla Guardia di finanza con verbali di operazioni compiute del 10 novembre 2009)”. Relativamente a quanto contestato circa la violazione dell’art. 13 del Codice, ha osservato come “(…) tutti gli utenti dell’Azienda USL di Piacenza hanno sempre ricevuto, presso le Unità Operative aziendali, un’informativa, circa il trattamento dei loro dati personali, contenente tutte le informazioni prescritte dall’art. 13 del Codice della Privacy, risultando altresì informati del fatto che il suddetto trattamento sarebbe potuto avvenire anche su supporti elettronici, qual è il dossier sanitario. In altri termini, la circostanza che i dati personali degli utenti siano stati trattati (…) anche tramite il dossier sanitario, e dunque con modalità elettroniche e non meramente cartacee, non toglie il fatto che essi fossero comunque destinatari di un’informativa (…) già di per sé pienamente rispettante i requisiti individuati dall’art. 13 del Codice della Privacy”. Riguardo quanto contestato per la violazione dell’art. 23 del Codice, “(…) con specifico riferimento al dossier sanitario elettronico, l’AUSL (…) ha deciso di avviare comunque, autonomamente, una sperimentazione (…). Si tratta della c.d. firma grafometrica, la quale, esprimendo a pieno il concetto di dematerializzazione in ambito sanitario, consiste nella predisposizione (…) di un modulo da sottoporre all’assistito  (previamente informato), per l’apposizione sullo stesso di una firma grafometrica mediante un software di raccolta dei dati biometrici della firma stessa su dispositivi grafici atti a consentire la lettura. La suddetta sperimentazione risulta positivamente conclusa il 31 gennaio u.s. (2018) (…)”. Inoltre, “Nonostante il periodo di sperimentazione della firma grafometrica (…) risultasse avviato ed in corso prima delle ispezioni della Guardia di finanza presso i locali aziendali, la necessità di doverlo concludere  (…) hanno spinto l’Azienda USL di Piacenza ad intervenire immediatamente sui propri sistemi informatici”;

VISTO il verbale dell’audizione delle parti redatto in data 4 maggio 2018, ai sensi dell’art. 18 della legge n. 689/1981, nel quale l’Azienda Unità Sanitaria Locale di Piacenza, nel ribadire quanto argomentato nella memoria difensiva, ha osservato come “In relazione al rilievo n.3 (violazione dell’art. 33 del Codice) non è stata richiesta, e quindi fornita, la documentazione inerente la designazione di più responsabili/incaricati per ciascuna unità operativa”;

CONSIDERATO che le argomentazioni addotte non permettono di escludere la responsabilità dell’Azienda Unità Sanitaria Locale di Piacenza in relazione alla contestazione in argomento.

La circostanza secondo la quale il Tavolo della Regione Emilia Romagna non avrebbe fornito le Note interpretative delle “Linee guida in materia di dossier sanitario” del 4 giugno 2015, non sostanzia alcuno degli elementi costitutivi della disciplina dell’errore scusabile di cui all’art. 3 della legge n. 689/1981, anche in base a quanto asserito dalla giurisprudenza (Cass. Civ. sez. I del 15 maggio 2006 n. 11012; Cass. Civ. sez II del 13 marzo 2006, n. 5426).

Con riferimento a quanto argomentato circa il fatto di aver “(…) provveduto ad adottare le deliberazioni con cui, fin dal 2005 (…), ha designato (…) quali incaricati al trattamento dei dati dei pazienti (…) tutti i dipendenti dell’AUSL (…) precisandone i compiti(…)”, si evidenzia come sia la memoria difensiva sia il verbale di audizione ai sensi dell’art. 16 della legge n. 689/1981 non introducano alcun elemento aggiuntivo rispetto a quelli formalizzati nell’attività istruttoria sia con i verbali di operazioni compiute redatti dalla Guardia di finanza in data 12, 13 e 14 dicembre 2017 sia con la nota n. 2017/0113448 del 27 dicembre 2017 e valutati ai fini dell’accertamento dello specifico rilievo contestato per la violazione dell’art. 33 del Codice. L’Azienda Unità Sanitaria Locale di Piacenza non ha provato, pur tenendo conto delle produzioni documentali secondo le quali “La designazione degli incaricati (…) è avvenuta ed inoltre le misure di sicurezza di cui all’art. 34, comma 1 lett. a), b) e c) d.lgs n. 196/2003 risultano rispettate secondo le modalità indicate all’All. B dello stesso Codice”, di aver provveduto ad una puntuale designazione degli incaricati del trattamento ai sensi dell’art. 30 del Codice, con specifico riferimento al trattamento di dati personali relativo al “dossier sanitario”. Peraltro, si rileva l’inconferenza della richiamata attività di controllo effettuata dalla Guardia di finanza nel novembre del 2009, atteso che tale attività non ha riguardato lo specifico trattamento di dati personali afferente il “dossier sanitario”.

Inoltre, si rileva la pretestuosità di quanto argomentato nel verbale di audizione del 4 maggio 2018 “In relazione al rilievo n.3 (violazione dell’art. 33 del Codice) (…)”, atteso che la richiesta di informazioni formulata all’Azienda Unità Sanitaria Locale di Piacenza ai sensi dell’art. 157 del Codice chiedeva conto espressamente, al punto 7), della “designazione di (eventuali) responsabili e degli incaricati del trattamento ed istruzioni loro impartite, ai sensi degli artt. 29 e 30 del Codice, anche con riferimento ad eventuali soggetti terzi che partecipano al trattamento (producendo, in tale ipotesi, copia dei relativi contratti di servizio stipulati)”. 

L’Azienda Unità Sanitaria Locale di Piacenza ritiene erroneamente che “(…) l’irrogazione di una sanzione amministrativa è personale, come si ricava dagli artt. 2. 3, 7 ed 11 l. n. 689/1981 (…)”. Riguardo la disciplina afferente il principio di personalità di cui agli artt. 2, 3 e 7 della legge n. 689/1981, si evidenzia come la disciplina dettata dal Codice costituisce lex specialis rispetto alle previsioni della legge n. 689/1981 in quanto fonte di pari grado richiamabile, per effetto dell’art. 166 del Codice, solo “in quanto applicabile”. Il Codice dispone che gli adempimenti siano  posti in essere, in primo luogo, dal titolare del trattamento che, secondo quanto è previsto all’art. 28 del Codice, quando il trattamento è effettuato da una persona giuridica, da una pubblica amministrazione o da un qualsiasi altro ente, associazione od organismo, titolare del trattamento è “l'entità nel suo complesso” ove, peraltro, il titolare del trattamento può, nell’ambito del potere di organizzazione del trattamento dei dati, delegare l’assolvimento di taluni adempimenti anche a persone (fisiche o giuridiche) individuate, ai sensi dell’art. 29 del Codice, quali responsabili del trattamento. Nel caso che ci occupa è pacifico che il titolare del trattamento ai sensi dell’art. 28 del Codice, così come si evince in maniera puntuale dagli atti istruttori, è l’Azienda Unità Sanitaria Locale di Piacenza.

Relativamente a quanto argomentato riguardo le violazioni degli artt. 13 e 23 del Codice, si evidenzia come, sia la memoria difensiva sia il verbale di audizione ai sensi dell’art. 16 della legge n. 689/1981 non introducano alcun elemento aggiuntivo rispetto a quelli formalizzati nell’attività istruttoria sia con i verbali di operazioni compiute redatti dalla Guardia di finanza in data 12, 13 e 14 dicembre 2017 sia con la nota n. 2017/0113448 del 27 dicembre 2017. Giova pertanto ribadire come, pur tenendo conto delle evidenze prodotte in atti, l’Azienda Unità Sanitaria Locale di Piacenza non consideri, con specifico riferimento all’informativa di cui all’art. 13 del Codice, quanto puntualmente asserito nelle “Linee guida in materia di dossier sanitario” del 4 giugno 2015 circa il fatto che “Il trattamento dei dati personali effettuato mediante il dossier si differisce da quello relativo alla compilazione e tenuta della cartella clinica, intesa come lo strumento informativo individuale finalizzato a rilevare tutte le informazioni anagrafiche e cliniche significative relative ad un paziente e ad un singolo episodio di ricovero. In quanto tale il trattamento dei dati personali effettuato mediante il dossier sanitario necessita di una specifica informativa che contenga tutti gli elementi previsti dall’art. 13 del Codice”.

Le medesime osservazioni trovano riscontro anche con specifico riferimento alla disciplina del consenso di cui all’art. 23 del Codice, atteso che le medesime “Linee guida in materia di dossier sanitario” prevedono come “(…) il dossier sanitario, costituendo l’insieme dei dati personali generati da eventi clinici presenti e trascorsi riguardanti l’interessato, costituisce un trattamento di dati personali specifico e ulteriore rispetto a quello effettuato dal professionista sanitario con le informazioni acquisite in occasione della cura del singolo evento clinico. Come tale, quindi, si configura come un trattamento facoltativo. (…) Ciò stante, l’eventuale mancato consenso al trattamento dei dati personali mediante il dossier sanitario non deve incidere negativamente sulla possibilità di accedere alle cure mediche richieste. (…) In tale quadro, il consenso al dossier, anche se manifestato unitamente a quello previsto per il trattamento dei dati a fini di cura, deve essere autonomo e specifico”;

RILEVATO, pertanto, che l’Azienda Unità Sanitaria Locale di Piacenza ha effettuato un trattamento di dati personali (art. 4 comma 1, lett. a) e b) del Codice) costituendo il Dossier Sanitario elettronico dei pazienti e mettendo in condivisione logica la storia clinica agli stessi riferita, a beneficio del personale sanitario della struttura:

1. senza aver informato preventivamente gli interessati dello specifico trattamento in argomento ai sensi dell’art. 13 del Codice e contrariamente a quanto chiarito dal Garante nelle “Linee guida in materia di dossier sanitario” del 4 giugno 2015 (in www.garanteprivacy.it, doc. web n. 4084632);

2. senza aver acquisito uno specifico consenso a detta finalità ai sensi dell’art. 23 del Codice e contrariamente a quanto chiarito dal Garante nelle “Linee guida in materia di dossier sanitario” del 4 giugno 2015;

3. senza provvedere a designare gli incaricati del trattamento ai sensi dell’art. 30 del Codice e a impartire loro le prescritte istruzioni, così disattendendo quanto previsto dall’Allegato B al Codice, regole nn.rr. 1-10 e 12-15;

VISTO l’art. 1, comma 2, della legge 24 novembre 1981, n. 689, ai sensi del quale le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e per i tempi in esse considerati;

VISTO l’art. 161 del Codice, che punisce la violazione delle disposizioni di cui all’art. 13 del medesimo Codice, con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro;

VISTO l’art. 162, comma 2-bis, del Codice che punisce la violazione delle disposizioni indicate nell’art. 23 del Codice con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

VISTO l’art. 162, comma 2-bis, del Codice che punisce la violazione delle disposizioni indicate nell’art. 33 del Codice con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge 24 novembre 1981 n. 689, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore e che, pertanto, l’ammontare della sanzione pecuniaria con riferimento alla violazione di cui all’art. 161 deve essere quantificato nella misura di euro 6.000,00 (seimila), l’ammontare della sanzione pecuniaria con riferimento alla violazione di cui all’art. 162, comma 2-bis, in relazione all’art. 23 del Codice, deve essere quantificato nella misura di euro 10.000,00 (diecimila) e l’ammontare della sanzione pecuniaria con riferimento alla violazione di cui all’art. 162, comma 2-bis, in relazione all’art. 33 del Codice, deve essere quantificato nella misura di euro 20.000,00 (ventimila) per una quantificazione totale pari a euro 36.000,00 (trentaseimila);

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell’Ufficio, formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Licia Califano;

ORDINA

all’Azienda Unità Sanitaria Locale di Piacenza P.Iva: 01138510332, con sede in Piacenza, via Antonio Anguissola n. 15, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 36.000,00 (trentaseimila) a titolo di sanzione amministrativa pecuniaria per le violazioni previste dagli artt. 161 in relazione all’art. 13 del Codice, 162, comma 2-bis in relazione all’art. 23 del Codice e 162, comma 2-bis in relazione all’art. 33 del Codice, come indicato in motivazione;

INGIUNGE

al medesimo soggetto di pagare la somma di euro 36.000,00 (trentaseimila), secondo le modalità indicate in allegato, i cui versamenti frazionati saranno effettuati entro l’ultimo giorno del mese successivo a quello in cui avverrà la notifica della presente ordinanza, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d. lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero. 

Roma, 6 giugno 2018

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia