Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di ASL n. 2 Savonese - 14 novembre 2019 [9269852]

[doc. web n. 9269852]

Ordinanza ingiunzione nei confronti di ASL n. 2 Savonese - 14 novembre 2019

Registro dei provvedimenti
n. 210 del 14 novembre 2019

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito RGPD);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali (www.gpdp.it, doc. web n. 1098801);

RELATORE la dott.ssa Giovanna Bianchi Clerici;

PREMESSO

1. Introduzione

È pervenuta a questa Autorità una segnalazione con la quale è stata lamentata una presunta violazione della disciplina rilevante in materia di protezione di dati personali, a seguito dell’invio, nel corso dei mesi luglio – settembre 2018, da parte dell’ASL n. 2 Savonese (di seguito “ASL” o “Azienda Sanitaria”) alla Società Officine Ortopediche Rizzoli S.r.l. (di seguito “Società OOR”) di n. 25 richieste relative alla fornitura di dispositivi sanitari, unitamente ai moduli di “Prestazione di assistenza protesica a carico del Servizio Sanitario Nazionale” contenenti dati personali e relativi alla salute dei pazienti, per ottenere dalla Società OOR la presentazione di offerte economiche, per la fornitura dei predetti dispositivi (cfr. nota del 27 novembre 2018).

Con nota del 29 gennaio 2019 (prot. n. 9339), la ASL ha fornito riscontro alla richiesta di informazioni dell’Autorità, del 7 gennaio 2019 (prot. n. 530), volta a conoscere a quale titolo la medesima ASL avesse inviato le richieste relative alla fornitura di dispositivi sanitari comprensive delle citate prescrizioni mediche, nonché i presupposti giuridici che avrebbero reso lecita la predetta comunicazione alla Società OOR.

Nello specifico, il Commissario Straordinario e il Responsabile Protezione Dati Aziendale, con dichiarazioni della cui veridicità rispondono penalmente ai sensi dell’art. 168 del Codice, hanno rappresentato, fra l’altro, che:

“nonostante le istruzioni impartite alcuni dipendenti di [propri] uffici per mero errore materiale, riconducibile a carenza di consapevolezza, disattenzione inoltravano le comunicazioni in parola senza provvedere all’oscuramente dei dati personali, in difformità alla prassi ordinaria seguita dalle strutture aziendali”;

“questa azienda ha nell’immediato provveduto ad adottare (…omissis…) puntuali misure identificate in ulteriori istruzioni scritte atte ad oscurare, nelle richieste di prestazione al terzo fornitore, i dati non necessari ovvero ad utilizzare i soli codici identificativi del prodotto richiesto”.

2. Normativa applicabile

Il trattamento di dati personali sulla salute, è in generale vietato, ai sensi dell’art. 9, par. 1, del RGPD, salvo che si verifichi uno dei casi previsti dal par. 2, dello stesso articolo.

Il titolare del trattamento è tenuto, in ogni caso, a rispettare i principi in materia di protezione dei dati, fra i quali quello di «liceità, correttezza e trasparenza» nonché di «minimizzazione», in base ai quali i dati personali devono essere «trattati in modo lecito, corretto e trasparente nei confronti dell'interessato» e devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. a) e c), del RGPD).

3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato

Dalle verifiche compiute sulla base degli elementi acquisiti, anche attraverso la documentazione inviata dalla Società OOR, e dei fatti emersi a seguito della attività istruttoria, l’Ufficio ha accertato che la predetta comunicazione dei dati sulla salute di n. 25 pazienti sia stata effettuata in assenza dei presupposti giuridici, previsti dall’art. 9 del RGPD.

La violazione di tale disposizione rientra tra quelle per le quali è prevista l’applicazione di provvedimenti correttivi ai sensi dell’art. 58, par. 2 del RGPD e della sanzione amministrativa di cui all’art. 83, par. 5 lett. a) del RGPD.

Pertanto, in relazione alla predetta violazione, è stata effettuata alla ASL la notifica prevista dall’art. 166, comma 5, del Codice, comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del RGPD e invitando la predetta ASL a inviare al Garante scritti difensivi o documenti e, eventualmente, a chiedere di essere sentita da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla l. n. 689 del 24 novembre 1981).

4. Memorie difensive

Con nota del 12 marzo 2019, la ASL ha inviato al Garante i propri scritti difensivi in relazione alla violazione notificata.

Nello specifico, il Commissario Straordinario della ASL, dopo aver riassunto sinteticamente i termini della vicenda, ha rappresentato fra l’altro, che:

a)  “l’errore ha riguardato solo il distretto sanitario di Albenga; contrariamente a quanto in precedenza dichiarato (cfr. nota del 29 gennaio 2019, prot. n. 9339), l’invio delle richieste relative alla fornitura di dispositivi sanitari unitamente alle prescrizioni mediche contenenti dati personali e relativi alla salute dei pazienti, sarebbe aderente alla norma e comunque rispettoso dei diritti e delle libertà dei pazienti, in quanto tali informazioni avrebbero dovuto necessariamente essere inviate affinché la scelta del dispositivo medico potesse essere la più appropriata e consona al paziente”;

b) “i n. 25 pazienti sarebbero stati adeguatamente informati verbalmente e sarebbe altresì stato ottenuto il consenso degli stessi”;

c) “di aver adottato il regolamento per il trattamento dei dati sensibili e giudiziari (Deliberazione n. 863 del 12 settembre 2013), il quale, nella scheda n. 13 B disciplina il trattamento dei dati personali nell’ambito dell’“Assistenza Protesica”;

d) “il diritto di proporre reclamo alla Autorità di controllo è riconosciuto solo all’interessato e che, pertanto, [lo stesso] essendo stato proposto dalla Società OOR deve essere archiviato”.

Con successiva nota dell’11 aprile 2019, la ASL ha sostanzialmente ribadito le proprie argomentazioni difensive, sottolineando “l’assoluta buona fede della conchiudente che in ogni caso aveva posto in essere, già precedentemente, ogni utile cautela volta a garantire un corretto trattamento dei dati personali”.

5. Esito dell’istruttoria relativa alla segnalazione presentata

In via preliminare, si rappresenta che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

Con riferimento al caso di specie, si rileva che le argomentazioni addotte dalla ASL, volte a dimostrare l’infondatezza di quanto contestato, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e non risultano, quindi, idonee a determinare l’archiviazione del procedimento sanzionatorio. Ciò in quanto:

- con riferimento al punto a), si rappresenta che il trattamento di dati personali sulla salute deve avvenire in conformità ai principi previsti dall’art. 5, par. 1, lett. a) e c), secondo i quali i dati devono essere trattati in modo lecito ovvero sulla base di un idoneo presupposto legittimante (artt. 6 e 9 del RGPD) e devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati e devono essere trattati, solo se la finalità del trattamento non è ragionevolmente conseguibile con altri mezzi (principi di liceità, correttezza, trasparenza e minimizzazione; cfr. anche Cons. n. 39). Nel caso di specie, nonostante per la fornitura dei citati dispositivi fosse necessario indicare specifici elementi relativi alle patologie dei destinatari delle stesse, la richiesta di preventivi da parte dell’ASL non avrebbe dovuto comportare la trasmissione dei moduli di “Prestazione di assistenza protesica a carico del Servizio Sanitario Nazionale”, contenenti dati identificativi degli interessati;

- con riferimento al punto b), fermo restando quanto precedentemente rilevato in ordine all’assenza della necessità dell’invio di elenchi nominativi, la ASL non ha comunque prodotto alcun documento idoneo a dimostrare di aver informato i pazienti nonché di aver acquisito il loro consenso che, peraltro, nel caso di specie, non avrebbe costituito un valido presupposto giuridico per la comunicazione dei predetti dati a OOR, considerato l’evidente squilibrio tra gli interessati e il titolare del trattamento (cfr. cons. n. 43 del RGPD);

- in relazione al punto c), si evidenzia che il regolamento per il trattamento dei dati sensibili e giudiziari adottato a suo tempo dalla ASL non prevede, nella Scheda n. 13, dedicata al trattamento dei dati personali nell’ambito dell’assistenza protesica, alcuna comunicazione di dati sulla salute per finalità di richiesta di preventivi per l’acquisto di dispositivi protesici;

- quanto poi al punto d), va evidenziato che il controllo del Garante sulla disciplina rilevante in materia di trattamento dei dati personali può essere avviato indipendentemente dalla presentazione di un reclamo, sulla base di segnalazioni (art. 144 del Codice) o anche d’ufficio.

Per tutto quanto sopra rappresentato si rileva l’illiceità del trattamento di dati personali sulla salute effettuato dalla ASL, per aver comunicato i moduli di “Prestazione di assistenza protesica a carico del Servizio Sanitario Nazionale” contenenti dati personali sulla salute di n. 25 pazienti a un soggetto privato (la Società OOR), in violazione dei principi di base del trattamento, di cui all’art. 5 del RGPD e in assenza di idoneo presupposto giuridico, in violazione dell’art. 9 del RGPD.

In tale quadro, considerato che la condotta ha esaurito i suoi effetti e che sono state fornite idonee assicurazioni da parte del titolare del trattamento, in ordine all’implementazione di misure finalizzate all’eliminazione delle cause che hanno determinato la violazione, non ricorrono i presupposti per l’adozione di provvedimenti correttivi, di tipo prescrittivo o inibitorio, di cui all’art. 58, par. 2 del RGPD. Tuttavia, si ritiene che ricorrano gli estremi di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i; 83 RGPD; art. 166, comma 7, del Codice)

La violazione degli artt. 5, par. 1, lett. a) e c), e 9 del RGPD, causata dalla condotta posta in essere dalla ASL, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, lett. a) del RGPD.

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i); 83 del RGPD nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del RGPD.

In relazione ai predetti elementi, si evidenzia quanto segue:

1) la ASL ha dichiarato di aver “immediatamente posto in essere ogni utile cautela volta a garantire il corretto trattamento dei dati personali e tutte le misure necessarie finalizzate ad una corretta eliminazione delle cause che potrebbero aver determinato il disservizio medesimo. Peraltro una verifica successiva effettuata ha consentito di accertare e confermare che si è trattato di un fenomeno ristretto e limitato ad un piccolo distretto” (cfr. memorie difensive del 12 marzo 2019 e dell’11 aprile 2019);

2) la ASL, con nota del 17 gennaio 2019, che modifica quella dell’8 gennaio 2019, indirizzata ai direttori dei distretti sanitari, ha fornito specifiche istruzioni relative alle comunicazioni verso i fornitori, in particolare, prevedendo che “le richieste di preventivo inviate ai terzi fornitori dovranno esclusivamente indicare il codice identificativo del presidio e l’eventuale città dove fornirlo (non l’indirizzo del paziente, né i suoi dati anagrafici e tantomeno la patologia o altri dati di salute)”;

3) la condotta ha avuto a oggetto la comunicazione a terzi di categorie particolari di dati (relativi alla salute) di cui all’art. 9 del RGPD, sottoposti a specifica protezione in quanto per loro natura sono particolarmente sensibili tenuto conto che il trattamento di tali dati, in determinati contesti, può determinare rischi significativi per i diritti e le libertà fondamentali delle persone fisiche (Cons. n. 51), coinvolgendo, tuttavia, un numero esiguo di pazienti (n. 25);

4) il titolare del trattamento, non appena venuto a conoscenza della violazione de qua, ha:

tempestivamente implementato misure correttive volte alla eliminazione delle cause che hanno generato la condotta contestata;

collaborato con l’Autorità nel corso della istruttoria e del presente procedimento;

dichiarato di aver prestato, nel tempo, particolare attenzione “alle disposizioni vigenti in materia di privacy, avendo cura di delineare per tempo il proprio sistema organizzativo, misure organizzative e tecniche, e le modalità ed i criteri per trattare i dati in conformità alla norma, fornendo ed istruendo altresì il proprio personale” (cfr. memoria difensiva del 12/03/2019);

5) non sono pervenuti ulteriori segnalazioni o reclami rispetto alla condotta oggetto del presente procedimento; non risultano, altresì, precedenti violazioni pertinenti commesse dal titolare del trattamento né sono stati precedentemente disposti provvedimenti di cui all’art. 58 del RGPD.

In ragione dei suddetti elementi, valutati nel loro complesso, ai sensi dell’art. 83, par. 2 lett. a), c), d), e) f), g) e i) del RGPD, si ritiene, quindi, di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a) del RGPD, nella misura di euro 8.000 (ottomila) per la violazione degli artt. 5 e 9 del RGPD, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del medesimo RGPD, effettiva, proporzionata e dissuasiva.

In tale quadro, in considerazione della estensione dei trattamenti, della numerosità degli interessati potenzialmente coinvolti, della tipologia di dati particolari oggetto di illecito trattamento si ritiene, ai sensi dell’art. 166, comma 7, del Codice, e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, che si debba procedere alla pubblicazione del presente provvedimento sul sito web del Garante.

TUTTO CIÒ PREMESSO

rileva l’illiceità del trattamento dei dati personali effettuato dalla ASL n. 2 Savonese nei termini di cui in motivazione.

ORDINA

alla ASL n. 2 Savonese, con sede legale in Via Manzoni 14 – Savona, CF/P. IVA 01062990096, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 8.000,00 (ottomila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente paragrafo;

INGIUNGE

alla medesima ASL n. 2 Savonese di pagare la somma di euro 8.000,00 (ottomila) secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.

Ai sensi dell’art. 166, comma 8, del Codice, avvisa la predetta ASL «Entro il termine di cui all’articolo 10, comma 3, del decreto legislativo n. 150 del 2011 previsto per la proposizione del ricorso, il trasgressore e gli obbligati in solido possono definire la controversia adeguandosi alle prescrizioni del Garante, ove impartite, e mediante il pagamento di un importo pari alla metà della sanzione irrogata».

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 14 novembre 2019

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia