Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Azienda ospedaliera regionale “San Carlo” di Potenza - 27 gennaio 2021 [9549143]

[doc. web n. 9549143]

Ordinanza ingiunzione nei confronti di Azienda ospedaliera regionale “San Carlo” di Potenza - 27 gennaio 2021

Registro dei provvedimenti
n. 35 del 27 gennaio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il Cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1.  La violazione dei dati personali e l’attività istruttoria

È pervenuto un reclamo dal Sig. XX in merito all’avvenuta diffusione dei dati relativi al decesso per Covid-19 del padre (sig. XX) mediante la diramazione di un comunicato stampa emesso dall’Azienda ospedaliera regionale “San Carlo” di Potenza (di seguito Azienda), poi ripreso da alcune testate giornalistiche telematiche locali.

Secondo quanto indicato dal reclamante, nel predetto comunicato stampa sono presenti numerose e dettagliate informazioni sulle condizioni cliniche del sig. XX relative ai vari accessi effettuati dallo stesso presso la predetta Azienda (data e ora del primo accesso in pronto soccorso, codice triage, anamnesi dettagliata e, in particolare: XX), le terapie prescritte, la misura di isolamento domiciliare, la data e l’ora del successivo ricovero del paziente, le modalità di trasporto dello stesso, gli accertamenti diagnostici effettuati e il relativo esito, il dettaglio della terapia farmacologica (es. XX”), l’adozione di una terapia sperimentale, la reazione alle cure, il dettaglio delle pratiche cliniche effettuate (es “ XX”), il ricovero nel reparto di rianimazione e infine altri particolari circa l’evolversi delle condizioni cliniche del paziente.

A seguito del predetto reclamo, l’Ufficio ha richiesto informazioni alla citata Azienda (nota del 15 aprile 2020, prot. n. 14159) che ha fornito riscontro con nota del 21 aprile 2020 (prot. n. 15586), in cui ha rappresentato, in particolar modo, di aver diramato il predetto comunicato stampa “quando i dati erano già pubblici ovvero resi noti all'opinione pubblica dal profilo Facebook dl XX - odierno reclamante e figlio del sig. XX (…) nella fattispecie, quindi non si è verificata alcuna divulgazione di dati riservati in quanto già diffusi dalla famiglia dell'interessato”. Secondo quanto rappresentato dall’Azienda, “il comunicato diramato dall'Ufficio Stampa Aziendale, pertanto, risponde all'esigenza di garantire il diritto di informazione in merito a fatti divenuti di pubblico interesse, poiché già divulgati da soggetti esterni ed estranei alla Scrivente”, con lo scopo di diffondere “un comunicato asettico e rispondente alla preliminare esigenza del diritto all'informazione costituzionalmente garantito” anche alla luce dell’”attuale grado di apprensione dell'opinione pubblica giustificata dalla diffusione del virus sul territorio nazionale e dalle stringenti misure di contenimento”. A corredo di quanto rappresentato, l’Azienda ha allegato copia delle dichiarazioni rese dal reclamante sul relativo profilo Facebook.

In relazione alle risultanze della predetta attività istruttoria, l’Ufficio, con atto n. 18347 del 19 maggio 2020, ha notificato all’Azienda ospedaliera regionale “San Carlo” di Potenza, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, paragrafo 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

In particolare, l’Ufficio, nel predetto atto ha rappresentato che:

- l’Azienda ha diffuso informazioni sullo stato di salute del Sig. XX, successivamente al suo decesso per Covid-19, attraverso la diramazione di un comunicato stampa contenente numerose informazioni di dettaglio sullo stato di salute dell’interessato sopra richiamate;

- dall’analisi delle tre dichiarazioni rese dal figlio del Sig. XX (sig. XX) sulla relativa pagina Facebook, si rileva che il reclamante, durante il ricovero del padre, pur avendo reso nota la storia dei vari accessi di quest’ultimo presso la predetta Azienda ospedaliera, ha fatto solo genericamente riferimento allo stato di salute dell’interessato (es. “febbre” e “tosse”), senza quindi mai riportare i dettagli anamnestici, clinici e terapeutici indicati nel predetto comunicato stampa;

- il citato comunicato stampa riporta informazioni sulla salute del sig. XX con un livello di dettaglio clinico di cui sono invece prive le dichiarazioni pubblicate dal figlio dell’interessato;

- non risultano agli atti dichiarazioni, rese in vita dallo stesso interessato, in merito alle sue condizioni di salute con riferimento alla vicenda oggetto di esame;

- la finalità di assicurare la popolazione in merito alle cure offerte dalla predetta Azienda ai pazienti Covid-19 poteva essere utilmente raggiunta anche senza diffondere informazioni cliniche di dettaglio sullo stato di salute del sig. XX, che risultano lesive della sua dignità;

- la messa a disposizione dei predetti dati personali, attraverso la diramazione del citato comunicato stampa, ha quindi determinato una diffusione di dati sulla salute del Sig. XX, espressamente vietata dall’art. 2-septies, comma 8, del Codice.

Nel richiamato atto del 19 maggio 2020, l’Ufficio ha, quindi, ritenuto che l’Azienda avesse effettuato un trattamento di dati personali del sig. XX in violazione:

- degli obblighi del titolare, in ordine al rispetto dei principi di base del trattamento di cui agli artt. 5, par. 1, lett. a) e 9 del Regolamento;

- del divieto di diffusione di dati sulla salute, previsto dall’art. 2-septies, comma 8, del Regolamento.

Con nota del 15 giugno 2020, l’Azienda ha chiesto di essere sentita dall’Autorità e ha fatto pervenire le proprie memorie difensive, in cui, in particolare, è stato rappresentato che:

a) “Nel Suo Post del 20 marzo 2020 su Facebook il Sig. XX parlava… espressamente di problemi respiratori e di febbre, da tre settimane, mentre con il post del 22 marzo 2020 comunicava l’esecuzione del tampone e sempre con un successivo post del 22 marzo 2020 comunicava l’esito del tampone. Mentre il nostro comunicato non ha detto nulla di più in ordine ai dettagli di anamnesi e clinici e relativamente ai dettagli terapeutici essi non hanno carattere soggettivo poiché diffusi dai protocolli a cui l’Azienda si è attenuta”;

b) “In questo procedimento ci si aspetta … che il Garante per la Protezione dei Dati Personali comprenda come l’Azienda Scrivente in persona del Suo Legale rappresentante, a fronte di una invettiva così forte (quella svolta dal Sig. XX) aveva il dovere di tutelare la propria immagine esponendo la verità per evitare mistificazioni di sorta. – È del tutto evidente che i post sui social network, con un numero elevato di consensi e riferiti allo stato di salute di un ricoverato per Covid, imponevano un comunicato stampa che, esponendo la verità, fosse idoneo a neutralizzare l’offensiva mediatica. – Si vuole dire – in altri termini – che in stato di emergenza, tenuto conto della giustificata apprensione dell’intero Paese legata alla paura della diffusione del virus, l’Azienda Ospedaliera San Carlo – Centro COVID di Basilicata – aveva il dovere di stigmatizzare le offensive mediatiche tese a fare emergere una immagine imperfetta, fuorviante e non veritiera dei fatti”.

Sebbene con nota del 25 giugno 2020 (prot. n. 24131) l’Azienda abbia confermato la richiesta di essere udita già espressa nelle predette memorie, con successiva nota del 22 ottobre 2020 (prot. n. 40145) ha poi rinunciato alla predetta audizione in considerazione del fatto che il procedimento sanzionatorio avviato dall’Autorità “riguarda un comunicato stampa diramato dal portavoce del Direttore Generale pro-tempore, dott. XX,” che “ha fornito le proprie motivazioni in ordine alle ragioni della diramazione del comunicato stampa con la nota prot. n. 15586 del 21.4.2020” e che “in esecuzione della sentenza del Tar per la Basilicata n. 533/2020” è stato “annullato l'atto di conferimento dell'incarico al dott. XX di Direttore Generale dell'Azienda” con la conseguenza che, con “la decadenza del Direttore Generale, è cessato automaticamente, in ragione della fiduciarietà del rapporto, anche l'incarico conferito, ex art. 7 della legge n. 150 del 2000 alla Portavoce”. È stato inoltre rappresentato che “a far data dall'11 agosto 2020, l'Azienda Ospedaliera Regionale San Carlo di Potenza opera in regime di Commissariamento” e che la “gestione commissariale dell'Azienda nulla ritiene di poter asserire in merito alla legittimità o meno della diffusione, mediante il comunicato stampa oggetto del procedimento avviato da codesta Autorità, di dati attinenti alla salute del Sig. XX”.

2. Esito dell’attività istruttoria.

L’attività istruttoria effettuata dall’Ufficio ha riguardato la diffusione di dati sulla salute di un paziente deceduto per Covid-19 da parte dell’Azienda ospedaliera regionale “San Carlo” di Potenza.

Ai sensi del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, il “Regolamento”), i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («integrità e riservatezza»)” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»)” (art. 5, par. 1, lett. a) e c) del Regolamento).

La disciplina in materia di protezione dei dati personali prevede –in ambito sanitario- che le informazioni sullo stato di salute possano essere comunicate solo all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso previa delega scritta di quest’ultimo (art. 9 Regolamento e art. 83 d.lgs. n. 196 del 30 giugno 2003 (Codice in materia di protezione dei dati personali – di seguito, il “Codice”) in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101; cfr. anche provv. generale del 9 novembre 2005, consultabile in www.gpdt.it, doc. web n. 1191411, ritenuto compatibile con il suddetto Regolamento e con le disposizioni del decreto n. 101/2018; cfr. art. 22, comma 4, del citato d.lgs. n. 101/2018).

La normativa vigente, inoltra, vieta espressamente la diffusione dati idonei a rivelare lo stato di salute degli interessati (art. 2-septies, comma 8 e art. 166, comma 2, del Codice).

Con specifico riferimento alla diffusione di dati personali riguardanti persone risultate positive al Covid-19 sui social media e sugli organi di stampa, anche digitali, si rappresenta che il Garante ha precisato che “anche in una situazione di emergenza quale quella attuale, in cui l’informazione mostra tutte le sue caratteristiche di servizio indispensabile per la collettività, non possono essere disattese alcune garanzie a tutela della riservatezza e della dignità delle persone colpite dalla malattia contenute nella normativa vigente e nelle Regole deontologiche relative all’attività giornalistica” (Comunicato stampa del 31 marzo 2020, in www.gpdp.it, doc. web n. 9303613).

Con riguardo alla circostanza che il trattamento in esame concerne una persona deceduta, si evidenzia che il Garante ha più volte rappresentato che il riconoscimento della possibilità di esercitare i diritti in materia di protezione dei dati personali (artt. 15-22, del Regolamento) da parte dei soggetti elencati nell’art. 2-terdecies, comma 1, del Codice, comporta – quale naturale conseguenza e necessario presupposto logico-giuridico – che ai dati personali concernenti le persone decedute continuino ad applicarsi le tutele previste dalla disciplina in materia di protezione dei dati personali (cfr. ex multis parere 7 febbraio 2019, n. 27, doc. web n. 9090308).

Nel settore sanitario, poi, la morte dell’interessato non esclude, per espresso dettato normativo, che si continui ad assicurare alle informazioni che lo riguardano un alto grado di riservatezza legato alla disciplina deontologica, oltre a quella specificamente dedicata alla protezione dei dati personali. Sul punto, infatti, si richiamano le disposizioni del Codice di deontologia medica secondo cui “la morte della persona assistita non esime il medico dall’obbligo del segreto professionale” (art. 10, codice di deontologia medica, come aggiornato da ultimo il 26.2.2020).

3. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

In particolare, si rileva che la predetta Azienda ha diffuso informazioni sullo stato di salute del Sig. XX, successivamente al suo decesso per Covid-19, attraverso la diramazione di un comunicato stampa contenente le numerose e dettagliate informazioni sullo stato di salute del Sig. XX sopra citate, di cui sono invece prive le dichiarazioni, rese pubbliche dal figlio dell’interessato. Tali dichiarazioni, infatti, non riportano i dettagli anamnestici, clinici e terapeutici indicati nel predetto comunicato stampa, facendo esclusivo riferimento alla storia dei vari accessi del Sig. XX alla predetta Azienda con riferimenti generici al suo stato di salute (es. “febbre”, “problemi respiratori” e “tosse”).

Si ritiene inoltre che la finalità di assicurare la popolazione in merito alle cure offerte dalla predetta Azienda ai pazienti Covid-19 poteva essere utilmente raggiunta anche senza diffondere informazioni cliniche di dettaglio sullo stato di salute del sig. XX.

Per tali ragioni si rileva che la messa a disposizione dei predetti dati personali attraverso la diramazione del citato comunicato stampa ha determinato la diffusione di dati sulla salute del Sig. XX, espressamente vietata dall’art. 2-septies, comma 8, del Codice in violazione degli artt. 5, par. 1, lett. a) e 9 del Regolamento.

Ciò stante, considerate le circostanze della predetta diffusione di dati personali e quanto dichiarato dall’Azienda non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

4. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, par. 1, lett. a), e 9 del Regolamento e art. 2-septies, comma 8, del Codice, causata dalla condotta posta in essere dall’Azienda ospedaliera regionale “San Carlo” di Potenza è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi, rispettivamente, dell’art. 83, par.5, lett. a) del Regolamento anche ai sensi dell’art. 166, comma 2 del Codice.

Nel caso di specie – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento, che si applica pertanto al caso di specie.

Si consideri che il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 85, par. 2, del Regolamento in relazione ai quali si osserva che:

- la diffusione dei dati avvenuta tramite il predetto comunicato ha riguardato informazioni sulla salute di un paziente deceduto per Covid -19 (art. 83, par. 2, lett. a) del Regolamento);

- l’Azienda avrebbe agito al fine di tranquillizzare l’opinione pubblica sull’assistenza prestata ai pazienti ricoverati per Covid-19 (art. 83, par. 2, lett. b) del Regolamento);

- la diffusione dei dati sulla salute del reclamante è avvenuta nell’ambito di una eccezionale emergenza sanitaria che ha investito in particolar modo l’attività sanitaria e amministrativa delle strutture sanitarie (art. 83, par. 2, lett. k) del Regolamento);

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 4, lett. a) e par. 5, lett. b) del Regolamento, nella misura di euro 70.000,00 (settantamila) per la violazione degli artt. 5, par. 1, lett. a), e 9 del Regolamento e art. 2-septies, comma 8 del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e sufficientemente dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della potenziale numerosità dei soggetti interessati e della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dall'Azienda ospedaliera regionale “San Carlo” di Potenza, per la violazione degli artt. 5, par. 1, lett. a), e 9 del Regolamento e art. 2-septies, comma 8, del Codice, nei termini di cui in motivazione.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, all’Azienda ospedaliera regionale “San Carlo” di Potenza, con sede legale in Potenza, Via Potito Petrone -Codice Fiscale e Partita IVA – 01186830764, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 70.000,00 (settantamila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento, secondo le modalità indicate in allegato, entro 30 giorni dalla notifica in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

alla predetta Azienda, di pagare la somma di euro 70.000,00 (settantamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981. Al riguardo, si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro 30 giorni dalla data della notifica del presente provvedimento, ai sensi dell’art. 166, comma 8, del Codice (cfr. anche art. 10, comma 3, del d. lgs n. 150 dell’1/9/2011);

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 27 gennaio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei