[doc. web n. 9688020]

Ordinanza ingiunzione nei confronti di ATS di Bergamo, Agenzia di Tutela della salute - 13 maggio 2021

Registro dei provvedimenti
n. 206 del 13 maggio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore l’avv. Guido Scorza;

PREMESSO

1. La violazione dei dati personali

Con nota del 1° marzo 2019, la ATS di Bergamo, Agenzia di Tutela della salute (di seguito ATS o Agenzia) ha notificato al Garante una violazione di dati personali, ai sensi dell’art. 33 del Regolamento, consistente nell’inoltro, per la compilazione di un questionario di “(…) tre email con destinatari multipli (ciascuna avente 62 destinatari). Nonostante precise istruzioni impartite all’operatore incaricato dell’invio, gli indirizzi email di ciascun gruppo di destinatari sono stati inseriti nel campo (…) Cc, anziché nel campo (…) Ccr/Ccn. In questo modo chi ha ricevuto l’email è venuto a conoscenza degli indirizzi di posta elettronica degli altri 61 destinatari della comunicazione. Dal testo della email emerge che i destinatari delle comunicazioni, sono persone (o, più spesso sono familiari di persone) che soffrono di disturbi dello sviluppo con particolare riferimento ai disturbi dello spettro autistico. (…) Non si può quindi escludere che coloro che hanno ricevuto l’email riescano a risalire alla precisa identità di altri destinatari venendo così indirettamente conoscenza (…) anche di un dato relativo alla salute”. 

2. L’attività istruttoria

Con riferimento alla predetta violazione, nell'ambito dell'istruttoria preliminare avviata dall'Ufficio del Garante, l’Agenzia con nota, del 29 gennaio 2021 (prot. n. 10042), ha fornito riscontro alla richiesta di informazioni dell’Ufficio (nota del 30 dicembre 2020, prot. n. 49831) in ordine ai fatti oggetto della suddetta notifica, comprovando quanto dichiarato con idonea documentazione, rappresentando, ai sensi dell'art 168 del Codice, in particolare, in atti che:

«In data 28 febbraio 2019, il (…), direttore del Dipartimento della Programmazione per l’Integrazione delle Prestazioni Sociosanitarie con quelle Sociali (DPIPSS), a seguito dell’episodio di violazione dei dati personali avvenuto lo stesso giorno (…), ha convocato per il giorno seguente, 1° marzo 2019, il Sig. (…), incaricato dell’invio delle email, a un incontro (…)»;

In quell’occasione è stata evidenziata all’incaricato dell’invio delle richiamate email «la serietà dell’accaduto occorso in ragione della mancata applicazione delle istruzioni ricevute (…) sull’utilizzo della modalità “CCN” per l’invio della mail contenente il modulo di customer satisfaction destinato a persone affette da disturbi dello spettro autistico e/o alle loro famiglie»;

il direttore DPIPSS «il giorno 6 marzo 2019, ha convocato una riunione del personale del Dipartimento per il giorno 11 marzo 2019 al fine di condividere quanto accaduto, spiegandone la dinamica, e per procedere poi alla rilettura dell'Istruzione Operativa (…) dedicata a "Postazione di lavoro e servizi di rete". Alla riunione hanno partecipato tutti e 20 gli invitati afferenti al DPIPSS, come si evince dal foglio di raccolta firme. Il verbale dell’incontro riporta che nel corso dello stesso è emersa la necessità di una più chiara ed esplicita formulazione della procedura concernente l’invio di comunicazioni per posta elettronica. Tale esigenza è stata condivisa dal Dirigente dell’Area Affari Legali e Assicurativi che l’ha quindi sottoposta il 12 marzo 2019 al responsabile della procedura (…), dirigente dei Servizi Informatici Aziendali (SIA) per una revisione»;

«La nuova Istruzione Operativa (…) emessa il 15 maggio 2019 e pubblicata sulla bacheca Aziendale il 20 maggio 2019 riporta al cap. 3, paragrafo 3, le norme dettagliate relative all’invio di mail contenenti dati sensibili e, in particolare, indicazioni precise sull’utilizzo del campo “CCN” (copia conoscenza nascosta) nel caso di destinatari multipli»;

«Il Responsabile per la Protezione dei Dati dell’ATS di Bergamo (…) che è stato immediatamente avvisato dell’episodio di “data breach” la sera stessa del 28 febbraio 2019, ha supportato l’ATS di Bergamo in tutta la vicenda e, negli incontri di aggiornamento e formazione del 18 aprile 2019 e del 20 maggio 2019, ha affrontato la problematica con i referenti privacy dell’ATS»;

«Ad oggi non risultano pervenuti a questa ATS reclami scritti da parte di alcuno dei destinatari delle email trasmesse. Sono viceversa pervenute, nella immediatezza dell’episodio, due telefonate di famiglie risentite dell’accaduto, alle quali sono state porte le dovute scuse»;

«Per completezza di informazione si evidenzia che al dipendente incaricato di inviare le email è stata irrogata la sanzione disciplinare del rimprovero scritto».

Sulla base degli elementi acquisiti, attraverso la comunicazione della violazione di dati personali nonché nell'ambito dell'istruttoria preliminare, l’Ufficio, con atto del 16 febbraio 2021 prot. n. 9375, notificato in pari data mediante posta elettronica certificata, che qui deve intendersi integralmente riprodotto, ha avviato, ai sensi dell’art. 166, comma 5, del Codice, con riferimento alle specifiche situazioni di illiceità in esso richiamate, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2 del Regolamento, nei confronti della stessa Agenzia invitandola a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, l. n. 689 del 24 novembre 1981).

Con nota del 12 marzo 2021 (prot. n. 25922), l’Agenzia ha fatto pervenire le proprie memorie difensive fornendo gli elementi di cui all’art. 83, paragrafo 2 del Regolamento, nelle quali, in particolare, è stato rappresentato che:

a) in relazione al fatto e all’evento contestati “Relativamente al numero dei soggetti coinvolti nella violazione vale la pena sottolineare anzitutto che essendo stato l’invio suddiviso in 3 gruppi da 62 destinatari ciascuno, il numero massimo di indirizzi “conoscibili” da ciascun destinatario è stato limitato a 61 unità (invece che ai 185 possibili nel caso di invio unico)”; inoltre solo un centinaio di indirizzi email (su un totale di 186) riporta come “account” un nome e un cognome (…). I restanti indirizzi email riportano come “account” o solo un nome, o solo un cognome, abbinati o meno in cifre, oppure nomi di fantasia, e in questi casi la possibilità di risalire alla reale identità del destinatario pare assai remota”;

b) in relazione agli elementi soggettivi della condotta: “La violazione è da ritenersi di carattere colposo dovuta a negligenza del dipendente autore dell’invio, a cui era stato espressamente indicato di inserire gli indirizzi dei destinatari nel campo CCN”;

c) con riferimento alle misure adottate per attenuare gli effetti della violazione per gli interessati “Il giorno stesso nel quale è avvenuta la violazione, ai soggetti coinvolti (…) è stata inviata, sempre tramite posta elettronica, una comunicazione di scuse mediante la quale si è spiegato l’errore accaduto. In alcuni casi gli indirizzi email dei destinatari sono risultati inattivi o errati; le persone che per questo motivo non hanno ricevuto l’email loro destinata sono state comunque contattate per posta cartacea e/o telefonicamente in modo da essere adeguatamente informate dell’accaduto”;

d) con riferimento alle misure tecniche e organizzative poste in essere dal Titolare in generale e a seguito della notifica di data breach: “In sostituzione della Istruzione Operativa (…)  emessa il 7 novembre 2017 e vigente al tempo della violazione, è stata emessa il 15 maggio e pubblicata sulla bacheca Aziendale il 20 maggio 2019 una nuova Istruzione Operativa, (…) che, al cap. 3, paragrafo 3, riporta le norme dettagliate relative all’invio di mail contenenti dati sensibili e, in particolare, indicazioni precise sull’utilizzo del campo “CCN” (copia conoscenza nascosta) nel caso di destinatari multipli. In data 18 aprile e 20 maggio 2019 si sono tenuti, a cura dell’RPD (DPO), incontri di aggiornamento e formazione dei referenti privacy dell’ATS durante i quali si è affrontata la problematica emersa in occasione della violazione. Congiuntamente all’RPD vengono attuate azioni di monitoraggio della procedura definita dall’Azienda sopra descritta”;

e) “È stata avviata una campagna di sensibilizzazione attraverso incontri formativi, al personale dipendente, in materia di Data Protection e in particolare sull’utilizzo degli strumenti informatici in uso”;

L’Agenzia, chiedeva, pertanto, a questa Autorità di valutare favorevolmente “la tempestività con la quale la violazione è stata comunicata, l’immediato coinvolgimento del RPD, la trasparenza con la quale i soggetti coinvolti sono stati portati a conoscenza dell’avvenuta violazione, il limitato numero dei soggetti coinvolti anche in ragione della modalità di invio adottata, l’attività di (in)formazione tempestivamente messa in atto dall’ATS e dal RPD che ha coinvolto e referenti privacy dell’Agenzia”.

3. Esito dell’attività istruttoria

In via preliminare, si fa presente che per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)” e per “dati relativi alla salute” “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, paragrafo 1, nn. 1 e 15 del Regolamento). Pertanto, le informazioni oggetto della notifica, contenute nelle richiamate email, che recavano in allegato un questionario indirizzato alle famiglie con persone affette da disturbi dello spettro autistico al fine di rilevare la soddisfazione degli interventi di cui fruiscono, costituiscono dati personali relativi alla salute (cfr., sulla riconducibilità dell’indirizzo email alla nozione di dato personale, già Provv. 25 giugno 2002, doc. web n. 29864 e Provv. del 9 gennaio 2020, doc. web 9261234).

Con particolare riferimento alla questione prospettata, si evidenzia che i dati personali devono essere “trattati in modo lecito corretto e trasparente” (principio di “liceità, correttezza e trasparenza”) e “in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (principio di “integrità e riservatezza”)” (art. 5, par. 1, lett. a) e f) del Regolamento).

La disciplina in materia di protezione dei dati personali prevede –in ambito sanitario- che le informazioni sullo stato di salute possano essere comunicate solo all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso previa delega scritta di quest’ultimo (art. 9 Regolamento e art. 83 d.lgs. n. 196 del 30 giugno 2003 (Codice in materia di protezione dei dati personali – di seguito, il “Codice”) in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101; cfr. anche provv. generale del 9 novembre 2005, consultabile in www.gpdt.it, doc. web n. 1191411, ritenuto compatibile con il suddetto Regolamento e con le disposizioni del decreto n. 101/2018; cfr. art. 22, comma 4, del citato d.lgs. n. 101//2018).

Tanto premesso, con riguardo al caso di specie, l’Agenzia ha confermato, nelle memorie difensive la circostanza che dal contesto della comunicazione inviata con le richiamate e-mail poteva desumersi che i destinatari delle stesse, “sono persone (o, più spesso sono familiari di persone) che soffrono di disturbi dello sviluppo con particolare riferimento ai disturbi dello spettro autistico (…)” e che dunque tali comunicazioni hanno avuto ad oggetto informazioni relative alla salute, in quanto tali soggette alla disciplina in materia di protezione dei dati personali. In particolare, tale comunicazione ha comportato un trattamento di dati personali in violazione delle disposizioni accertate dal Garante con nota del 16 febbraio 2021 prot. n. 9375 seppure causate da una condotta colposa “dovuta a negligenza del dipendente autore dell’invio, a cui era stato espressamente indicato di inserire gli indirizzi dei destinatari nel campo CCN”.

L’Agenzia ha, inoltre, sottolineato che ha seguito dell’accaduto “è stata emessa il 15 maggio e pubblicata sulla bacheca Aziendale il 20 maggio 2019 una nuova Istruzione Operativa, IOIT05-5) che, al cap. 3, paragrafo 3, riportale norme dettagliate relative all’invio di mail contenenti dati sensibili e, in particolare, indicazioni precise sull’utilizzo del campo “CCN”” e di aver messo in atto specifiche misure sopra descritte per attenuare gli effetti della violazione nei confronti degli interessati.

4. Conclusioni

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice˗ gli elementi forniti dal titolare del trattamento nella memoria difensiva, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni si rileva l’illiceità del trattamento di dati personali effettuato dalla ATS di Bergamo, Agenzia di Tutela della salute, per aver effettuato una comunicazione di dati relativi alla salute di 186 pazienti, in assenza di un idoneo presupposto giuridico e, quindi, in violazione dei principi di base del trattamento di cui agli artt. 5, par. 1 lett. a) e f) e 9 del Regolamento nonché dell’art. 75 del Codice, che riassume le condizioni del trattamento dei dati personali per finalità di tutela della salute in ambito sanitario.

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5 del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, ai sensi degli artt. 58, par. 2, lett. i) del Regolamento.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti e che sono state fornite idonee assicurazioni da parte del titolare del trattamento, che al riguardo ha implementato specifiche misure tecniche per evitare il ripetersi della condotta contestata, non ricorrono i presupposti per l’adozione di provvedimenti, di tipo prescrittivo o inibitorio, di cui all’art. 58, par. 2 del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione dell’art. 5, par. 1, lett. a) e f) e 9 del Regolamento nonché dell’art. 75 del Codice, causata dalla condotta posta in essere dall’Agenzia ATS di Bergamo è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, lett. a) (cfr. art. 166, comma 2 del Codice).

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2 e, del Regolamento, in relazione ai quali si osserva che:

1. il trattamento dei dati effettuato ha riguardato informazioni idonee a rilevare lo stato di salute di n. 186 soggetti particolarmente vulnerabili in quanto si è trattato di persone (o, più spesso di familiari di persone) che soffrono di disturbi dello spettro autistico, (art. 4, par. 1, n. 15 del Regolamento e art. 83, par. 2, lett. a) e g) del Regolamento);

2. l’Autorità è venuta a conoscenza della violazione tramite la notifica della violazione di dati personali effettuata dalla Agenzia il 1° marzo 2019 e non sono pervenuti segnalazioni o reclami rispetto alla condotta oggetto del presente procedimento; non risultano, altresì, precedenti violazioni pertinenti commesse dal titolare del trattamento né sono stati precedentemente disposti provvedimenti di cui all’art. 58 del Regolamento;

3. la condotta, pur non avendo il carattere della intenzionalità, è connotata da colpa grave tenuto conto che al dipendente “era stato espressamente indicato di inserire gli indirizzi dei destinatari nel campo CCN”;

4. il titolare del trattamento, non appena venuto a conoscenza della violazione, ha posto in essere specifiche misure per attenuare gli effetti della violazione per gli interessati e ha adottato delle misure organizzative volte a evitare la ripetizione della condotta illecita, prevedendo:

l’integrazione dell’Istruzione Operativa che indica in una specifica sezione le regole da seguire in occasione dell’invio di mail contenenti dati sensibili e, in particolare, indicazioni precise sull’utilizzo del campo “CCN” (copia conoscenza nascosta) nel caso di destinatari multipli;

l’incontro a cura del Responsabile della protezione dei dati di aggiornamento e formazione dei referenti privacy dell’ATS durante i quali si è affrontata la problematica emersa in occasione della violazione.

azioni di monitoraggio della richiamata procedura operativa.

6. l’Agenzia ha collaborato prontamente con l’Autorità, nel corso della istruttoria e del presente procedimento;

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, nella misura di euro 20.000 (ventimila) per la violazione degli artt. 5, par. 1, lett. a), f) e 9, del Regolamento e dell’art. 75 del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1 e 3, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato ATS di Bergamo, Agenzia di Tutela della salute, per la violazione degli artt. 5, par. 1, lett. a), f) e 9 del Regolamento e dell’art. 75 del Codice nei termini di cui in motivazione.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ATS di Bergamo, Agenzia di Tutela della salute, con sede legale in Bergamo, Via Gallicciolli 4 – P.IVA: 04114400163, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 20.000,00 (ventimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento.

Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.

INGIUNGE

alla predetta Agenzia, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 20.000,00 (ventimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 13 maggio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei