[doc. web n. 9688471]

Ordinanza ingiunzione nei confronti di Società e Salute S.p.a. - 27 maggio 2021

Registro dei provvedimenti
n. 213 del 27 maggio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv.  Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. La violazione dei dati personali.

La Società e Salute S.p.a. (anche “Centro Medico Santagostino”) ha notificato una violazione di dati personali, ai sensi dell’art. 33 del Regolamento, in relazione all’avvenuta consegna di un referto, attraverso un corriere munito di apposita delega per il ritiro, a persona diversa dal destinatario, per errore umano dovuto a omonimia.

Nella medesima comunicazione è stato dichiarato che “sono stati oggetto di violazione dati personali comuni: nome e cognome; data di nascita; codice fiscale; indirizzo di residenza (e) dati personali particolari: la tipologia di prestazione di cui l’interessato ha usufruito (esame del liquido seminale); l’esito dell’esame svolto”, evidenziando che la violazione “è interamente dovuta ad una azione incidentale interna. I sistemi e le infrastrutture IT (della Società) non sono stati coinvolti nell’incidente” (nota del XX).

Con successiva nota del XX è stato altresì comunicato che la consegna a mezzo corriere è stata effettuata dopo vari tentativi infruttuosi di contatto telefonico e via e-mail con l’interessato e che sono stati adottati provvedimenti disciplinari nei confronti dell’operatore responsabile della consegna del referto.

2. L’attività istruttoria.

In relazione a quanto comunicato dalla Società, l’Ufficio, con atto del XX, prot. n. xx, ha avviato, ai sensi dell’art. 166, comma 5, del Codice, con riferimento alle specifiche situazioni di illiceità in esso richiamate, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2 del Regolamento, nei confronti della stessa Società, invitandola a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, l. n. 689 del 24 novembre 1981).

In particolare l’Ufficio, nel predetto atto ha preliminarmente rappresentato che:

- “la disciplina in materia di protezione dei dati personali prevede –in ambito sanitario- che le informazioni sullo stato di salute possano essere comunicate solo all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso previa delega scritta di quest’ultimo (art. 9 Regolamento e art. 84 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101; cfr. anche provv. generale del 9 novembre 2005, consultabile in www.gpdt.it, doc. web n. 1191411, ritenuto compatibile con il suddetto Regolamento e con le disposizioni del decreto n. 101/2018; cfr. art. 22, comma 4, del citato d.lgs. n. 101/2018)”;

- “il titolare del trattamento è (…) tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di “integrità e riservatezza”, in base al quale i dati personali devono essere trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (art. 5, par. 1, lett. f) del Regolamento”.

Ciò premesso, sulla base degli elementi in atti, con il predetto atto del XX, l’Ufficio ha reputato che la Società, consegnando, mediante un corriere munito di delega, un referto a un soggetto diverso dall’interessato, abbia effettuato una comunicazione di dati, relativi alla salute di un paziente, ad altro paziente in assenza di un idoneo presupposto giuridico e, quindi, in violazione dei principi di base del trattamento di cui agli artt. 5 e 9 del Regolamento. 

Con nota del XX, la Società ha fatto pervenire le proprie memorie difensive, nelle quali, in particolare, è stato dichiarato che:

a) “la violazione contestata ha avuto origine nella fase di consegna del referto su delega, a causa di un errore materiale dell’operatore addetto alla consegna, in violazione accidentale delle procedure interne inerenti la consegna fisica dei referti e l’identificazione dei pazienti. L’operatore in questione, mancando di verificare puntualmente la data di nascita ed il codice fiscale dell'interessato (o altro elemento desumibile dalla documentazione esibita e suscettibile di garantire identificazione affidabile dello stesso), ha stampato e consegnato al corriere il referto di un paziente omonimo, il quale risulta essere dunque l’unico interessato coinvolto nella violazione”;

b) “la durata temporale della suddetta violazione risulta essere stata limitata nel tempo in ragione di una serie di elementi concomitanti: la segnalazione del terzo non autorizzato, in possesso di documentazione non a lui riferita, che ha provveduto a segnalare l’accaduto poco dopo la consegna del referto in questione da parte del corriere; il pronto intervento del team aziendale di competenza, che si è istantaneamente attivato espletando le necessarie indagini interne, allo scopo di interrompere il prima possibile la violazione contestata e di far ottenere al terzo non autorizzato il referto di propria competenza”;

c) “non appena ricevuta segnalazione della violazione, pervenuta a Società e Salute S.p.A. in data venerdì 4/10/2019 alle ore 18:13, il team aziendale di competenza si attivava, ponendo in essere gli accertamenti necessari, e, verificata la situazione, provvedeva a contattare immediatamente il terzo non autorizzato (autore della segnalazione), allo scopo di ottenere la sera stessa la riconsegna del documento oggetto della violazione e, contestualmente, procedere alla consegna della documentazione corretta” che è avvenuta, sulla base della disponibilità del terzo, il “lunedì successivo (7/10/2019), giorno in cui due componenti del team ottenevano di fatto la restituzione della documentazione errata e provvedevano alla consegna della documentazione corretta. Società e Salute S.p.A. procedeva dunque a notificare l’accaduto all’Autorità la sera stessa”;

d) “appurata la non reperibilità telefonica dell’interessato, Società e Salute S.p.A. ha provveduto a comunicare all’interessato l’accaduto a mezzo email. L’interessato non ha mai fornito alcun tipo di riscontro, né a Società e Salute S.p.A., alla data odierna, risulta che abbia mai tentato un contatto di alcun tipo, anche mediante canale differente dalla posta elettronica”;

e) “la condotta dell’operatore che ha determinato la violazione contestata è totalmente ascrivibile ad un errore materiale, di natura esclusivamente umana, dovuto a probabile distrazione dell’operatore stesso; il carattere della violazione contestata risulta pertanto essere colposo (…); l’operatore ha inoltre espressamente sottolineato più volte di essere caduto in errore, dando evidenza di un comportamento non intenzionale”;

f) “è stato portato avanti (…) un piano di interventi sulla parte IT (gap analysis e registro degli aggiornamenti), ed è stato adottato un regolamento sulla sicurezza dei dati personali. (…)”;

g) “l’attività di formazione è stata svolta con un focus particolare sull’aspetto umano della sicurezza informatica (campagne sulla sicurezza, implementazione di processi privacy by design per aiutare i dipendenti nell’uso corretto degli strumenti informatici, promozione dell’awareness per responsabilizzare tutti gli addetti ai lavori sui loro comportamenti)”;

h) “a seguito della notifica della violazione contestata dall’Autorità, Società e Salute S.p.A. ha inoltre provveduto a” revisionare la “Procedura interna per la consegna fisica del referto medico e dei risultati degli esami di laboratorio (…), contenente le corrette modalità di consegna referti” e, oltre a quanto già dichiarato, a “valutare la predisposizione di un piano formativo ad aggiornamento periodico e costante che preveda formazione diretta dei Responsabili di sede, tenuti poi a distribuire la conoscenza acquisita sui loro diretti sottoposti (customer care)”.

La Società ha riferito, poi, “quale fattore attenuante applicabile alle circostanze del  caso, potenzialmente incidente sull’errore dell’operatore addetto alla consegna,  l’atteggiamento del corriere espresso delegato al ritiro, essendosi tale comportamento qualificato, stando alle parole dell’operatore autore dell’errore, come “sempre più ostile e aggressivo nei modi, culminato anche nella pretesa, ad esempio, di non rispettare la fila”, e caratterizzato da  “costanti e aggressive (a livello verbale) pressioni” .

In occasione delle predette memorie, è stato, altresì, trasmesso il documento recante “Revisione-Procedura interna per la consegna fisica del referto medico e dei risultati degli esami di laboratorio” dalla quale risulta che:

- “La consegna fisica del referto medico avviene tramite la presentazione da parte del diretto interessato dei seguenti documenti:

modulo di ritiro referto (per esami di laboratorio) ricevuto dal paziente al momento dell’accettazione;

documento di identità in corso di validità (sufficiente in caso di mancanza di modulo).

In caso di persona diversa dall’interessato, la consegna fisica avviene in busta chiusa e sigillata solo dopo presentazione di:

delega scritta:

documento di identità in corso di validità del delegato e del delegante. 

In caso di ritiro effettuato da un delegato, il customer care è tenuto a ritirare la delega, la fotocopia del documento di identità del delegante e di quella del delegato e archiviare il tutto nell’apposito faldone”;

- tutto il personale coinvolto è stato avvisato sull’obbligo di controllare che i dati dell’interessato o del delegato corrispondano effettivamente all’interessato o alla persona che il delegante ha nominato e verificare la presenza di tutta la documentazione richiesta e conservarla in apposito faldone;

- sono state fornite ulteriori istruzioni operative, aventi ad oggetto l’identificazione dell’interessato e l’obbligo di riservatezza e segretezza sulle informazioni delle quali il personale viene a conoscenza nel corso delle operazioni.

3. Esito dell’attività istruttoria

Premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice (“Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”), all’esito dell’esame della documentazione acquisita nonché delle dichiarazioni rese all’Autorità nel corso del procedimento, emerge che la Società ha effettuato una comunicazione di dati relativi alla salute in assenza di un idoneo presupposto giuridico, in violazione dei principi di base del trattamento di cui agli artt. 5 e 9 del Regolamento.

4. Conclusioni

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria, si rappresenta che gli elementi forniti dallo stesso nelle memorie difensive, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Pertanto, si confermano le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali sulla salute effettuato dalla Società, in violazione degli artt. 5 e 9 del Regolamento.

In tale quadro, considerato, tuttavia, che la condotta ha esaurito i suoi effetti – atteso, altresì, che la Società ha fornito assicurazioni in ordine alla riconsegna del documento all’interessato e alle iniziative poste in essere al fine di sensibilizzare il personale e evitare la ripetizione della condotta errata - non ricorrono i presupposti per l’adozione di ulteriori provvedimenti correttivi da parte dell’Autorità, ai sensi dell’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5 e 9 del Regolamento, determinata dal trattamento di dati personali, oggetto del presente provvedimento, effettuato dalla Società, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, lett. a) del Regolamento.

Si consideri che il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2, del Regolamento in relazione ai quali si osserva che:

- il trattamento dei dati effettuato dalla Società riguarda dati idonei a rilevare informazioni sulla salute di un solo interessato (art.  83, par. 2, lett. a) e g) del Regolamento);

- l’episodio è stato accidentale e determinato da un errore umano, determinato, peraltro, da un caso di omonimia, da parte di un operatore che prestava servizio presso la Società (art. 83, par. 2, lett. b) del Regolamento);

- l’Autorità ha preso conoscenza della violazione a seguito della notifica effettuata dal titolare del trattamento che ha informato dell’accaduto l’interessato e non sono pervenuti reclami o segnalazioni al Garante sull’accaduto (art. 83, par. 2, lett. h) del Regolamento);

- la Società ha collaborato pienamente con l’Autorità nel corso dell’istruttoria e del presente procedimento (art. 83, par. 2, lett. f) del Regolamento);

- il titolare del trattamento si è prontamente attivato per porre rimedio all’accaduto e ha previsto una revisione delle procedure di consegna fisica del referto e dei risultati degli esami di laboratorio (art. 83, par. 2, lett. c) e d) del Regolamento);

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, nella misura di euro 10.000 per la violazione degli artt. 5 e 9 del Regolamento quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata la violazione degli artt. 5 e 9 del Regolamento, dichiara l’illiceità del trattamento di dati personali effettuato dalla Società nei termini di cui in motivazione; 

ORDINA

alla Società e Salute S.p.a (anche “Centro Medico Santagostino”), con sede legale in Milano, via Temperanza 6, P.IVA e CF - 05128650966, in persona del legale rappresentante pro-tempore, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, di pagare la somma di euro 10.000,00 (diecimila) a titolo di sanzione amministrativa pecuniaria per la violazione di cui al presente provvedimento, secondo le modalità indicate in allegato, entro 30 giorni dalla notifica in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 10.000,00 (diecimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

- la pubblicazione del presente provvedimento sul sito web del Garante, ai sensi dell’art. 166, comma 7, del Codice;

- l’annotazione del presente provvedimento nel registro interno dell’Autorità - previsto dall’art. 57, par. 1, lett. u), del Regolamento, nonché dall’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante - relativo alle violazioni e alle misure adottate in conformità all'art. 58, par. 2, del Regolamento medesimo.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma,  27 maggio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Cerina Feroni

IL SEGRETARIO GENERALE
Mattei