Provvedimento del 24 marzo 2022 [9767077]
Provvedimento del 24 marzo 2022 [9767077]
Condividi[doc. web n. 9767077]
Provvedimento del 24 marzo 2022
Registro dei provvedimenti
n. 100 del 24 marzo 2022
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE” (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;
Relatore la prof.ssa Ginevra Cerrina Feroni;
PREMESSO
1. La violazione di dati personali
L’Istituto Nazionale dei Tumori di Milano-Fondazione IRCSS di diritto pubblico (di seguito “Istituto” o “Fondazione”) ha notificato una violazione di dati personali, ai sensi dell’art. 33 del Regolamento (notificazione del 9 aprile 2021, prot. n. 0003912).
In tale ambito, l’Istituto –con dichiarazioni della cui veridicità risponde penalmente ai sensi dell’art. 168 del Codice - ha dichiarato che la violazione è avvenuta in data 7 aprile 2021 e di esserne venuto a conoscenza in data 8 aprile 2021, alle ore 10:20, per il tramite del responsabile del trattamento.
La violazione, consistita nell’ ”invio con posta assicurata a destinatario errato di un plico contenente referto e CD di prestazione radiologica”, è stata causata da un’azione accidentale interna ed ha comportato la perdita di confidenzialità di dati anagrafici e di dati relativi alla salute (referto e un Cd relativi alla risonanza magnetica) di un paziente.
Più nello specifico, è stato rappresentato che “l’amministrativo della radiologia ha imbustato il CD e il referto di indagine diagnostica senza il consueto controllo accurato della correlazione tra il nominativo nei documenti e il nominativo sulla busta”.
La gravità della violazione è stata stimata come bassa, in quanto “il paziente che ha ricevuto la documentazione di altro soggetto ha tempestivamente distrutto il CD e il referto”.
Inoltre, per prevenire simili violazioni future, l’Istituto ha rappresentato di avere attivato un “re-training sulla misure di sicurezza per tutto il personale amministrativo della radiologia”.
La violazione è stata comunicata, in ogni caso, all’interessata ai sensi dell’art. 34 del Regolamento, che si sarebbe dichiarata “soddisfatta delle misure adottate per tutelare i suoi dati”.
2. L’attività Istruttoria
In relazione a quanto notificato, a seguito di una specifica istruttoria preliminare (nota del 24 maggio 2021, prot. n. 28381), l'Ufficio, con atto prot. n. 0040249, del 2 agosto 2021, ha notificato alla Fondazione, ai sensi dell'art. 166, comma 5 del Codice, l’avvio del procedimento per l'adozione dei provvedimenti, di cui all'articolo 58, paragrafo 2 del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall'Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/l l/1981).
In sede istruttoria, oltre a quanto già dichiarato nella notificazione, è emerso, in particolare, che:
- “l’evento (...) si è verificato nella fase di consegna dei referti in esito alle prestazioni radiologiche effettuate in regime di libera professione intramuraria nell’ambito della struttura complessa “gestione Amministrativa Servizi Sanitari e Convezioni” dell’Istituto;
- presso la richiamata struttura sarebbero adottate misure idonee ai sensi dell’art. 32 del Regolamento;
- “al fine di evitare inutili dilazioni e di minimizzare altresì il rischio di errori e imprecisioni la consegna dei referti e delle relative immagini in esito alle prestazioni radiologiche segue una schedule particolarmente rigorosa e tempestiva;
- la consegna -che viene effettuata da parte di soggetti designati ed espressamente autorizzati al trattamento dei dati personali- avviene immediatamente al termine della prestazione stessa in caso di mammografie, ecografi, e TAC, mentre in caso di risonanze magnetiche – la cui acquisizione ed elaborazione richiedono un maggiore lasso di tempo- è il radiologo a comunicare direttamente al paziente le tempistiche di refertazione che, di prassi, avviene nell’arco del giorno successivo alla prestazione;
- Nel primo scenario, l’operatore addetto (...) ritira il CD con le immagini radiologiche, depositato nel raccoglitore del masterizzatore, collocato in un’area non visibile né accessibile al pubblico ma soltanto agli utenti autorizzati. L’operatore, attraverso dispositivo aziendale accessibile esclusivamente previo inserimento di univoche credenziali di autenticazione, stampa il referto relativo al CD prelevato e controlla che i dati indicati sul CD corrispondano a quelli stampati sul referto (...)”;
- Una volta assodata la corrispondenza di tali dati, l’operatore inserisce tutta la documentazione in apposita busta, chiusa e sigillata, che consegna direttamente al paziente (...);
- Nel secondo scenario, l’operatore procede in maniera analoga a quella sopra descritta quanto alle fasi di prelievo del CD, stampa del referto e verifica della corrispondenza dei dati presenti su CD e su referto. A tali attività segue la predisposizione della documentazione ai fini della consegna, che prevede attenta verifica della corrispondenza tra i dati stampati sul CD e sul referto con quelli relativi all’intestatario della busta. La busta – chiusa e sigillata- è quindi conservata negli archivi protetti del CUP radiologico fino alla spedizione via posta all’indirizzo del paziente ovvero alla consegna dello stesso brevi manu (...)”;
- Pur considerando entrambe le procedure sopra descritte idonee a prevenire rischi per i diritti e le libertà fondamentali degli interessati, “la Fondazione ha adottato le seguenti nuove misure al fine di minimizzare ulteriormente i rischi” (...)”;
- “Al fine di prevenire accadimenti simili a quello in oggetto, è stata immediatamente istituita una postazione ad hoc presso i locali del CUP radiologico dedicata esclusivamente all’attività di preparazione della documentazione radiologica ai fini della consegna al paziente”;
- Inoltre è stata implementata una modifica nella procedura di verifica dei dati nel caso in cui la consegna avvenga in un momento successivo all’effettuazione della prestazione”. La procedura di seguito descritta garantisce ora un doppio controllo;
- “A seguito del prelievo del CD dal raccoglitore, della stampa del referto, della verifica della corrispondenza dei dati sul CD e sul referto, l’operatore è tenuto a intestare la busta, dove verrà inserita la documentazione da inviare, e a controllare la corrispondenza dei dati riportati sulla busta (destinatario e indirizzo di spedizione) con quelli stampati su CD e su referto. A questo punto l’operatore inserisce la documentazione nella busta che, tuttavia, non sigilla immediatamente ma conserva in luogo protetto, custodito a chiave durante i periodi di assenza o comunque di mancato presidio. Entro le 12:00 del giorno successivo porta personalmente le buste da spedire o da consegnare all’Ufficio Consegna Referti della Fondazione, dove un altro operatore verifica, per ogni busta e anche mediante raffronto con le annotazioni della lista pazienti, la corrispondenza di tutti i dati contenuti nei documenti e quelli dell’intestazione della busta al fine di garantire un doppio check dell’esattezza dei dati”;
- E’ stato previsto inoltre che l’operatore annoti “accanto ad ogni nominativo della lista dei pazienti gestiti, la tipologia di documentazione radiologica (...) e la modalità di consegna” (...);
- Con riferimento alla nuova procedura sopra descritta gli operatori autorizzati hanno altresì ricevuto uno specifico training;
- “Il giorno dopo l’episodio segnalato sono state presentate verbalmente ulteriori e specifiche istruzioni” agli operatori ed “è stata affissa una nota contenente le istruzioni operative nei locali dedicati alla postazione ad hoc” (...);
- “Al fine di rispettare il dettato dell’art. 32 del citato Regolamento, (...) la Fondazione ha previsto l’implementazione di controlli periodici di verifica e valutazione dell’efficacia della procedura complessiva di consegna referti radiologici” nonché controlli quotidiani dall’operatore addetto all’Ufficio Consegna Referti che “comunicherà tempestivamente al coordinatore d’Ufficio eventuali anomalie, errori o violazioni della procedura riscontrate”;
- È stata svolta una costante attività di formazione e di sensibilizzazione del personale sanitario e tecnico-amministrativo sui temi della protezione dei dati personali (nota dell’11 giugno 2021);
Con il richiamato atto del 2 agosto 2021, l’Ufficio ha ritenuto che l’Istituto abbia comunicato a soggetti terzi non autorizzati dati personali, anche inerenti allo stato di salute, in assenza di idonea base giuridica nonché in assenza di misure tecniche o organizzative adeguate a prevenire violazioni di riservatezza. Ciò in violazione dei principi di liceità del trattamento e di integrità e riservatezza, previsti dal Regolamento (artt. 5, par. 1, lett. a) e f), 6, 9 e 32 del Regolamento).
Con nota del 6 settembre 2021 (prot. n. 0008521), l’Istituto ha fatto pervenire le proprie memorie difensive, senza avanzare una specifica richiesta di audizione.
In tale ambito, nel ribadire quanto già rappresentato in precedenza, è stato in particolare evidenziato che:
“l’evento si realizzava nell’ambito del trattamento di dati personali connesso alla preparazione e alla consegna dei referti radiologici che veniva legittimamente svolto per finalità di diagnosi e assistenza sanitaria ai sensi dell’art. 9, 2°comma lett. h) del regolamento (...);
In questo contesto di legittimità a causa di un’azione accidentale interna (...) il referto veniva indirizzato ad un altro soggetto;
“il referto e il cd con le immagini radiologiche, oggetti di comunicazione a paziente errato, contenevano dati anagrafici e dati relativi alla salute di un paziente che aveva effettuato le prestazioni radiologiche presso la Fondazione. Giova evidenziare, tuttavia, che nel referto non era presente la diagnosi clinica ma soltanto il numero di classificazione radiologica”;
la violazione ha riguardato un solo soggetto interessato (...) e ha avuto una durata estremamente ridotta, considerato che, non appena ricevuti, i documenti contenenti i dati personali sono stati distrutti immediatamente e in maniera irreversibile dall’errato destinatario”;
l’impatto dell’evento sull’interessato è stato considerato trascurabile e la notificazione dello stesso al Garante come la comunicazione all’interessato ai sensi degli articoli 33 e 34 del Regolamento sono stati effettuati nell’ottica del principio di accountability e “a dimostrazione della propria diligente condotta e della volontà di osservanza della normativa in materia di protezione dei dati personali”;
oltre a quanto sopra già rappresentato, l’evento accidentale intervenuto sarebbe stato causato anche dalla somiglianza dei cognomi degli interessati coinvolti nonché “dalle gravose e eccezionali contingenze lavorative e dal sovraffaticamento patito dall’operatore.
La violazione ha pertanto carattere esclusivamente colposo e -giova segnalare-ad oggi rappresenta un caso isolato, posto che prima di tale vento non erano mai stati segnalati o riscontrati analoghi errori accidentali nell’invio di referti radiologici”;
ribadendo quanto già rappresentato in precedenza, all’Istituto non consta che il soggetto interessato (...) abbia subito danni effettivi né sotto il profilo economico o sociale né dal punto di vista morale. Il medesimo, ha tra l’altro riferito di ritenersi soddisfatto della condotta assunta dalla Fondazione una volta venuta a conoscenza degli eventi descritti.
Nonostante la procedura di preparazione e consegna dei referti adottata all’epoca dell’evento consentisse “un adeguato livello di sicurezza rispetto all’eventuale rischio di derivante dal trattamento di dati personali dei pazienti connesso alla spedizione dei referti (...) è stata implementata una modifica nella procedura che prevede ora un doppio controllo della corrispondenza dei dati indicati su CD, referto e busta” (sopra già richiamata ndr);
“in aggiunta alla revisione delle procedura interna descritta, la Fondazione ha previsto la riorganizzazione dei locali in modo da ripartire in maniera più netta e chiara le incombenze ed è stata perciò creata una postazione ad hoc presso i locali del CUP radiologico dedicata esclusivamente all’attività di preparazione della documentazione radiologica ai fini della consegna al paziente”;
benché il personale, ivi incluso quello coinvolto nell’evento, fosse già formato e sensibilizzato sui temi della protezione dei dati personali, “a seguito dell’evento occorso è stato eseguito nuovamente uno specifico training agli operatori addetti alla consegna dei referti radiologici e nei locali dedicati alla preparazione della documentazione radiologica è stata affissa una nota contenente le istruzioni operative in moda da evitare ogni possibile fraintendimento, errore o imprecisione nell’attuazione della procedura sopra descritta”;
la fondazione ha previsto “l’implementazione di controlli periodici di verifica e valutazione dell’efficacia della procedura di consegna dei referti radiologici” oltra controlli quotidiani;
la Fondazione ha tenuto una condotta diligente e solerte anche nella collaborazione con l’Autorità.
3. Esito dell’attività istruttoria
Preso atto di quanto rappresentato dalla Fondazione nella documentazione in atti e nelle memorie difensive, si osserva, in primo luogo, che:
in base al principio di liceità (art. 5, par. 1 lett. a) del Regolamento), i dati personali possono essere trattati solo se in caso di dati inerenti alle particolari categorie di cui all’art. 9, par. 1, del Regolamento solo in presenza di una delle specifiche ipotesi di esenzione dal divieto di trattamento di tali dati, individuate al paragrafo 2 del medesimo articolo;
la disciplina in materia di protezione dei dati personali prevede –in ambito sanitario- che le informazioni sullo stato di salute possano essere comunicate solo all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso previa delega scritta di quest’ultimo (art. 9 Regolamento e art. 83 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101; cfr. anche provv. generale del 9 novembre 2005, consultabile in www.gpdt.it, doc. web n. 1191411, ritenuto compatibile con il suddetto Regolamento e con le disposizioni del decreto n. 101/2018; cfr. art. 22, comma 4, del citato d.lgs. n. 101/2018);
nel trattamento di dati personali il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, la capacità di assicurare su base permanente la riservatezza dei dati e una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento (artt. 5, par. 1 lett. f) e 32 del Regolamento).
Ciò premesso, tenuto conto delle dichiarazioni raccolte nel corso dell'istruttoria - e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. I 68 del Codice " Falsità nelle dichiarazioni al Garante e interruzione dell'esecuzione dei compiti o dell'esercizio dei poteri del Garante" -, gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall'Ufficio con l'atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall'art. 11 del Regolamento del Garante n. 1/2019.
Per tali ragioni, si confermano le valutazioni preliminari dell'Ufficio e si rileva l'illiceità del trattamento di dati personali effettuato dalla Istituto Nazionale dei Tumori di Milano-Fondazione IRCSS, in violazione del principio di liceità (5, par. 1, lett. a), e 9,) del Regolamento) a causa di una comunicazione di dati personali anche relativi allo stato di salute in assenza di idonea base giuridica e in violazione del principio di integrità e riservatezza, in relazione all’assenza di misure tecniche o organizzative adeguate a prevenire violazioni di riservatezza (artt. 5, par. 1 lett. f) e 32 del Regolamento).
Ciò premesso, tenuto conto che:
dalle risultanze degli atti, l'episodio risulta essere stato isolato e determinato da un’azione accidentale interna;
la violazione, non preceduta da eventi analoghi, si è protratta per un breve periodo di tempo e ha riguardato un unico interessato;
nonostante le informazioni oggetto di violazioni riguardino dati relativi alla salute dell’interessato, il referto oggetto di errata comunicazione non recava la diagnosi clinica del paziente ma esclusivamente il numero di classificazione radiologica e la radiografia stessa;
il titolare è intervenuto prontamente sia notificando l’evento all’Autorità sia comunicando la violazione all’interessato, ai sensi dell’art. 34 del Regolamento;
l’interessato non ha subito danni dall’evento occorso;
il titolare ha successivamente previsto l’implementazione di nuove e specifiche misure organizzative volte a prevenire il ripetersi di eventi analoghi;
l’evento occorso è imputabile alla colpa lieve del titolare, anche a causa delle particolari e gravose condizioni in cui versava l’operatore; ciò nonostante, il continuo verificarsi di casi analoghi nel settore della sanità, in generale, dovrebbe portare i titolari del trattamento a stimare come altamente probabile il verificarsi di rischi simili;
l'Autorità ha preso conoscenza dell'evento a seguito della notifica di violazione dei dati personali effettuata, senza ritardo, dallo stesso titolare del trattamento, che si è dimostrato collaborativo durante tutta la fase istruttoria e procedimentale;
non sono pervenuti reclami o segnalazioni al Garante sull'accaduto;
le circostanze del caso concreto inducono a qualificare lo stesso come "violazione minore", ai sensi del considerando 148 del Regolamento e delle Linee guida WP 253, riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del Regolamento (UE) n. 2016/679.
Si ritiene, pertanto, relativamente al caso in esame, che sia sufficiente ammonire il titolare del trattamento, ai sensi degli artt. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, affinché provveda a rispettare le previsioni del Regolamento contenute negli artt. 5 par. 1, lett. a), e f), 9 e 32 del Regolamento e, atteso che sono state disposte misure organizzative volte ad evitare il ripetersi di episodi come quello segnalato, non vi siano i presupposti per l'adozione di ulteriori provvedimenti correttivi da parte dell'Autorità, ai sensi dell'art. 58, par. 2, del Regolamento.
Si rileva infine che ricorrono i presupposti di cui all'art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all'esercizio dei poteri demandati al Garante.
TUTTO CIO’ PREMESSO IL GARANTE
a) ai sensi dell'art. 57, par. l, lett. a) del Regolamento, dichiara l'illiceità del trattamento dei dati personali effettuato dall’Istituto Nazionale dei Tumori di Milano-Fondazione IRCSS, con sede legale via Giacomo Venezian, 1- 20133 Milano cf| 80018230153, per la violazione dei principi applicabili al trattamento di cui all’art. 5, par. 1, lett. a) e f) del Regolamento e degli artt. 9 e 32 del Regolamento, nei termini di cui in motivazione;
b) ai sensi dell'art. 58, par. 2, lett. b) del Regolamento, ammonisce la predetta Fondazione, quale titolare del trattamento in questione, per aver violato gli artt. 5, par. 1, lett. a) e f), 9 e 32 del Regolamento, come sopra descritto;
c) ritiene che ricorrano i presupposti di cui all'art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all'esercizio dei poteri demandati al Garante.
Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’Autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 24 marzo 2022
IL PRESIDENTE
Stanzione
IL RELATORE
Cerrina Feroni
IL SEGRETARIO GENERALE
Mattei
