g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Regione Lazio - 15 settembre 2022 [9810028]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

VEDI ANCHE NEWSLETTER DEL 3 OTTOBRE 2022

[doc. web n. 9810028]

Ordinanza ingiunzione nei confronti di Regione Lazio - 15 settembre 2022

Registro dei provvedimenti
n. 304 del 15 settembre 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n.9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n.1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Il reclamo e l’attività istruttoria

L’Autorità ha ricevuto un reclamo da parte della sig.ra XX nel quale si lamenta l’avvenuta ricezione di un invito da parte della Asl di Rieti a partecipare al programma di screening del tumore del collo dell’utero rivolto alla figlia della reclamante deceduta nel 1995 (invito in atti).

In relazione al predetto reclamo l’Ufficio ha chiesto informazioni con la nota dell’XX (prot. n. XX) alla Asl di Rieti in merito all’origine dei dati personali che sono stati utilizzati per inviare l’invito ad aderire alla campagna di screening e alle misure adottate per assicurare l’esattezza e l’aggiornamento delle informazioni relative ai propri assistiti utilizzate nell’ambito delle predette campagne di sensibilizzazione.

Con nota del XX u.s. (prot. n. XX), la predetta Azienda, ha affermato, tra l’altro, che la “Regione Lazio stabilisce che "Il Sistema Informativo dei Programmi di screening oncologici (SIPSOweb) istituito con delibera regionale n. G02879 del 11-03-2014 è la piattaforma regionale messa a disposizione delle strutture di screening per la gestione e il monitoraggio dei percorsi organizzati”. Secondo quanto rappresentato dalla predetta Asl “La citata piattaforma regionale contiene già nel database tutti i parametri necessari alla generazione degli inviti” ed “è posta sotto la piena ed esclusiva titolarità della Regione Lazio che, tecnicamente, la gestisce mediante la propria controllata LazioCREA S.p.A. I coordinamenti screening di tutte le Asl del Lazio utilizzano tale piattaforma, ma non realizzano la banca dati regionale sulla base della quale operano né possono direttamente modificarla”.

Con specifico riferimento al caso segnalato all’Autorità, la predetta Asl ha evidenziato che “interrogando a sistema la scheda "dettaglio assistito" relativa alla figlia della reclamante (…) è emerso che la stessa risultava regolarmente inserita nella piattaforma regionale con "fonte aggiornamento, XX, data inserimento XX ore XX" sia per ciò che riguarda il dato anagrafico sia l'indirizzo ove spedire l'invito a screening. Per tale ragione, sulla base delle informazioni messe a disposizione di questa Asl dalla piattaforma regionale, al momento della spedizione della missiva, non apparivano elementi ostativi all'invio dell'invito, ciò anche in considerazione del fatto che la piattaforma risultava aver subito un recente aggiornamento”.

A seguito della predetta risposta, l’Ufficio ha richiesto informazioni alla Regione Lazio (nota del XX, prot. n. XX), che ha risposto con nota del XX (prot. n. XX) in cui è stato, in particolare, rappresentato che:

“la Regione Lazio con Determinazione dell'14 marzo 2014, n. G02879 (…), ha istituito il "Sistema Informativo Unico Regionale degli Screening Oncologici per i tumori della mammella, della cervice uterina e del colon retto" nel quale sono stati fatti confluire i precedenti sistemi di screening della mammella e cervice uterina (…) prevedendone la gestione unitaria tramite il software "SIPSOweb", manutenuto e sviluppato inizialmente da Laziosalute-ASP e, a partire dal 2016, da LAZIOCrea S.p.A.”;

"L'attribuzione del ruolo di Responsabile del trattamento è stata confermata anche dopo l'entrata in vigore del Regolamento (UE) 2016/679 con la Deliberazione del 19 dicembre 2017, n. 891 (allegato 3), recante "CONTRATTO-QUADRO Dl SERVIZIO TRA REGIONE LAZIO E LAZIOcrea S.p.A. (…) Nell'associato "Piano Operativo Annuale LAZIOCrea Anno 2018" (allegato C alla DGR n. 891/2017) è espressamente indicato, al numero 8.29, il trattamento "GESTIONE ED EVOLUZIONE DEL SISTEMA INFORMATIVO Dl SCREENING””;

“titolare del trattamento sotteso al Sistema Informativo Unico Regionale degli Screening Oncologici per i tumori della mammella, della cervice uterina e del colon retto è la Regione Lazio, e che la società in-house LAZIOCrea opera in qualità di responsabile del trattamento, mettendo a disposizione il software SIPSOWeb”;

“Rispetto al trattamento in esame si osserva che le ASL sono abilitate esclusivamente alla visualizzazione dei dati (…), al fine di poter procedere all'individuazione dei soggetti cui trasmettere gli inviti allo screening realizzati e limitatamente a tale profilo operano, dunque, in qualità di autorizzati ai sensi dell'art. 29 del RGPD”;

“Per completezza si rappresenta che il Sistema Informativo consente, come descritto nel Documento Tecnico "Programmi di Screening Oncologici nella Regione Lazio" di cui al Decreto del Commissario ad Acta 14 maggio 2015, n. U00191 (…), lo svolgimento di ulteriori trattamenti, tra i quali anche la gestione dei referti delle visite realizzate per finalità di screening, svolta in qualità di autonome titolari dalle ASL, nonché per assolvere agli obblighi informativi verso il Ministero della salute, attraverso l'Osservatorio Nazione Screening, organo tecnico del Ministero”.

“La base giuridica del trattamento in parola è rinvenibile all'art.6, par. 1, lett. e), del RGPD, nonché nell'art- 2-ter, comma 1-bis, del d.lgs. n. 196/2003”;

“Nel dettaglio le finalità sono: individuazione, selezione, invito rispetto alla popolazione di riferimento del programma di prevenzione; diagnosi e cura nell'ambito di percorsi diagnostico-terapeutici che prevedono accettazione dell'utenza, raccolta dell'anamnesi personale e famigliare, richiamo per ulteriori accertamenti diagnostici, prenotazione di visite ed esami, refertazione, invio esiti delle procedure diagnostiche, richiamo per analisi di follow up”;

“Con riferimento alla fattispecie oggetto di reclamo si osserva come non essendo stato registrato dal 2005 in poi alcun accesso all'anagrafica della figlia della reclamante, né alcuna modifica era stata apportata dal SistemaTS, l'erronea iniziale importazione nel Sistema Informativo dei dati anagrafici dell'interessata era sfuggita a entrambi i controlli. Ad oggi le pratiche soggette a errori di sincronizzazione automatizza (sincrona e asincrona) delle anagrafiche sono solo lo 0,3% dei casi totali, che possono essere comunque gestite mediante intervento manuale dell'operatore”;

“Al riguardo si osserva, infatti, che già a seguito della prima comunicazione trasmessa da codesta Autorità alla ASL di Rieti relativa al reclamo, LAZIOCrea ha provveduto alla verifica della posizione della figlia della reclamante sul sistema ASUR che, effettuando un'interrogazione mirata sulla banca dati del SistemaTS, ha recepito e aggiornato in automatico il dato anagrafico relativo al decesso della stessa in data XX alle ore XX. L'aggiornamento manuale operato sul sistema ASUR ha comportato, conseguentemente, l'aggiornamento automatico del dato anagrafico anche sul software SIPSOweb”;

“Si evidenzia, al riguardo, che se la reclamante avesse esercitato il diritto di rettifica nei termini di cui all'informativa in forma breve contenuta nella lettera di invito al programma di screening la stessa avrebbe avuto una più immediata e tempestiva tutela”;

"Le informazioni sulle modalità di trattamento svolto ai fini dell'informazione e della sensibilizzazione ai programmi di screening sono rese in forma breve, ai sensi dell'art. 12 del RGPD, all'interno della lettera di invito (cfr. format lettera invito - allegato 6)”. Inoltre, al momento dell'eventuale adesione al programma di screening, le Aziende Sanitarie Locali rendono l'informativa integrale sul trattamento dei dati personali nell'attività screening oncologico ai sensi dell'art. 13 del RGPD”.

In relazione alle risultanze della predetta attività istruttoria, l’Ufficio, con atto n. XX del XX, ha notificato alla Regione Lazio, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

In particolare, l’Ufficio ha evidenziato che il trattamento dei dati personali posto in essere dalla Regione Lazio risulta essere stato effettuato in violazione dei principi di liceità, correttezza e trasparenza e di esattezza del dato (art. 5, par. 1 lett. a), e d) del Regolamento), nonché delle disposizioni concernenti: la responsabilità del titolare del trattamento (art. 24 del Regolamento), le basi giuridiche del trattamento (artt. 6 e 9 del Regolamento), le informazioni da fornire agli interessati e l’esercizio dei diritti da parte degli interessati (artt. art. 12, 13 e 14 del Regolamento).

In particolare, è stato rilevato che non sono stati correttamente individuati i ruoli ricoperti dai soggetti che a vario titolo trattano dati personali attraverso il suddetto sistema informativo (SIPSOweb) in considerazione del fatto che, in base alla normativa vigente in materia di programmi di prevenzione sanitaria, alla Regione sono attribuite funzioni di programmazione dell’offerta di prevenzione, mentre alle aziende sanitarie quella di erogazione della prestazione sanitaria (cfr., da ultimo, Piano nazionale della Prevenzione (PNP) 2021-2025 e Piano Regionale della Prevenzione (PRP) 2021-2025).

Con nota del XX (prot. n. XX) la Regione Lazio ha inviato scritti difensivi rappresentando in particolare di aver adottato la Determinazione Regionale il 23 marzo 2022 n. G03463 nella quale ha dichiarato di aver “accolto i rilievi sollevati da Codesta Autorità” con lo scopo di “ricondurre il trattamento dei dati personali all’interno del perimetro normativo”.

Tale determinazione prevede la nomina a responsabile del trattamento di LAZIOCrea in relazione alla gestione informativa della piattaforma Sipsoweb e delle Aziende Sanitarie Locali, limitatamente agli assistiti di pertinenza territoriale (ASL), in relazione a tutte le fasi del programma di screening. La predetta determina prevede che “i dati personali sono raccolti dalla Regione Lazio, attraverso la piattaforma Sipsoweb, gestita da LazioCrea SPA, ed utilizzati in qualità di responsabile del trattamento dalle singole ASL, limitatamente alla popolazione di pertinenza territoriale, per le finalità istituzionali di medicina preventiva ed in particolare per quanto qui di interesse, di gestione  organizzativa, diagnosi e cura nell’ambito dei Programmi di Screening oncologico per la diagnosi precoce del tumore del collo dell’utero, della mammella e del colon retto. Nel dettaglio le finalità sono:

- individuazione, selezione, invito rispetto alla popolazione di riferimento del programma di prevenzione;

- diagnosi e cura nell’ambito di percorsi diagnostico-terapeutici che prevedono la gestione dell’invito, raccolta dell’anamnesi personale e famigliare, richiamo per ulteriori accertamenti diagnostici, prenotazione di visite ed esami, refertazione, invio esiti delle procedure, richiamo per analisi di follow up;

- Monitoraggio e valutazione della qualità del Programma di Screening;

- Adempimento degli obblighi informativi verso il Ministero della Salute, attraverso l’Osservatorio Nazione Screening, organo tecnico del ministero” (art. 3 della determinazione).

L’art. 2 della determina ha previsto inoltre che “Il trattamento dei dati personali è effettuato ai sensi dell’art. 6 paragrafo 1, lettera E) e dell’art. 9 paragrafo 2, lettera H) del RGPD, nonché dell’art. 2 septies del D. Lgs 196/2003.”

L’art. 5 della determina ha previsto poi che “Le modalità e le istruzioni per il Trattamento dei Dati Personali impartite dal Titolare ai Responsabili sono contenute nella presente disciplina, come riportate nei successivi articoli, fermo restando quanto già previsto dal Contratto Quadro di Servizi per Lazio Crea SPA e potranno essere declinate dalle Direzione Salute e Integrazione Socio Sanitaria con ulteriori e più dettagliate istruzioni in riferimento alle singole fasi del programma”.

In merito alle informazioni da rendere all’interessato di cui agli artt. 13 e 14 del Regolamento, la Regione Lazio ha dichiarato che “aderendo ai rilievi di codesta Autorità, ha tempestivamente provveduto a modificare la lettera di invito alla partecipazione allo screening, approvando il nuovo testo, con determinazione regionale n. G03463 del 23 marzo 2022 (allegato 2 alla stessa)”.

Nelle predette memorie la Regione Lazio ha riconosciuto che “nella prima fase di selezione dei soggetti in fascia target (popolazione bersaglio), destinatari (o che sono stati precedentemente destinatari) dei programmi di screening oncologici, vengono trattati dati personali”, “mentre nelle successive fasi del programma di screening (…), vengono trattati dati qualificabili certamente come sanitari”.

In merito alla qualità di esattezza del dato e di aggiornamento la Regione ha ribadito quanto già indicato nella richiamata nota del XX chiarendo che “il primo lavoro di sincronizzazione fra i due sistemi informatici - ASUR e SistemaTS - non ha determinato l’acquisizione del dato aggiornato, poiché la variazione anagrafica è antecedente l’avvio dei due sistemi. Tale disallineamento è, dunque, stato causato dall’ovvia mancata modifica dell’anagrafica del soggetto interessato dal 1995, anno dell’ultima variazione. Quindi, solo attraverso un’interrogazione puntuale del sistema sul singolo dato personale si sarebbe potuto ottenere il riallineamento in tempo reale, così come accaduto a seguito del reclamo”.

Sul punto è stato inoltre evidenziato che:

• “si è compresa la complessità del disallineamento e allo scopo di ridurre al massimo il rischio di ulteriori inesattezze sui dati personali, Lazio Crea Spa ha eseguito in due fasi, una verifica massiva sulla sincronizzazione dei dati personali di tutti gli assistiti presenti nella piattaforma SIPSOweb con il Sistema ASUR:

• Fase 1 - Verifica situazione Decessi

• Fase 2 - Verifica di tutti i dati Anagrafici”;

• “l'episodio oggetto del reclamo possa essere qualificato come eccezionale, poiché il mancato aggiornamento del dato sulla piattaforma SIPSOweb è dipeso dalla mancata acquisizione della variazione anagrafica sul sistema ASUR”; 

• “Lazio Crea, a seguito del reclamo, ha avviato tutte le azioni necessarie a identificare, valutare e risolvere il problema specifico, provvedendo immediatamente a verificare tutte le altre anagrafiche presenti nella piattaforma SIPSOweb, allo scopo di ridurre al minimo il rischio di ulteriori episodi analoghi”;

• “Si evidenzia, infine, che, per garantire una maggiore accuratezza nella gestione delle informazioni anagrafiche delle persone aventi diritto ai programmi di screening oncologici, è assolutamente necessario e non più procrastinabile la possibilità di utilizzo dell'Anagrafe Nazionale Popolazione Residente (ANPR) da parte delle Regioni. Solo attraverso l'accesso diretto a tale sistema informatico, si potrà garantire l'esattezza del dato”.

2. Esito dell’attività istruttoria.

In via preliminare, si fa presente che per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)” e per “dati relativi alla salute” “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, paragrafo 1, nn. 1 e 15 del Regolamento).

In relazione alla fattispecie in esame, occorre fin da subito evidenziare che le informazioni trattate attraverso il sistema informativo SIPSOweb si qualificano, senza ombra di dubbio, come informazioni sulla salute degli interessati, in quanto, secondo quanto dichiarato in atti, indicano prestazioni sanitarie erogate nei confronti di specifiche categorie di interessati, nonché in quanto attraverso la suddetta piattaforma è possibile gestire anche la “raccolta dell'anamnesi personale e famigliare, richiamo per ulteriori accertamenti diagnostici, prenotazione di visite ed esami, refertazione, invio esiti delle procedure diagnostiche, richiamo per analisi di follow up” (Considerando n. 35 e art. 4, par. 1, n. 15 del Regolamento; cfr. provv. 12 marzo 2020, doc. web n. 9310804, provv. del 21 aprile 2021, doc. web n. 9591223).

I dati personali devono essere trattati nel rispetto dei principi applicabili al trattamento di cui all’art. 5 del Regolamento. In tale ambito, rilevano, in particolare, il principio di “liceità, correttezza e trasparenza” e di “responsabilizzazione”, in base al quale il titolare del trattamento deve essere in grado di comprovare il rispetto dei citati principi, con un ragionamento logico, prove concrete e comportamenti proattivi (art. 5, par.1, lett. a) e par. 2 e 24 del Regolamento).

I dati personali devono essere trattati altresì nel rispetto del principio di trasparenza (art. 5, par. 1 lett. a) del Regolamento), fornendo preventivamente agli interessati le informazioni di cui all’art. 13 del Regolamento, in caso di dati raccolti direttamente presso di essi, ovvero ai sensi dell’art. 14, in caso di dati raccolti presso soggetti terzi. Le informazioni devono essere rese in una forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro (Considerando 58 e art. 12 del Regolamento).

Il principio di liceità, richiede che ogni trattamento si fondi su uno specifico presupposto giuridico (art. 6 del Regolamento). In relazione alle particolari categorie di dati, tra cui rientrano i dati sulla salute, l’art. 9 del Regolamento sancisce un generale divieto al trattamento di tali dati a meno che non ricorra una delle specifiche esenzioni a tale divieto tra le quali è previsto il trattamento dei dati necessario per finalità di prevenzione e per motivi di interesse pubblico rilevante (art. 9, par. 2 lett. h) e g)).

Altro profilo di estremo rilievo in materia di protezione dei dati personali è l’individuazione dei ruoli di titolare (artt. 4, n. 7 e 24) e di responsabile (art. 4, n. 8 e 28), rispetto ai quali il Regolamento si pone in linea di continuità con quanto già stabilito dalla Direttiva 95/46/CE. Da ciò, infatti, deriva non solo la distribuzione delle relative responsabilità ma anche la possibilità per gli interessati di conoscere il soggetto cui potersi rivolgere per esercitare i diritti di cui agli artt. da 15 a 22 del Regolamento.

Il titolare è il soggetto che, alla luce del concreto contesto nel quale avviene il trattamento, determina le decisioni di fondo relative a finalità e modalità di un trattamento effettuato in base a uno dei presupposti di liceità di cui agli artt. 6 e 9 del Regolamento (cfr “Guidelines 07/2020 on the concepts of controller and processor in the GDPR”, adottate dal Comitato Europeo per la protezione dei dati, il 7 luglio 2021).

La figura del responsabile rimane invece connotata dallo svolgimento di operazioni di trattamento di dati personali delegate dal titolare il quale, all’esito di proprie scelte organizzative, può individuare un soggetto particolarmente qualificato allo svolgimento delle stesse in termini di conoscenze specialistiche, di affidabilità e risorse per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del Regolamento (cfr. il considerando 81, del Regolamento), delimitando l’ambito delle rispettive attribuzioni e fornendo specifiche istruzioni sui trattamenti da effettuare.

Ai fini della individuazione in concreto del ruolo svolto, in termini di titolare o responsabile, delle figure che effettuano trattamenti di dati personali è, quindi, essenziale esaminare sul piano sostanziale e non formale le attività in concreto svolte da tali soggetti. In tal senso, si è più volte espressa questa Autorità (cfr. a titolo esemplificativo, Servizi telefonici non richiesti - 16 febbraio 2006, punto 6 [doc. web n. 1242592], provv. sui Sistemi di localizzazione dei veicoli nell'ambito del rapporto di lavoro - 4 ottobre 2011, punto 5 [doc. web 1850581], Linee guida per il trattamento di dati dei dipendenti privati del 23 novembre 2006 [doc web n. 1364099], provv. del 19 luglio 2018 [doc. web 9039945] e il chiarimento fornito al Consiglio nazionale dei consulenti del lavoro, del 22 gennaio 2019).

Con specifico riferimento al contesto sanitario, specifiche indicazioni sono state rese dal Garante nell’ambito di un procedimento istruttorio avviato proprio nei confronti della Regione Lazio che si è concluso con l’adozione dell’ordinanza ingiunzione del 14 gennaio 2021, n. 9 (doc. web n. 9542113).

Ciò premesso, nel prendere atto dell’adozione della richiamata determinazione del 23 marzo 2022 con la quale la Regione Lazio ha inteso superare le criticità rilevate dall’Ufficio nell’atto di contestazione sopra richiamato e che anche la stessa Regione conviene nel ritenere che nelle “fasi del programma di screening (…), vengono trattati dati qualificabili certamente come sanitari”, si rileva che permangono le seguenti criticità:

2.1 Finalità e definizione dei ruoli del trattamento

Nella citata risposta alla richiesta di informazioni dell’Ufficio la Regione Lazio ha evidenziato che, in qualità di titolare del trattamento, con la determina dell’11 marzo 2014 ha istituito il “Sistema Informativo Unico Regionale degli Screening Oncologici per i tumori della mammella, della cervice uterina e del colon retto” e ha adottato “il software SIPSOWeb come strumento unico regionale per la rilevazione, la gestione e la trasmissione dei dati sugli screening oncologici e, conseguentemente, l’unica modalità di adempimento agli obblighi informativi previsti dalle norme in vigore”. In particolare, la predetta Regione ha riconosciuto la titolarità dei trattamenti effettuati ai fini “dell’invio alla popolazione afferente al territorio laziale di comunicazioni volte ad illustrare i programmi di screening”, precisando che il predetto sistema informativo consente inoltre di effettuare “ulteriori trattamenti tra i quali la gestione dei referti delle visite realizzate per finalità di screening, svolti in qualità di autonomi titolari dalle asl”.

In merito a quanto rappresentato dalla Regione Lazio, nell’atto di avvio del procedimento sanzionatorio del 25 febbraio 2022, l’Ufficio ha rilevato alcune contraddizioni. In particolare la Regione, da un lato, ha indicato che la titolarità dei trattamenti effettuati nell’ambito dell’erogazione della prestazione sanitaria legata allo screening è imputabile alle Asl, dall’altro, ha dichiarato di perseguire finalità di “diagnosi e cura nell'ambito di percorsi diagnostico-terapeutici che prevedono accettazione dell'utenza, raccolta dell'anamnesi personale e famigliare, richiamo per ulteriori accertamenti diagnostici, prenotazione di visite ed esami, refertazione, invio esiti delle procedure diagnostiche, richiamo per analisi di follow up”. Ulteriore contraddizione emerge con riferimento al ruolo rivestito dalle Asl nel trattamento dei dati in esame, che, sebbene siano state definite titolari del trattamento dei dati raccolti nell’ambito dello screening, sarebbero abilitate “esclusivamente alla visualizzazione dei dati, al fine di procedere all’individuazione dei soggetti cui trasmettere gli inviti allo screening realizzati e che limitatamente a tale profilo operano dunque in qualità di autorizzati ai sensi dell’art 29 del RGPD”. Al riguardo, si rappresenta che già nel richiamato provvedimento del 14 gennaio 2021, n. 9 adottato dal Garante proprio nei confronti della Regione Lazio è stato rappresentato che “non è possibile designare le persone fisiche che operano esclusivamente presso società esterne al titolare e al responsabile del trattamento quali incaricati del trattamento, poiché le stesse non sono soggette alla “diretta autorità” del titolare o del responsabile del trattamento”.

Nella memoria difensiva la Regione ha rappresentato di aver adottato la predetta delibera del 23 marzo del 2022 per superare le criticità sollevate dall’Ufficio in merito al trattamento dei dati personali trattati nell’ambito delle campagne di screening. Al riguardo, si evidenzia tuttavia che sebbene la predetta delibera sia intervenuta sull’attribuzione dei ruoli del predetto trattamento e delle finalità perseguibili dai soggetti a vario titolo coinvolti nello stesso, tali profili non risultano correttamente definiti atteso che nell’art. 3 della determina è individuata la Regione Lazio quale titolare del trattamento dei dati e la Asl come responsabile del trattamento anche per finalità che sono perseguibili esclusivamente da parte delle aziende sanitarie, quali “diagnosi e cura nell’ambito di percorsi diagnostico-terapeutici che prevedono la gestione dell’invito, raccolta dell’anamnesi personale e famigliare, richiamo per ulteriori accertamenti diagnostici, prenotazione di visite ed esami, refertazione, invio esiti delle procedure, richiamo per analisi di follow up”.

Al riguardo si rappresenta che lo schema di regolamento per il trattamento dei dati sensibili e giudiziari di competenza delle regioni e delle aziende sanitarie su cui il Garante ha espresso il proprio parere favorevole (Provv. 13 aprile 2006, doc. web n. 1272225 e Provv. del Garante del 26 luglio 2012 doc. web n. 1915390) prevede che i dati individuali sulla salute raccolti nell’ambito delle campagne di screening possano essere trattati per finalità di diagnosi e cura solo dalle aziende sanitarie (cfr. in particolare scheda n. 4, all. B)). Analogamente, il richiamato contesto normativo di riferimento prevede che alcune delle finalità perseguite dalla Regione (es. Monitoraggio e valutazione della qualità del Programma di Screening o Adempimento degli obblighi informativi verso il Ministero della Salute, attraverso l’Osservatorio Nazione Screening, organo tecnico del Ministero) possono essere perseguite solo attraverso informazioni aggregate.

In particolare, per gli aspetti di protezione dei dati connessi al reclamo ricevuto, è necessario evidenziare che, in base alla normativa vigente in materia di programmi di prevenzione sanitaria, a codesta Regione sono attribuite funzioni di programmazione dell’offerta di prevenzione, mentre alle aziende sanitarie quella di erogazione della prestazione sanitaria (cfr., da ultimo, Piano nazionale della Prevenzione (PNP) 2021-2025 e Piano Regionale della Prevenzione (PRP) 2021-2025). In relazione a tali finalità, spetta a codesta Regione, in qualità di titolare del trattamento di garantire che attraverso il predetto sistema informativo i soggetti coinvolti a vario titolo nel trattamento accedano alle sole informazioni necessarie al perseguimento delle finalità legittimamente perseguite (principio di minimizzazione dei dati, art. 5, par. 1 lett. c) del Regolamento).

Ciò stante, si ritiene che attraverso la predetta delibera del 23 marzo 2022 non siano stati superati i rilievi sollevati dall’Ufficio con l’atto di contestazione in quanto non sono stati correttamente individuati i ruoli ricoperti dai soggetti che a vario titolo trattano dati personali attraverso il suddetto sistema informativo.

2.2 Base giuridica del trattamento

Nella citata risposta alla richiesta di informazioni dell’Ufficio la Regione Lazio ha evidenziato che “la base giuridica del trattamento in parola è rinvenibile all'art.6, par. 1, lett. e), del RGPD, nonché nell'art- 2-ter, comma 1-bis, del d.lgs. n. 196/2003”.

Al riguardo, l’Ufficio, nel richiamato atto di avvio del procedimento sanzionatorio del 25 febbraio 2022, ha evidenziato che la base giuridica dei trattamenti effettuati nell’ambito delle attività di screening non può essere individuata nell’art.6, par. 1 lett. b) del Regolamento e nell’art. 2-ter del Codice, tenuto conto che, come sopra evidenziato, le attività poste in essere dalla Regione, in qualità di titolare, comportano il trattamento di dati sulla salute degli interessati, mentre le disposizioni citate dalla Regione afferiscono al trattamento dei dati personali diversi da quelli sulla salute.

La non chiara definizione dei ruoli dei soggetti coinvolti a vario titolo nei trattamenti di dati in esame non ha consentito di individuare correttamente la base giuridica del trattamento che deve essere individuata, per i diversi soggetti coinvolti, in una delle deroghe al generale divieto a trattare dati sulla salute indicate all’art. 9, par. 2, del Regolamento sopra richiamate.

Con la predetta determina del 23 marzo del 2022 la Regione ha previsto che “Il trattamento dei dati personali è effettuato ai sensi dell’art. 6 paragrafo 1, lettera E) e dell’art. 9 paragrafo 2, lettera H) del RGPD, nonché dell’art. 2 septies del D. Lgs 196/2003” (art. 2).

L’indicazione fornita nella predetta delibera non supera le osservazioni dell’Ufficio circa la non corretta individuazione di una idonea base giuridica del trattamento. La Regione infatti ha nuovamente citato disposizioni che regolano i trattamenti dei dati personali diversi da quelli sulla salute (art. 6) e ha richiamato l’art. 2 septies del Codice che non riguarda il trattamento dei dati in esame, facendo altresì riferimento a misure di garanzia per il trattamento dei dati genetici, biometrici e sulla salute.

Come già indicato nell’atto di contestazione in relazione alle particolari categorie di dati, tra cui rientrano i dati sulla salute, la corretta base giuridica del trattamento deve essere rinvenuta nell’art. 9, par. 2 lett. g) del Regolamento per i trattamenti effettuati dalla Regione per motivi di interesse pubblico sulla base del diritto nazionale e nell’art. 9, par. 2, lett. h) per le attività di prevenzione diagnosi e cura da parte effettuati dalle strutture sanitarie coinvolte nell’attività di screening.

2.3 Informazioni da rendere agli interessati ed esercizio dei diritti riconosciuti dal Regolamento

Nella citata risposta alla richiesta di informazioni dell’Ufficio la Regione Lazio ha dichiarato che “Le informazioni sulle modalità di trattamento svolto ai fini dell'informazione e della sensibilizzazione ai programmi di screening sono rese in forma breve, ai sensi dell'art. 12 del RGPD, all'interno della lettera di invito (cfr. format lettera invito - allegato 6)”. Tale missiva tuttavia è risultata priva di qualsiasi riferimento alle caratteristiche del trattamento di dati personali effettuato e, nello specifico, di tutti gli elementi richiesti dagli artt. 13 e 14 del Regolamento, recando esclusivamente il seguente generico riferimento alla disciplina vigente in materia: “I Suoi dati personali sono trattati secondo la normativa vigente (Regolamento UE 679/2016 e D.Lgs. 196/2003 e s.m.i.”).

Preso atto che, secondo quanto dichiarato dalla Regione secondo cui “al momento dell'eventuale adesione al programma di screening, le Aziende Sanitarie Locali rendono l'informativa integrale sul trattamento dei dati personali nell'attività screening oncologico ai sensi dell'art. 13 del RGPD”, si evidenzia che spetta alla Regione fornire le informazioni richieste dagli artt. 13 e 14 del Regolamento con riferimento ai trattamenti di cui è titolare.

Con la predetta determina del 23 marzo del 2022 la Regione ha modificato il richiamo alle informazioni da rendere all’interessato sul modello di lettera di invito allo screening e ha predisposto un modello contenente “Informazioni sul trattamento dei dati personali attività screening oncologico” (allegato 2 alla predetta delibera). Tali modifiche presentano tuttavia ancora significative criticità in materia di protezione dei dati. In particolare, la formula sintetica presente sul modello di invito evidenzia la non corretta individuazione dei ruoli e delle finalità del trattamento indicata nel par. 2.1, mentre il modello allegato alla delibera non distingue le basi giuridiche del trattamento in relazione alle diverse finalità perseguite. Anche la descrizione dell’ambito di comunicazione non appare conforme alla disciplina in materia di protezione dei dati in quanto risulta eccessivamente generico, non specificando in particolare il trattamento effettuato in relazione alle diverse finalità perseguite dai soggetti a vario titolo coinvolti nell’attività di screening.

Il testo dell’”informativa” allegato alla predetta delibera presenta, inoltre, una erronea indicazione dei diritti esercitabili da parte dell’interessato in relazione alle diverse finalità perseguite con particolare riferimento all’esercizio del diritto alla portabilità dei dati (art. 20), in quanto il trattamento non è effettuato con mezzi automatizzati, non si fonda su dati forniti dall’interessato e solo parzialmente sul consenso dell’interessato (cfr. Considerando n. 68) e dei diritti alla cancellazione dei dati (art. 17, par 1 e 3 del Regolamento) e all’opposizione (art. 21- Considerando 69), in ragione della base giuridica del trattamento.

Il richiamato testo dell’”informativa” allegato alla delibera mostra inoltre elementi di contraddittorietà facendo riferimento alla revoca del consenso dell’interessato che non è stata considerata quale base giuridica del trattamento.

Nel testo della predetta “informativa” e nella stessa determina inoltre non sono indicati in modo puntuale i tempi di conservazione dei dati, che sono solo genericamente formulati, senza tener conto della loro necessaria differenziazione in ordine alle diverse finalità perseguite dai soggetti a vario titolo coinvolti nel trattamento.

2.4 Esattezza del dato

Come sopra evidenziato, il titolare del trattamento deve garantire che i dati siano esatti e, se necessario, aggiornati, adottando tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati (principio di «esattezza», di cui all’art. 5, par. 1 lett. d) del Regolamento). Nel caso di specie, le misure adottate dalla Regione Lazio non hanno assicurato l’esattezza dei dati della figlia del reclamante che sono stati trattati attraverso la predetta piattaforma. La circostanza che l’interessata fosse deceduta da oltre 15 anni rende evidente come le misure adottate dalla Regione, in qualità di titolare del trattamento, non siano state idonee ad assicurare l’aggiornamento dei dati trattati attraverso tale sistema informativo.

Con riguardo alla circostanza che il trattamento in esame concerne una persona deceduta, si evidenzia che il Garante ha più volte rappresentato che il riconoscimento della possibilità di esercitare i diritti in materia di protezione dei dati personali (artt. 15-22, del Regolamento) da parte dei soggetti elencati nell’art. 2-terdecies, comma 1, del Codice, comporta – quale naturale conseguenza e necessario presupposto logico-giuridico – che ai dati personali concernenti le persone decedute continuino ad applicarsi le tutele previste dalla disciplina in materia di protezione dei dati personali (cfr. ex multis parere 7 febbraio 2019, n. 27, doc. web n. 9090308).

La Regione Lazio nella richiamata risposta alla richiesta di informazioni dell’Ufficio ha rappresentato che “se la reclamante avesse esercitato il diritto di rettifica nei termini di cui all'informativa in forma breve contenuta nella lettera di invito al programma di screening la stessa avrebbe avuto una più immediata e tempestiva tutela”. Al riguardo, si conferma quanto già rilevato nell’atto di contestazione ovvero che proprio la mancata indicazione del titolare del trattamento nel predetto invito non ha consentito al reclamante di conoscere il soggetto a cui potersi rivolgere per esercitare i diritti riconosciuti dal Regolamento, tra cui si annovera quello di rettifica (art. 16 del Regolamento).

Tenuto conto di quanto dichiarato dalla Regione in merito alla qualificazione del fatto come “eccezionale” e che si è proceduto a “verificare tutte le altre anagrafiche presenti nella piattaforma SIPSOweb, allo scopo di ridurre al minimo il rischio di ulteriori episodi analoghi”, con riferimento alla necessità che a tal scopo si ritenga “non più procrastinabile la possibilità di utilizzo dell'Anagrafe Nazionale Popolazione Residente (ANPR) da parte delle Regioni”, si fa presente che il Garante ha recentemente adottato il proprio parere sullo schema di decreto del Presidente del Consiglio dei Ministri sull’Anagrafe nazionale degli assistiti (ANA). L’ANA subentrerà alle anagrafi e agli elenchi degli assistiti tenuti dalle singole aziende sanitarie locali, che manterranno la titolarità dei dati di propria competenza e ne assicureranno l'aggiornamento (art. 62 ter, comma 2, d.lgs. n. 82/2005). Pertanto, una volta che sarà adottato il predetto decreto, la Regione Lazio, al pari di ogni altra Regione o Provincia autonoma, sarà tenuta ad adeguarsi al previsto “Piano per il graduale subentro dell’ANA alle anagrafi e agli elenchi degli assistiti tenuti dalle singole aziende sanitarie locali e dal ministero della salute e per l’allineamento delle banche dati regionali” (all. A allo schema di decreto).

3. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive relative ai richiamati procedimenti non consentono di superare i rilievi notificati dall’Ufficio con gli atti di avvio dei procedimenti per l’adozione dei provvedimenti correttivi e sanzionatori, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni si rileva l’illiceità del trattamento di dati personali effettuato dalla Regione Lazio con riferimento al procedimento avviato a seguito del reclamo, nei termini di cui in motivazione, in particolare, per aver trattato dati personali in violazione dei principi di liceità, correttezza e trasparenza e di esattezza del dato (art. 5, par. 1 lett. a), e d) del Regolamento) e delle disposizioni concernenti: la responsabilità del titolare del trattamento (art. 24 del Regolamento), le basi giuridiche del trattamento (artt. 6 e 9 del Regolamento), le informazioni da fornire agli interessati e l’esercizio dei diritti da parte degli interessati (artt. art. 12, 13 e 14 del Regolamento).

In tale quadro, considerando quanto previsto dalla Regione nella richiamata delibera del 23 marzo 2022, si ritiene di dover ingiungere alla predetta Regione, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, le seguenti misure correttive da adottarsi entro 90 giorni dall’adozione del presente provvedimento:

- effettuare una corretta identificazione dei ruoli, delle finalità del trattamento e delle basi giuridiche dello stesso come indicato nei paragrafi 2.1 e 2.2 del presente provvedimento, provvedendo, di conseguenza, anche alla revisione della richiamata determina del 23.3.2022;

- modificare e integrare le informazioni da rendere agli interessati coinvolti nelle campagne di screening regionali secondo quanto indicato nel par. 2.3 del presente provvedimento, provvedendo, anche in relazione a tale aspetto, a modificare in senso uniforme la richiamata determina del 23.3.2022 e i relativi allegati.

4. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, par. 2, lett. a) e d), 6, 9, 12, 13, 14 e 24 del Regolamento, causata dalla condotta della Regione Lazio è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par.4 e 5, del Regolamento.

Si consideri che il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 85, par. 2, del Regolamento in relazione ai quali per entrambi i procedimenti si osserva che:

- l’Autorità ha preso conoscenza dell’evento a seguito di un reclamo (art. 83, par. 2, lett. h) del Regolamento);

- il trattamento illecito riguarda una paziente minore deceduta e, per taluni aspetti, dati sulla salute di oltre 5 milioni di assistiti interessati da programmi di screening regionali (art. 83, par. 2, lett. a) e g) del Regolamento);

- la Regione Lazio ha nel corso dell’istruttoria provveduto alla cancellazione dei dati della figlia della reclamante e verificato le altre anagrafiche presenti nella piattaforma SIPSOweb, allo scopo di ridurre al minimo il rischio di ulteriori episodi analoghi (art. 83, par. 2, lett. c) e f) del Regolamento);

- non risultano precedenti violazioni specifiche e pertinenti commesse dalla Regione Lazio analoghe a quella oggetto di contestazione (art. 83, par. 2, lett. e), del Regolamento);

- la Regione Lazio ha nel corso dell’istruttoria adottato la delibera del 22 marzo 2022 con l’intenzione di superare i rilievi formulati dall’Ufficio che tuttavia permangono come indicato nel paragrafo 2 del presente provvedimento (art. 83, par. 2, lett. c) e f) del Regolamento);

- in merito alla non corretta individuazione dei ruoli del trattamento da parte della Regione Lazio l’Autorità è già intervenuta con il provvedimento sanzionatorio del 14 gennaio 2021, n. 9 (art. 83, par. 2, lett. d) e i) del Regolamento);

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, per la violazione degli artt. 5, par. 2, lett. a) e d), 6, 9, 12, 13, 14 e 24 del Regolamento nella misura di 100.000 euro (centomila) quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato, in entrambi i procedimenti descritti, dalla regione Lazio, per la violazione degli artt. 5, par. 2, lett. a) e d), 6, 9, 12, 13, 14 e 24 del Regolamento nei termini di cui in motivazione.

INGIUNGE

ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, alla Regione Lazio entro il termine di giorni 90 dalla notifica del presente provvedimento, di:

- effettuare una corretta identificazione dei ruoli, delle finalità del trattamento e delle basi giuridiche dello stesso come indicato nei paragrafi 2.1 e 2.2 del presente provvedimento, provvedendo anche alla revisione della richiamata determina del 23.3.2022;

- modificare e integrare le informazioni da rendere agli interessati coinvolti nelle campagne di screening regionali secondo quanto indicato nel par. 2.3 del presente provvedimento, provvedendo anche a modificare in senso uniforme la richiamata determina del 23.3.2022 e i relativi allegati.

Al riguardo, si richiede alla Regione di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto sopra ingiunto con il presente provvedimento e di fornire comunque riscontro adeguatamente documentato, ai sensi dell’art. 157 del Codice, entro il termine di giorni 20 dalla scadenza del termine sopra indicato; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, alla Regione Lazio, con sede legale in Roma, Via R. Raimondi Garibaldi 7- C.F./P. IVA 80143490581, in persona del legale rappresentante pro-tempore, di pagare la somma di 100.000 euro (centomila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento secondo le modalità indicate in allegato, entro 30 giorni dalla notifica in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà delle sanzioni comminate.

INGIUNGE

alla predetta Regione, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di 100.000 euro (centomila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 15 settembre 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei