g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Ordinanza ingiunzione o revoca
  4. Ordinanza ingiunzione nei confronti di Azienda Ospedaliero-Universitaria Careggi di Firenze - 20 ottobre 2022 [9832526]

Ordinanza ingiunzione nei confronti di Azienda Ospedaliero-Universitaria Careggi di Firenze - 20 ottobre 2022 [9832526]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9832526]

Ordinanza ingiunzione nei confronti di Azienda Ospedaliero-Universitaria Careggi di Firenze - 20 ottobre 2022

Registro dei provvedimenti
n. 345 del 20 ottobre 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito il “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante il “Codice in materia di protezione dei dati personali”, contenete disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito il “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. La segnalazione e l’attività istruttoria

a) Premessa

Con nota del XX l’Autorità ha ricevuto una segnalazione dal sig. XX, il quale lamentava di aver ricevuto presso il proprio indirizzo PEC, in data XX, dall’Azienda Ospedaliero-Universitaria Careggi di Firenze (di seguito l’“Azienda”), sita in Largo Brambilla n. 3 – c.a.p. 50134, P.IVA 04612750481, “l’email certificata avente per oggetto “Referto Anatomia Patologica XX” (…) (che) come allegato conteneva il referto dell’esame istologico di certa XX”.

b) L’attività istruttoria

A seguito della segnalazione, l’Ufficio, con nota del XX (prot. n. XX), ha chiesto all’Azienda - ai sensi dell’art. 157 del Codice - di fornire elementi utili alla valutazione dei profili rilevanti in materia di protezione dei dati personali.

Con nota del XX (prot. n. XX), l’Azienda, ha fornito riscontro rappresentando, fra altro che:

- “(…) rispetto al trattamento di dati in questione, non svolge il ruolo di titolare del trattamento quanto invece di responsabile del trattamento rispetto al titolare ISPRO (Istituto per lo Studio, la Prevenzione e la Rete Oncologica), ente del Servizio Sanitario Regionale”;

- “Tra l’Azienda e ISPRO è attivo un accordo quadro (rinnovato in data 1° marzo 2021) a regolare vari servizi, ognuno normato da una specifica scheda esecutiva. Tra le attività che l’Azienda, attraverso il Dipartimento dei Servizi (presso il quale è istituita la SOD Istologia Patologica e Diagnostica Molecolare, che svolge attività laboratoristiche di Anatomia Patologica), esegue a favore di ISPRO, vi è quella relativa ad Esami istologici su biopsie mammarie, colorettali, cervicali, su polipi del colon retto e su lesioni cutanee, a cui è riconducibile l’esame refertato alla sig.ra XX. La scheda esecutiva di tale attività qualifica appunto l’Azienda, rispetto ad ISPRO, quale Responsabile del trattamento ai sensi dell’art. 28 del Regolamento Generale”;

- “(…) in conseguenza della difficoltà negli spostamenti correlata all'epidemia da SARS-COV2, la SOD Istologia Patologica e Diagnostica Molecolare effettua regolarmente la trasmissione dei referti via PEC (almeno di quelli per i quali non sia necessaria una particolare consulenza) agli utenti che ne facciano richiesta per iscritto al momento dell'accettazione, in media 100 al mese”;

- “Gli incaricati della segreteria della SOD Istologia Patologica e Diagnostica Molecolare scaricano il referto dal software di Anatomia patologica mediante lettura ottica del bardcode presente sul modulo di accettazione, e lo salvano in pdf su una cartella spool; posizionandosi nella casella PEC, digitano dunque l'indirizzo PEC del destinatario presente sul modulo di autorizzazione sottoscritto dal paziente, ed allegano il corrispondente referto dalla cartella spool; prima dell'invio, verificano mediante anteprima che il referto sia quello corretto; annotano dunque sulla documentazione cartacea relativa alla pratica che la trasmissione del referto via PEC è stata effettuata”;

- “La formazione del personale della segreteria avviene per affiancamento al personale strutturato da più tempo”;

- “In merito alla specifica violazione contestata, è stato ricostruito quanto segue: venerdì 30 aprile l'operatore che quel giorno si è occupato della trasmissione dei referti via PEC ha caricato tutti i referti da inviare nella cartella spool. Il referto del sig. XX e della signora XX erano uno di seguito all'altro. Per mero errore materiale, è stato allegato il referto sbagliato”;

- “In data XX il sig. XX ha inviato una mail all'indirizzo mail ordinario segreteriaap@aou-careggi.toscana.it in cui faceva presente di aver ricevuto il referto di un'altra persona (che ha allegato insieme alla documentazione relativa all'accettazione che lo riguardava). Nell'arco di 24 ore, la segreteria ha inviato una mail di scuse dalla casella PEC del Dipartimento dei Servizi alla casella PEC del sig. XX e il referto corretto”;

-  “La signora XX aveva regolarmente ricevuto il proprio referto”;

- “quale azione di miglioramento (e pur consapevoli che ogni qualvolta è necessario un intervento umano l’errore è possibile), sono state date indicazioni agli operatori di caricare nella cartella spool un solo referto alla volta, effettuando un ulteriore controllo una volta allegato il relativo file”.

A seguito di quanto emerso dall’istruttoria avviata anche nei confronti di I.S.P.R.O., l’Autorità ha ritenuto di dover richiedere all’Azienda, ai sensi dell’art. 157 del Codice, ulteriori informazioni utili alla valutazione del caso, con particolare riferimento al trattamento dei dati personali effettuato dall’Azienda medesima, in special modo nell’ambito delle attività svolte dalla S.O.D. Istologia Patologica e Diagnostica Molecolare, sia in qualità di titolare sia in qualità di responsabile del trattamento.

L’Azienda, con nota del XX (prot. n. XX), ha fornito riscontro rappresentando, fra altro, che:

- “Nel modello di istruzioni (…), messo a disposizione dei soggetti preposti (così sono denominate in Azienda le persone fisiche espressamente designate di cui all’art. 2-quaterdecies del D.Lgs. 196/2003) con Provvedimento del Direttore Generale n. 378 del 24 maggio 2019), si dà certo una indicazione di carattere generale del seguente tenore: valutare, prima di trasmettere via e-mail dati personali ed in particolare quelli riconducibili alle categorie di dati di cui agli artt. 9 e 10 del RGPD, la liceità e la legittimità dell’operazione, nonché le modalità di essa (in particolare, si raccomanda il ricorso all'uso di tecniche di cifratura dei messaggi, ovvero il ricorso all'uso di codificazione dei dati contenuti nel testo delle comunicazioni; per evitare il rischio di trasmettere dati personali a soggetti non legittimati, inserire i dati in un documento allegato e non nel corpo della mail, controllare il documento allegato prima di effettuarne l’invio, verificare la correttezza del destinatario, evitare di inoltrare mail già trasmesse per il rischio che esse contengano dati riferibili ad altri soggetti). Ma si tratta di una prescrizione che non può avere, verosimilmente, alcuna effettiva utilità nel caso di mero errore materiale, il quale per definizione prescinde da una razionale e controllata applicazione della disposizione”;

- “tali istruzioni, laddove possibile, sono stampate ed affisse nei locali di servizio, in diretta evidenza agli incaricati interessati (così nel caso della struttura interessata alla violazione, la segreteria della SOD Istologia patologica e diagnostica molecolare); in altri casi sono fatte sottoscrivere agli incaricati stessi per accettazione e conservati agli atti; ciò in ragione delle autonome valutazioni dei rispettivi preposti al trattamento”;

- “Le istruzioni da parte del Titolare (ISPRO) sono quelle previste dall’accordo ex art. 28 GDPR (…), in particolare agli artt. 6 e 11-13”;

- “La procedura di gestione dei referti da trasmettere e le modalità di formazione del personale sono già state specificate nel nostro precedente riscontro alla Autorità”;

- “L'accesso al sistema e ai dati è consentito con una stretta profilazione (profilo “amministrativo”, con accesso alla consultazione, stampa, estrazione dei referti e modifica dei dati inseriti in fase di accettazione), limitatamente alle funzioni strettamente necessarie, in coerenza con quelle autorizzate nel modulo di istruzioni”;

- “Si è adesso data indicazione di scaricare nella cartella di servizio un solo referto per volta, eliminandolo dopo aver effettuato la trasmissione. (…) Si tratta di una soluzione che rallenta l’attività e che comunque non aiuta, ad esempio, qualora l’incaricato associ il referto che intende inviare ad una PEC sbagliata (l’incaricato normalmente non digita l’indirizzo ma va a cercare nella casella la PEC di richiesta, cui risponde allegando il file del referto)”;

- “Relativamente alla questione della “segregazione” dei compiti (svolti quale Titolare o quale Responsabile), si osserva che questa Azienda effettua numerose attività laboratoristiche a favore di soggetti esterni, pubblici come privati, ed attualmente sono attive (…) (diverse) convenzioni che interessano il Laboratorio. Tali referti sono trattati sul sistema indifferentemente dalla tipologia del beneficiario del servizio; una compartimentazione dei referti per titolare è una misura attualmente non praticabile  e che ad ogni modo non assicurerebbe, a nostro avviso, alcun valore aggiunto dal punto di vista della sicurezza delle operazioni di trattamento e della minimizzazione del rischio: infatti, la violazione di dati vi sarebbe comunque laddove fosse trasmesso ad un paziente il referto di un diverso interessato, qualunque fosse stato il ruolo privacy – titolare o responsabile - dell’Azienda”.
L’Azienda ha documentato quanto rappresentato, allegando l’atto recante “Disposizioni applicabili all’Azienda individuata quale responsabile del trattamento dati ai sensi dell’art. 28 del Regolamento UE 2016/679 (art. 2 e art. 11 Accordo quadro)”, nonché la nota di riscontro alla precedente richiesta di informazioni dell’Autorità, del XX (prot. n. XX).

Sulla base di quanto dichiarato e documentato, l’Ufficio, con atto del XX (prot. n. XX), ha notificato all’Azienda, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento ritenendo che  l’Azienda, in relazione all’episodio occorso riguardante l’invio al segnalante, via PEC, in assenza di un presupposto legittimante, di un referto di una paziente di I.S.P.R.O - per il quale l’Azienda svolge attività laboratoristica di Anatomia patologica, in qualità di responsabile del trattamento – abbia effettuato un trattamento in violazione un trattamento in violazione dei principi di base del trattamento di cui agli artt. 5, par. 1, lett. f) e 9 del Regolamento, nonché degli obblighi di sicurezza del trattamento di cui all’art. 32 del Regolamento medesimo, anche in relazione alla mancata previsione di misure, quali, ad esempio, diversi profili di autorizzazione -con specifico riferimento ai differenti ruoli svolti in qualità di titolare e responsabile del trattamento, nel rispetto della segregazione dei compiti- o la separazione (fisica o logica) delle informazioni trattate a diverso titolo.

L’Ufficio ha, altresì, invitato l’Azienda a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

Con nota del XX (prot. n. XX), l’Azienda ha presentato una memoria difensiva, nella quale, ribadendo quanto già comunicato in risposta alle citate richieste di informazioni, ha evidenziato e aggiunto, fra altro, che: 

- si “reputa (…) necessario esporre (…) le modalità con le quali viene gestito il processo di creazione e trasmissione dei referti nella SOD Istologia Patologica e diagnostica molecolare., (…) (Ciò) allo scopo di dar conto delle distinzioni/separazioni logiche che, a livello operativo, il sistema comunque già assicura”;

- “Nella SOD Istologia Patologica e Diagnostica Molecolare, il processo che dall’ingresso del campione in laboratorio porta alla consegna del referto cito-/istologico (di qui in poi indicato come “referto”) è tracciato in ogni sua fase su gestionale informatico (Armonia, Dedalus) e di esso se ne descrivono di seguito le fasi rilevanti al fine di chiarire la modalità di restituzione dei referti agli assistiti. Il campione giunge in laboratorio accompagnato da richiesta cartacea di esame citologico/istologico da parte di un professionista sanitario. Nella fase di accettazione, il personale sanitario preposto registra l’ingresso del campione in laboratorio sul gestionale informatico attraverso l’inserimento dei dati anagrafici dell’assistito e di ulteriori informazioni, quali la tipologia di esame richiesto e di materiale inviato, il medico curante, la struttura di provenienza. Tale fase termina con la generazione di un codice alfa-numerico univoco, che identifica il campione/assistito in tutte le fasi di processo, riportato su etichette adesive contestualmente apposte sul campione e sulla richiesta cartacea. Con riferimento alla struttura di provenienza, gli assistiti si distinguono tra: 1. assistiti ricoverati o comunque seguiti presso strutture (SS.OO.DD.) della AOU Careggi (…): le prestazioni effettuate sono individuate e raggruppate in riferimento al codice del centro di costo della SOD che richiede la prestazione; 2. assistiti afferenti ad enti in convenzione con AOU Careggi: le prestazioni effettuate sono individuate e raggruppate in riferimento al codice convenzione univoco per ciascun ente in convenzione; 3. assistiti esterni: le prestazioni effettuate sono individuate e raggruppate in riferimento al codice che riconosce gli assistiti non in carico ad ambulatori/reparti degenza AOU Careggi. Tale suddivisione, per eminenti finalità amministrativo-economiche, comporta anche (…) una diversa modalità di restituzione del referto agli assistiti da parte degli uffici amministrativi. Al termine delle analisi cito/istopatologiche, il professionista sanitario redige e firma digitalmente il referto. L’originale è pertanto, sempre, un .pdf firmato con firma digitale. Il professionista stesso consegna poi all’ufficio amministrativo della SOD la richiesta cartacea, presa visione della quale il personale amministrativo preposto verifica a quale tipologia di utente, tra quelle sopra richiamate (assistiti ricoverati presso AOU Careggi o comunque gestiti da una struttura aziendale, assistiti afferenti a enti in convenzione con AOU Careggi, assistiti esterni) il referto è riconducibile. Con riferimento alla consegna del referto, le procedure, per tipologie di utenti, sono: (…) 1. Assistiti ricoverati presso AOU Careggi o comunque gestiti da una struttura aziendale. Il medico richiedente, in servizio presso una SOD aziendale, utilizzando l’interfaccia “esterna” del gestionale informatico della SOD Istologia Patologica e Diagnostica Molecolare, previo accesso con credenziali personali e “filtrando” i referti inserendo il centro di costo della SOD cui afferisce, stampa il singolo referto e provvede a chiamare e consegnare il referto all’assistito. Nessun adempimento è richiesto al personale amministrativo afferente alla SOD Istologia Patologica e Diagnostica Molecolare se non archiviare la richiesta cartacea in appositi raccoglitori. 2. (Per gli ) assistiti afferenti a enti in convenzione con AOU Careggi (…): il personale amministrativo afferente alla segreteria della SOD Istologia Patologica e Diagnostica Molecolare accede, con credenziali personali, al gestionale informatico, “filtra” i referti riferibili ad un dato ente utilizzando il codice convenzione, stampa il singolo referto, lo inserisce in una busta e consegna la busta chiusa ad un corriere incaricato dalla struttura in convenzione; in alternativa, su richiesta esplicitata e autorizzata nell’atto di convenzione, il referto viene spedito a mezzo PEC. 3. Assistiti esterni. Ricordato che il referto cito-/istologico non è inviato dall’applicativo di refertazione al Fascicolo Sanitario Elettronico dell’assistito, quest’ultimo può anzitutto ritirare personalmente copia conforme cartacea del referto, stampata on-demand dal personale amministrativo aziendale del Centro Servizi (presso il Nuovo Ingresso Careggi); l’accesso alla documentazione avviene attraverso interfaccia del gestionale informatico in uso alla SOD Istologia Patologica e Diagnostica Molecolare. In alternativa, l’assistito ha la possibilità di richiedere, ai sensi degli artt. 38 e 65 del CAD, inviando a mezzo e-mail o PEC uno specifico modulo di richiesta accompagnato da copia di un documento di identità o riconoscimento, la trasmissione del referto a mezzo PEC. Il personale amministrativo giornalmente archivia in apposito raccoglitore la stampa delle richieste di trasmissione telematica del referto, annotando su ciascuna il rispettivo codice alfa-numerico univoco generato in fase di accettazione del campione. Il personale verifica quotidianamente quali referti per l’utenza esterna sono stati firmati e sono dunque pronti per l’invio. I referti disponibili per la consegna vengono “scaricati” da Armonia e salvati - identificati da nome/cognome paziente e id referto - in una cartella Spool. Il personale amministrativo ricerca la richiesta trasmessa dall’assistito, visualizza (in formato elettronico) gli allegati ricevuti verificando la corrispondenza dei dati anagrafici e allega alla PEC il referto ricercandolo nella cartella Spool. Inviata la PEC, se ne controlla l’avvenuta ricezione; successivamente si elimina la PEC inviata e se ne conserva la ricevuta di consegna. Al termine degli invii, la cartella Spool viene svuotata manualmente. Tanto premesso, si vuole dunque evidenziare che già l’attuale strutturazione dell’archivio è impostata seguendo un criterio di organizzazione logica dei dati, e che l’errore si è verificato non per un deficit strutturale del sistema – che, come sopra descritto, permette di qualificare distintamente, dal punto di vista operativo, tramite specifici metadati, la documentazione per tipologia di utente, e conseguentemente di titolarità - ma a livello della cartella Spool”;

-  “(…) l’incaricato, dimenticando di svuotare la cartella Spool, e trovandovi in essa due quasi omonimi, ha caricato il referto errato (ingannato, nella verifica del nominativo, dalla quasi omonimia)”;

- “(…) si evidenzia che l’Ufficio di Segreteria della SOD Istologia Patologica e Diagnostica Molecolare, composta da quattro impiegati, nel 2021 ha gestito i referti di ben 14.769 pazienti esterni e 8372 in convenzione, e che essendo a supporto dell’attività assistenziale deve rispettare ritmi e tempistiche estremamente compresse che caratterizzano quest’ultima. Quindi (…) quanto all’elemento soggettivo della violazione, non si riscontra una condotta particolarmente negligente dell’incaricato, che integri cioè un comportamento almeno colposo, posto che l’errore, in un’attività ripetitiva tale da determinare un fisiologico abbassamento della soglia d’attenzione, le è purtroppo consustanziale”;

- “(…) visto l’accaduto, nella consapevolezza della necessità di ricercare ed approntare ancora più adeguate misure di sicurezza nel trattamento dei dati, nonché per adempiere correttamente ad obblighi contrattuali, sulla base delle informazioni raccolte, abbiamo avviato un confronto con i tecnici informatici di ESTAR – cui sono affidati, nell’ambito di Regione Toscana, i servizi di supporto tecnico alle aziende del Servizio Sanitario Regionale - per verificare la possibilità di implementare ulteriori misure di segregazione fisica o logica, come indicato dall’Autorità. Al riguardo, l’Azienda ha chiesto di far sì che i referti inseriti nella cartella Spool possano cancellarsi con un qualsivoglia automatismo, eliminando una fase che, come tutti gli interventi manuali, rappresenta un fattore di rischio”;

- “ESTAR ha proposto, al fine di ridurre il rischio di errori, di mettere in condizioni gli enti convenzionati di acquisire in autonomia i referti direttamente dall’applicativo Armoniaweb (mediante un’interfaccia del gestionale in uso alla SOD Istologia Patologica e Diagnostica Molecolare): in tal modo operatori autorizzati e appositamente profilati potranno accedere attraverso canali protetti, in una logica di cooperazione applicativa, ai referti dell’ente di appartenenza. Ciò renderà possibile ridurre progressivamente, fino ad eliminarlo, il lavoro di intermediazione degli uffici amministrativi aziendali, riconducendolo al solo nostro ambito di titolarità, diminuendo il numero di operazioni e di conseguenza il rischio d’errore”;

- “(…) l’attuale gestionale è in fase di sostituzione con il nuovo applicativo che sarà presente in tutti laboratori di Anatomia Patologica presenti nelle aziende sanitarie toscane (…). Le richieste, così come il tracciamento dopo l'invio dei materiali, sarà gestito per qualunque Azienda tramite il medesimo applicativo, allo stesso modo delle comunicazioni circa la refertazione del caso e per tutte le operazioni di archiviazione e deposito dei materiali, andando così a ridurre in modo considerevole le operazioni che ad oggi richiedono un intervento manuale da parte di personale di supporto, siano interamente sostituite da comunicazioni digitali che automatizzano lo scambio di informazioni tra AOUC e gli enti convenzionati”.

2. Esito dell’attività istruttoria

Preso atto di quanto rappresentato nel corso del procedimento istruttorio dall’Azienda, si osserva quanto segue.

Il trattamento di dati personali deve avvenire nel rispetto della normativa applicabile in materia di protezione dei dati personali e, in particolare, delle disposizioni del Regolamento e del Codice.

Con particolare riferimento alla questione prospettata, si evidenzia che i dati personali relativi alla salute meritano una maggiore protezione dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali (Cons. n. 51 del Regolamento).

Il “Responsabile del trattamento” è la persona fisica o giuridica, l'Autorità pubblica, il Servizio o altro Organismo che tratta dati personali per conto del titolare del trattamento (art. 4, par. 8, del Regolamento).

La disciplina in materia di protezione dei dati personali stabilisce che i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (principio di “integrità e riservatezza”)” (art. 5, par. 1, lett. f) del Regolamento). In tal senso, il Regolamento prevede, altresì, che il titolare del trattamento e il responsabile del trattamento mettano in atto “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”, tenendo conto, tra l’altro, “della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche (…) che comprendono, tra le altre, (…) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento (..) Nel valutare l’adeguato livello di sicurezza si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati” (art. 32, par. 1, lett. b) e 2 del Regolamento).

Per quanto attiene, specificamente, all’ambito sanitario, la disciplina in materia di protezione dei dati personali prevede, altresì, che le informazioni sullo stato di salute possano essere comunicate unicamente all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso previa delega scritta di quest’ultimo (art. 9 Regolamento, nonché art. 84 del Codice - nella versione precedente la riformulazione del medesimo Codice ad opera del legislatore con il d.lgs. 10 agosto 2018, n. 101 - in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101).

In relazione alla normativa sopra richiamata, da quanto rappresentato e documentato in atti dall’Azienda e, in particolare, attraverso la memoria difensiva in ordine alla procedura con la quale – con riferimento alle attività svolte dall’Azienda medesima sia in qualità di titolare sia in qualità di responsabile del trattamento - viene gestito il processo di creazione e trasmissione dei referti nella SOD Istologia Patologica e diagnostica molecolare, si ritiene quanto segue.

L’Azienda - pur nella rappresentata osservanza del principio di segregazione dei compiti, nel dichiarato rispetto della separazione (fisica o logica) dei dati personali e affidamento di diversi profili di autorizzazione per l’accesso agli stessi - ha determinato, per le attività che svolge per conto di I.S.P.R.O. in qualità di responsabile del trattamento (“esami istologici su biopsie mammarie, colorettali, cervicali, su polipi del colon retto e su lesioni cutanee”),  una comunicazione di dati sulla salute di una paziente di I.S.P.R.O medesimo a soggetto non legittimato a riceverli. Ciò, in assenza di un idoneo presupposto giuridico, effettuando, pertanto, un trattamento in violazione dei principi di base del trattamento di cui agli artt. 5, par. 1, lett. f) e 9 del Regolamento, nonché in violazione degli obblighi di sicurezza del trattamento di cui all’art. 32 del Regolamento medesimo.

Al riguardo l’Azienda, al fine di minimizzare il rischio di futuri accadimenti analoghi ha impartito indicazioni agli operatori di “scaricare nella cartella di servizio un solo referto per volta, eliminandolo dopo aver effettuato la trasmissione”, nonché avviato un confronto con i tecnici informatici di ESTAR per migliorare le attuali misure di segregazione fisica o logica dei dati personali.

3.  Conclusioni

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dall’Azienda nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ si rappresenta che gli elementi forniti dalla medesima nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni, si accerta l’illiceità della condotta tenuta dall’Azienda, in qualità di responsabile del trattamento, per aver effettuato un trattamento in violazione dei principi di base di cui agli artt. 5, par. 1, lett. f) e 9 del Regolamento, nonché degli obblighi di sicurezza del trattamento di cui all’art. 32 del Regolamento medesimo.

La violazione delle predette disposizioni rende applicabile, ai sensi dell’art. 58, par. 2, lett. i), la sanzione amministrativa prevista dall’art. 83, par. 4 e 5 del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice.

In tale quadro, tenendo conto che l’Azienda ha implementato misure volte a minimizzare il rischio del verificarsi di accadimenti analoghi, caratterizzati da errore umano, impartendo indicazioni agli operatori di “scaricare nella cartella di servizio un solo referto per volta, eliminandolo dopo aver effettuato la trasmissione”, non ricorrono i presupposti per l’adozione di provvedimenti, di tipo prescrittivo o inibitorio, di cui all’art. 58, par. 2, del Regolamento.

4. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, par. 1, lett. f), 9 e 32 del Regolamento causata dalla condotta posta in essere dall’Azienda per le attività che svolge per conto di I.S.P.R.O. in qualità di responsabile del trattamento (“esami istologici su biopsie mammarie, colorettali, cervicali, su polipi del colon retto e su lesioni cutanee”) nella vicenda oggetto del presente provvedimento, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 4 e 5 del Regolamento e 166, comma 2, del Codice.

Si consideri che il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2, del Regolamento medesimo, in relazione ai quali si osserva che:

- la comunicazione effettuata dall’Azienda, dei dati relativi alla salute a un soggetto terzo non autorizzato a riceverli ha riguardato un solo paziente (art. 83, par. 2, lett. a) e g) del Regolamento);

- rispetto alla vicenda non è rinvenibile un comportamento doloso da parte dell’Azienda (art. 83, par. 2, lett. b) del Regolamento);

- nei confronti della Azienda sanitaria medesima è stato in precedenza adottato un provvedimento riguardante una violazione pertinente (art. 83, par. 2, lett. e) del Regolamento);

- l’Azienda ha tenuto un comportamento collaborativo con l’Autorità (art. 83, par. 2, lett. f) del Regolamento);

- l’Azienda si è attivata nell’adozione di misure tecniche e organizzative volte a scongiurare il ripetersi dell’accaduto (art. 83, par. 2, lett. f) del Regolamento);

- rispetto alla intensità dell’attività di indagine oncologica (cfr. memoria difensiva del XX per cui “l’Ufficio di Segreteria della SOD Istologia Patologica e Diagnostica Molecolare, composta da quattro impiegati, nel 2021 ha gestito i referti di ben 14.769 pazienti esterni e 8372 in convenzione, e che essendo a supporto dell’attività assistenziale deve rispettare ritmi e tempistiche estremamente compresse che caratterizzano quest’ultima”), è da tener conto del fatto che si è trattato di un caso isolato, determinato da errore umano (art. 83, par. 2, lett. k) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 4 e 5 del Regolamento, nella misura di euro 9.000,00 (novemila) per la violazione degli artt. 5, par. 1, lett. f), 9 e 32 del Regolamento quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che in ragione della natura dei dati, debba applicarsi la sanzione accessoria della pubblicazione, sul sito web del Garante, del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dall’Azienda Ospedaliero-Universitaria Careggi di Firenze, sita in Largo Brambilla n. 3 – c.a.p. 50134, P.IVA 04612750481 per la violazione degli artt. 5, par. 1, lett. f), 9 e 32 del Regolamento nei termini di cui in motivazione;

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, all’Azienda Ospedaliero-Universitaria Careggi di Firenze, di pagare la somma di euro 9.000,00 (novemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento; si rappresenta che il trasgressore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Azienda, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 9.000,00 (novemila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’Autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 20 ottobre 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL VICE SEGRETARIO GENERALE
Filippi

Scheda

Doc-Web
9832526
Data
20/10/22

Argomenti

Sanità e ricerca scientifica Dati sanitari Aziende sanitarie

Tipologie

Ordinanza ingiunzione o revoca

Vedi anche (9)