g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Prescrizioni del Garante
  4. Provvedimento del 22 febbraio 2024 [9997395]

Provvedimento del 22 febbraio 2024 [9997395]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9997395]

Provvedimento del 22 febbraio 2024

Registro dei provvedimenti
n. 98 del 22 febbraio 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE” (di seguito “Codice”);

VISTO il d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore l’avv. Guido Scorza;

PREMESSO

1. La segnalazione e l’attività istruttoria

Con nota del XX la sig.ra XX ha trasmesso una segnalazione nei confronti dell’Azienda sanitaria locale Vercelli - Ospedale Sant’Andrea, di seguito “Azienda”, nella quale lamentava di aver ricevuto la cartella clinica, contenente gli esami medici anche relativi ad un’altra persona (sig.ra XX).

Alla richiesta di informazioni dell’Autorità, formulata ai sensi dell’art. 157 del Codice, al fine di acquisire elementi di informazione utili alla valutazione del caso (nota del XX), l’Azienda ha fornito riscontro (nota del XX), dichiarando, tra l’altro, che:

- “la notte in cui si è verificato l’errore, XX (e quindi all’inizio della situazione pandemica) sono avvenuti tre parti nello stesso arco temporale (alle ore XX, alle ore XX e alle ore XX). Questo fatto costituiva per la nostra Azienda un evento straordinario in quanto solitamente i parti avvengono con la cadenza di uno al giorno e non tutti i giorni”;

- “in merito all’apposizione dell’etichetta, si precisa che solitamente esse non vengono apposte in quella posizione (a sinistra) e direzione (verticale), ma bensì in posizione opposta (in alto a destra) e direzione orizzontale”;

- “appare quindi evidente l’incidente possa essere ricondotto ad uno scollamento fortuito dell’etichetta dal supporto ove correttamente era stata apposta e involontaria affissione casuale sul primo supporto con il quale la stessa è venuta a contatto”;

- “con riferimento al luogo presso il quale può essere avvenuto il trasferimento dell’etichetta, si precisa che le cartelle delle partorienti erano collocate contemporaneamente nella sala parto e poi successivamente venivano trasferite dal personale sanitario nello studio delle ostetriche di reparto”;

- “l’assemblaggio della cartella clinica (…) avviene a cura delle ostetriche, mentre il direttore della struttura, dopo il controllo, la chiude e la firma. Successivamente la cartella viene inviata per la dematerializzazione alla società incaricata, che la preleva direttamente presso il reparto”;

- “le etichette che vengono stampate dalle ostetriche, vengono usate per:

• braccialetto identificativo paziente

• frontespizio cartella clinica

• tracciati cardio tocografici, o auscultazione del battito cardiaco intermittente, (possono essere più di uno ma anche 10)

• registro di controllo delle ostetriche

• nel braccialetto con l’etichetta c’è una sicura. Le etichette vengono messe sul braccialetto della mamma. Nel braccialetto del parto si scrive a penna. La mamma ha un braccialetto doppio”;

- “con riferimento alla produzione delle etichette viene riferito che l’inchiostro dell’etichetta dopo diversi anni si cancella per sua natura. Dall’ applicativo utilizzato per la stampa delle etichette (denominato “Galileo”), si stampa un intero foglio in carta adesiva A4 di etichette, che viene allegato alla cartella”;

- “le etichette in esubero vengono a volte allegate alla cartella, a volte vengono cestinate. Non si ha evidenza della dotazione nei diversi reparti ed uffici dell’ASL di distruggi documenti”;

- “la sig.ra XX, persona i cui dati personali “sarebbero” (…) “stati violati”, è stata ricevuta dal Direttore medico di Presidio, (…), in data XX, per chiedere copia della propria cartella clinica. La stessa, nel conferire con il Direttore medico di Presidio, ha chiesto di conoscere quali dei suoi referti fosse stato consegnato alla reclamante”;

- “il dott. (…) ha mostrato alla sig.ra XX la pagina sulla quale era attaccata l’etichetta con il suo nome, rassicurando che nessun referto era stato comunicato. Dopo aver avuto contezza dei reali accadimenti, il dott. (…) ha potuto rilevare che la sig.ra XX ha manifestato sollievo in relazione ai propri dati”;

- “l’evento occorso è stato cagionato da un’azione accidentale interna, dovuta al trasferimento di un’etichetta nominativa di reparto, recante il nome della paziente sig.ra XX, su tracciato cardiotocografico, comprensibile soltanto da personale medico o ostetrico, della paziente sig.ra XX”;

- “tale tracciato è della stessa sig.ra XX, non della sig.ra XX, in quanto l’orario indicato sullo stesso non è coerente con l’orario del parto di quest’ultima”;

- “con circolare interna prot. n. XX” (…) il Direttore medico di Presidio, (…) ha intimato a tutto il personale sanitario di prestare la massima attenzione nell’utilizzo dei supporti cartacei autoadesivi sui quali vengono stampate le anagrafiche dei pazienti, avendo cura di distruggere, con la medesima cautela, le etichette residue rimaste inutilizzate”.

In data XX, l’Azienda ha effettuato la notifica di violazione dei dati personali, ai sensi dell’art. 33 del Regolamento, che contiene sostanzialmente le informazioni sopra riportate, precisando che “sull’etichetta sono riportati: data, nome del reparto "ostetricia/ginecologia", nome, cognome, sesso, data di nascita, codice fiscale”.

2. Valutazioni del Dipartimento sul trattamento effettuato e notifica della violazione di cui all’art. 166, comma 5 del Codice

In relazione ai fatti descritti nella segnalazione e nella notifica di violazione di dati personali, l’Ufficio, con nota del XX (prot. n. XX), ha notificato all’Azienda, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitandola a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24 novembre 1981).

In particolare, l’Ufficio, nel predetto atto, ha rappresentato che l’Azienda ha effettuato un trattamento di dati sulla salute in violazione dei principi di esattezza, di integrità e riservatezza (art. 5 par. 1, lett. d) e f) del Regolamento) e, comunicando dati personali a terzi in assenza di un idoneo presupposto giuridico, in violazione dei principi di base del trattamento di cui all’art. 9 del Regolamento e degli obblighi in materia di sicurezza di cui all’art. 32 del Regolamento.

Con nota trasmessa, via PEC, il XX, la medesima struttura sanitaria ha fatto pervenire le proprie memorie difensive, nelle quali, in particolare, ha evidenziato che:

- “la sig.ra XX contesta ad ASL VC di avere inserito nella sua cartella clinica il tracciato tocografico della sig.ra XX. Tale ultima circostanza non corrisponde al vero: il tracciato tocografico inserito nella cartella della sig.ra XX era riferibile alla medesima sig.ra XX. Sul tracciato, tuttavia, per mero errore materiale e accidentalmente, si era incollata l’etichetta adesiva della sig.ra XX, riportante i dati anagrafici e il reparto di degenza di quest’ultima. Entrambe le partorienti, infatti, in data XX, sono entrate in travaglio, partorendo, rispettivamente alle ore XX (XX) e alle ore XX (XX)”;

- “la notte del XX è stata particolarmente concitata (…): precedentemente ai due parti sopra riportati, alle ore XX, gli operatori di sala avevano assistito un’altra partoriente”;

- “l’analisi delle cartelle cliniche delle signore XX e XX, con i relativi tracciati tocografici in esse contenute, recanti solo data e ora (stampati in automatico su carta termosensibile) evidenziano l’inizio e la fine dell’accertamento stesso, cronologicamente compatibile con l’orario del parto”;

-  “corrisponde a verità la circostanza secondo cui il tracciato allegato nella cartella della signora XX presenta un’etichetta adesiva recante il nome della signora XX; tuttavia, se lo si analizza, si può osservare che il tracciato ha inizio alle ore XX e termina alle ore XX: tale porzione temporale corrisponde al periodo di monitoraggio e successivo momento espulsivo della signora XX ed è del tutto incompatibile con l’orario del parto della XX in quanto avvenuto alle ore XX. Non vi è stato, pertanto, uno scambio di tracciati, ma l’adesione accidentale di una etichetta recante dati indentificativi relativi alla partoriente precedente”;

- “l’adesione, certamente fortuita, di etichetta adesiva prestampata recante il nome della partoriente precedente (XX) rappresenta un caso accidentale, isolato e unico per l’ASL VC e ha costituito comunicazione a terzi non autorizzati di dati di un solo interessato (XX) nei confronti di un unico soggetto (XX)”;

- “la sig.ra XX, inizialmente informata tramite social network dalla signora XX, una volta chiarito l’accaduto con la Direzione medica dell’ASL Vercelli, ha compreso la portata minima dell’errore. Errore, peraltro, involontario e conseguente a un particolare momento di concitazione derivato dalla gestione di tre parti in sequenza (già questa evenienza straordinaria dal momento che Asl Vercelli gestisce, ordinariamente, un parto nelle 24 ore), in piena pandemia COVID (circostanza, è forse ridonante sottolinearlo, ancor più straordinaria)”;

- “la violazione non ha avuto come oggetto la comunicazione alla sig.ra XX della cartella clinica contenente anche gli esami medici eseguiti dalla paziente XX. Tutti gli esami medici contenuti nella cartella clinica di cui la signora XX aveva estratto copia presso la Direzione Medica dell’Ospedale di Vercelli erano riferiti alla stessa signora XX, ivi compreso il tracciato su cui si era trasferita accidentalmente l’etichetta contenente i dati della paziente XX”;

- “nel caso specifico il tracciato tococardiografico consegnato alla sig.ra XX era riferito alla paziente XX medesima. A comprova della riferibilità del tracciato alla sig.ra XX, si produce relazione del medico legale dell’ASL VC, dott. (…). Si rileva, pertanto, che non vi sia stata violazione circa l’esattezza dei dati della segnalante, posto che le è stato chiarito che il tracciato fosse a lei riferito”;

- “può (..) ritenersi la lieve gravità della violazione atteso che essa ha riguardato un solo interessato, i cui dati, contenuti nell’etichetta accidentalmente incollatasi, sono stati comunicati ad un solo soggetto non autorizzato”;

- “lo spostamento fortuito dell’etichetta nominale della sig.ra XX sul tracciato della sig.ra XX è stato un evento del tutto accidentale. L’errore, concretatosi nel non essersi avveduti dell’erronea adesione dell’etichetta, è dunque imputabile, al più, a titolo di colpa”;

- “sul punto, tuttavia, l’ASL di Vercelli ritiene utile – al fine di applicarla analogicamente, operazione concessa trattandosi di norma di favore – ricordare a codesta ecc.ma Autorità che lo stesso legislatore, in epoca pandemica, ha mostrato un atteggiamento di favore nei confronti dei fatti illeciti, riconducibili alla categoria della colpa lieve, che trovano la loro causa nella situazione di emergenza. Si fa riferimento, in particolare, all’art. 3 bis introdotto dal d. lgs. 44/2021 laddove delinea una causa di esclusione della punibilità per fatti imputabili alla sola colpa lieve. ASL Vercelli ritiene che la ratio ispiratrice della norma, l’intollerabilità del muovere un rimprovero al sanitario che si sia trovato ad agire nel contesto pandemico ove abbia commesso un fatto contraddistinto dalla sola colpa lieve, ben si addica a questo evento”;

- “la scrivente Azienda sanitaria ritiene che l’errore sia in ultima istanza causalmente riconducibile alla straordinarietà della situazione pandemica e, pertanto, scusabile, attraverso un’applicazione analogica dell’art. 3 bis del d. lgs. 44/2021”;

- “l’Azienda ha tenuto a chiarire alla sig.ra XX, in modo completo ed esaustivo, gli estremi della violazione durante un colloquio svoltosi presso la Direzione Medica di presidio di ASL VC. Sul punto preme evidenziare, infatti, che la sig.ra XX successivamente all’evento non ha presentato ad ASL Vercelli alcun reclamo, né alcuna richiesta di risarcimento. Tale circostanza può essere valorizzata quale ulteriore prova dell’esiguità della violazione”;

- “l’Azienda aveva già in atto le misure tecniche e organizzative previste dalla norma, quali gli armadi chiusi, le porte chiuse, la videosorveglianza; aveva altresì già adottato anche il “Regolamento per le persone autorizzate al trattamento dei dati personali operanti presso le strutture dell’ASL VC”, nonché il “Regolamento sulla protezione dei dati personali”, il Codice di comportamento dell’ASL VC (art. 12), la nomina del Responsabile della protezione dei dati, la “Procedura per la gestione delle violazioni dei dati personali data breach”;

- “all’interno dell’azienda, oltre alla sempre continua formazione per i dipendenti ASL in materia di privacy (si consideri che solo nell’anno XX, così come verificato dal DPO hanno beneficiato della formazione ben 1025 operatori), erano altresì già state implementate le procedure “Gestione verifica cartelle cliniche”; “Consegna documentazione sanitaria” e “Progettazione dati personali (…)”;

- “l’Azienda in relazione all’evento, al fine di mitigare il rischio di ulteriori violazioni – come anticipato nella già ricordata nota n. XX del XX - ha adottato le procedure e azioni correttive di seguito elencate:

• circolare interna prot. n. XX” con la quale il Direttore medico di Presidio, dott. Scipione Gatti ha intimato a tutto il personale sanitario di prestare la massima attenzione nell’utilizzo dei supporti cartacei autoadesivi sui quali vengono stampate le anagrafiche dei pazienti, avendo cura di distruggere con la medesima cautela, le etichette residue rimaste inutilizzate (…);

• la consegna di un distruggi documenti, con caratteristiche adeguate, assegnato alla S.C. Ginecologia e ostetricia (…);

• una modifica delle impostazioni di stampa, da parte dell’ICT, tale da fissare un limite numerico massimo di etichette di reparto stampabili (…)”;

- “l’Azienda, poco dopo aver avuto notizia della violazione (XX), ha effettuato per il tramite della struttura aziendale Direzione Medica di presidio una istruttoria interna volta a conoscere le circostanze della violazione e valutare il rischio per i diritti e le libertà dell’interessata e, in data XX (prot. XX), ha prontamente inoltrato all’Autorità la comunicazione ex art. 33 del Reg. UE 679/2016”;

- “sull’etichetta adesiva fortuitamente trasferitasi sul tracciato riferito alla paziente XX erano contenuti i dati anagrafici (nome; cognome; sesso; data di nascita e codice fiscale) e i dati relativi alla salute (nome del reparto di Ginecologia Ostetricia di cura della paziente), appartenenti ad altra paziente, sig.ra XX”;

- “l’Autorità ha preso conoscenza della violazione con notifica inoltrata dalla ASL VC di propria iniziativa. Ed infatti, ancorché dagli atti depositati nel fascicolo n. XX risulti una segnalazione inviata il giorno XX dalla signora XX, si precisa che quest’ultima è stata conosciuta da ASL Vercelli solamente in data XX con comunicazione della Autorità Garante nr. (…). Pertanto, appare evidente che la notifica sia stata spontaneamente effettuata in data XX ai sensi dell’art. 33 del GDPR (…)”;

- “poiché la fisiologica procedura seguita da Asl Vercelli per casi simili (istruttoria interna tramite la S.S. Risk Management; risposta scritta dell’ufficio comunicazioni con il pubblico e illustrazioni delle possibili vie legali da intraprendere) non era stata sufficiente a interrompere la copiosa mole di segnalazioni scritte e orali della signora, la Direzione generale si era resa disponibile al ricordato colloquio (…)”;

- “solo in data XX la Direzione Generale ha appreso dalla sig.ra XX, tramite mail, l’errore relativo all’etichetta (…). La signora è stata nuovamente informata per iscritto dei suoi diritti e delle procedure in atto (…) e ASL Vercelli ha iniziato un’istruttoria interna culminata nella già ricordata notifica a codesta ecc.ma Autorità ex art. 33 GDPR”;

- “ASL Vercelli pone l’attenzione sulla straordinarietà dell’evento pandemico e sul numero elevato di parti gestiti in data XX dal personale della Ginecologia e ostetricia dell’azienda”;

L’Azienda nell’ambito delle memorie, ha concluso, chiedendo di procedere all’archiviazione del procedimento e, in subordine, a considerare l’esiguità del fatto (“trattandosi di comunicazione avvenuta nei confronti di un solo terzo, avente ad oggetto i dati di un solo interessato, nonché da ritenersi un caso unico, isolato e fortuito”), adottando un provvedimento di ammonimento.

In data XX, si è svolta l’audizione richiesta dall’Azienda. In tale circostanza è stato precisato e ribadito che:

-  “il parto della sig.ra XX è avvenuto in data XX, nel pieno contesto emergenziale pandemico e in una situazione eccezionale per l’Ospedale, essendosi verificati in quella notte tre parti successivi dalle ore XX e alle ore XX”;

- “non si è trattato di un errore ma di una fortuita adesione dell’etichetta nella cartella della sig.ra XX; ciò è dimostrato dal posizionamento anomalo dell’etichetta sul tracciato, come documentato dalla nota che verrà prodotta dalla Asl, a conferma di quanto rappresentato”;

- “per evitare il ripetersi di quanto segnalato, è stato deciso di prevedere la rimozione della funzione di “stampa multipla”, per la sola “stampa singola” delle etichette adesive (…)”;

- “in ogni caso, al momento dell’evento, il titolare aveva già predisposto misure di mitigazione dei rischi, prevedendo, come risulta dalla procedura allegata, un doppio controllo della integrità e completezza della cartella, nonché della correttezza dei dati ivi contenuti, in quanto la medesima cartella veniva esaminata dal personale di sala e successivamente dal Direttore della struttura complessa”;

- “la sig.ra XX, i cui dati erano contenuti nella etichetta adesiva riscontrata nella cartella della segnalante, è stata informata personalmente nel corso di un colloquio presso la Direzione medica in modo completo e esaustivo il XX; a seguito del predetto colloquio la sig.ra XX è stata rassicurata sulla circostanza che non si fossero verificati scambi di referto e, pertanto, non ha manifestato di aver subito un danno da quanto accaduto”;

-  “la sig.ra XX, durante l’incontro avvenuto con la Direzione generale il XX non ha segnalato la problematica relativa all’adesione dell’etichetta; ove l’avesse fatto, l’Azienda avrebbe tempestivamente chiarito alla sig.ra XX che non si era verificato uno scambio di referti, in quanto il suo referto riporta l’orario unicamente a lei riferibile, come anche riscontrabile nel tracciato tocografico che si allega”;

- “solo dopo la mail del XX della sig.ra XX, la Direzione generale dell’Azienda ha appreso la problematica e le ha comunicato che avrebbe provveduto ad immediata verifica (…)”;

- “l’Azienda ha manifestato estrema disponibilità e spirito di collaborazione nei confronti della segnalante”;

- “il titolare ha particolare attenzione nei confronti di tutti gli interessati, consentendo loro anche un agevole esercizio dei diritti, tramite una pagina appositamente realizzata per la protezione dei dati (“Dati personali”), facilmente raggiungibile, in quanto appare subito visibile nel menu principale del sito aziendale”.

3. Esito dell’attività istruttoria

Preso atto di quanto rappresentato dall’Azienda nella documentazione in atti e nelle memorie difensive, si osserva che:

1. per “dati relativi alla salute” si intendono “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, n. 15 del Regolamento e Considerando n. 35);

2. le informazioni personali devono essere trattate nel rispetto dei principi applicabili al trattamento dei dati personali, elencati nell’art. 5 del Regolamento. In particolare, i dati devono essere “esatti e, se necessario, aggiornati” e “devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono stati trattati” (principio di «esattezza»); i dati devono essere, altresì, “trattati in maniera da garantire un’adeguata sicurezza (…) compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti o dalla perdita, dalla distruzione o dal danno accidentali” (principio di «integrità e riservatezza») (art. 5, par. 1, lett. d) e f) del Regolamento);

3. in materia di sicurezza del trattamento, l’art. 32 del Regolamento, stabilisce che “tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio […]” (par. 1) e che “nel valutare l’adeguato livello di sicurezza si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati” (par. 2);

4. in ambito sanitario le informazioni sullo stato di salute possono essere comunicate solo all’interessato e possono essere comunicate a terzi sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso, previa delega scritta di quest’ultimo (art. 9 del Regolamento e art. 84 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101).

4. Conclusioni

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”, gli elementi forniti dal titolare del trattamento nella memoria difensiva sopra richiamata e nel corso dell’audizione, seppure meritevoli di considerazione, non consentono di superare integralmente i rilievi notificati dall’Ufficio con il richiamato atto di avvio dei procedimenti, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del regolamento del Garante n. 1/2019. Ciò, considerando, altresì, che l’art. 3-bis del d.l. 1°aprile 2021, n. 44, recante “Misure urgenti per il contenimento dell'epidemia da COVID-19, in materia di vaccinazioni anti SARS-CoV-2, di giustizia e di concorsi pubblici” del quale l’Azienda, nelle memorie difensive, ha chiesto l’applicabilità, riguarda la “responsabilità colposa per morte o lesioni personali in ambito sanitario durante lo stato di emergenza epidemiologica da COVID-19”.

Infatti, nell’evidenziare, come più volte ricordato dall’Autorità, che l’avvenuta prestazione di un servizio di assistenza sanitaria riferita a una persona specificatamente indicata (nel caso di specie, dal nome e cognome, sesso, data di nascita, codice fiscale) costituisce un’informazione riconducibile alla nozione di dato sulla salute, ai sensi dell’art. 4, par. 1, n. 15 del Regolamento e del Cons. n. 35 (cfr., ex multis, Provv. 29 settembre 2021 n. 358, doc. web n. 9720448), è stato accertato che la segnalante è venuta a conoscenza della prestazione sanitaria erogata alla sig.ra XX, i cui dati personali contenuti nell’etichetta adesiva, peraltro, sono stati riferiti ad una prestazione sanitaria non effettuata dalla stessa.

Si rileva, pertanto, l’illiceità del trattamento di dati personali effettuato dalla Azienda sanitaria locale Vercelli per aver effettuato un trattamento di ha effettuato un trattamento di dati personali e sulla salute, in violazione dei principi di esattezza e di integrità e riservatezza (art. 5 par. 1, lett. d) e f) del Regolamento) e, comunicando dati personali a terzi in assenza di un idoneo presupposto giuridico, in violazione dei principi di base del trattamento di cui all’art. 9 del Regolamento e degli obblighi in materia di sicurezza di cui all’art. 32 del Regolamento, come sopra descritto.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

Ciò premesso, tenuto conto che:

- dalle risultanze degli atti, l’episodio risulta essere un fatto isolato e, sotto il profilo psicologico, privo di dolo; la responsabilità è riconducibile ad un grado di colpa da valutarsi come lieve alla luce degli elementi che connotano l’episodio;

- la violazione ha riguardato dati sulla salute in relazione alla comunicazione a un terzo;

- l’Azienda è intervenuta prontamente per prevenire il ripetersi di eventi analoghi;

- il titolare del trattamento si è dimostrato prontamente e estremamente collaborativo durante tutta la fase istruttoria e procedimentale e non risultano precedenti violazioni pertinenti commesse dallo stesso;

le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi del cons. 148 del Regolamento e delle “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal “Gruppo di Lavoro Art. 29” il 3 ottobre 2017, WP 253 e fatte proprie dal Comitato europeo per la protezione dei dati con l’”Endorsement 1/2018” del 25 maggio 2018. Si ritiene, pertanto, relativamente al caso in esame, che sia sufficiente ammonire il titolare del trattamento ai sensi degli artt. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, per avere violato gli artt. 5, par. 1, lett. d) e f), 9 e 32 del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.

TUTTO CIÒ PREMESSO IL GARANTE

a) dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dall’Azienda sanitaria locale Vercelli, con sede legale in Vercelli, Corso M. Abbiate, 21 – 13100 (P.I./Cod. Fisc. 0181111002);

b) ai sensi dell’art. 58, par. 2, lett. b), del Regolamento, ammonisce l’Azienda sanitaria locale Vercelli, quale titolare del trattamento in questione, per aver violato gli artt. 5, par. 1, lett. d) e f), 9 e 32 del Regolamento, come sopra descritto;

c) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’Autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 22 febbraio 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei

 

Scheda

Doc-Web
9997395
Data
22/02/24

Argomenti

Dati sanitari Aziende sanitarie

Tipologie

Prescrizioni del Garante

Vedi anche (10)