g-docweb-display Portlet

Ordinanza ingiunzione - 28 ottobre 2021 [9716887]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

NEWSLETTER DEL 10 NOVEMBRE 2021

 

[doc. web n. 9716887]

Ordinanza ingiunzione - 28 ottobre 2021

Registro dei provvedimenti
n. 392 del 28 ottobre 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. La segnalazione

Con nota del XX, il Comando dei Carabinieri XX ha comunicato al Garante di aver condotto delle indagini sulle modalità con le quali la dott.ssa Giglio consegnava agli assistiti le prescrizioni mediche, segnalando che le stesse venivano fissate a pinze da bucato attaccate ad un asse di legno appoggiato al davanzale della finestra dello studio medico, situato al piano terra e rivolto sul marciapiede della pubblica via.

2. L’attività istruttoria

A seguito di una richiesta di informazioni, formulata dall’Autorità, ai sensi dell’art. 157 del Codice (nota del XX, prot. n. XX), la dott.ssa Giglio ha fornito riscontro, con le note del XX, rappresentando che:

- “quanto oggetto di segnalazione ha avuto carattere episodico e assolutamente contingente, legato ad una emergenza sanitaria e nella consapevolezza dell’importanza del corretto trattamento del dato personale, e specificando, altresì, che le prescrizioni mediche, non erano comunque lasciate incustodite, essendo io presente quando i pazienti accedevano all’ambulatorio”;

- “si è ritenuto importante (..), pur in un regime di non obbligatorietà , proprio al fine di riduzione degli accessi in ambulatorio, fare ricorso all’uso della ricetta dematerializzata, anche per le prescrizioni non a carico del SSN e che comunemente sono chiamate “ricette bianche” con relativo rilascio di promemoria non in formato cartaceo, in ciò cominciando ad informare i pazienti anche della possibilità loro riservata, sempre prevista dal d.m. 30 dicembre 2020 di inviare il promemoria direttamente dal SAC alle farmacie tramite scelta espressa”.

Con riferimento a quanto emerso dall’esame della documentazione esaminata e dalle dichiarazioni rese, tenuto conto che la descritta condotta non è risultata conforme alla disciplina rilevante in materia di protezione dei dati personali, l’Ufficio, con atto del XX (prot. n. XX), ha notificato alla dott.ssa Giglio, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitandola a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, l. n. 689 del 24 novembre 1981).

In particolare l’Ufficio, nel predetto atto, ha rappresentato che:

- la disciplina in materia di protezione dei dati personali prevede che i titolari del trattamento sono tenuti a rispettare i principi applicabili al trattamento dei dati, fra i quali quello di «integrità e riservatezza», secondo il quale i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (art. 5, par. 1, lett. f) del Regolamento). Il titolare del trattamento è tenuto ad adottare misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, presentato dal trattamento che deriva dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati (art. 32 del Regolamento);

- in ambito sanitario, il titolare deve adottare idonei accorgimenti per garantire, anche nell’organizzazione delle prestazioni e dei servizi, il rispetto dei diritti, delle libertà fondamentali e della dignità degli interessati (art. 83 del Codice, ritenuto compatibile con il citato Regolamento (UE) n. 2016/679; cfr. art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101, in relazione al quale il Garante ha adottato uno specifico provvedimento generale - cfr. provv. generale del 9 novembre 2005, consultabile in www.garanteprivacy.it, doc. web n. 1191411, ritenuto compatibile con il suddetto Regolamento e con le disposizioni del decreto n. 101/2018; cfr. art. 22, comma 4, del citato d.lgs. n. 101/2018);

- le informazioni relative alla salute possono essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso, previa delega scritta di quest’ultimo (art. 9 Regolamento e art. 84 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101; cfr. anche provv. generale del 9 novembre 2005, consultabile in www.gpdt.it, doc. web n. 1191411, ritenuto compatibile con il suddetto Regolamento e con le disposizioni del decreto n. 101/2018; cfr. art. 22, comma 4, del citato d.lgs. n. 101/2018).

Ciò premesso, sulla base degli elementi acquisiti, con il predetto atto del 5 marzo 2021, l’Ufficio ha ritenuto che la dott.ssa Giglio abbia effettuato un trattamento di dati personali in violazione dei principi di base del trattamento di cui agli artt. 5 e 9 del Regolamento e dell’obbligo in materia di sicurezza del trattamento di cui all’art. 32 del Regolamento.

Con nota del 6 aprile 2021, la dottoressa ha fatto pervenire le proprie memorie difensive, nelle quali, in particolare, è stato rappresentato che:

a) “preliminarmente si specifica che le prescrizioni la cui modalità di consegna sarebbero oggetto di violazione contestata erano contenute in buste chiuse su cui era apposto solo il cognome e il nome del paziente; (..) tali buste non erano state lasciate incustodite essendo sempre la scrivente presente in ambulatorio, ed erano poste in modo da poter essere prelevate dall’interessato senza entrare in ambulatorio in funzione di una necessaria limitazione degli accessi in presenza di grave situazione di espansione pandemica proprio nella zona del «tortonese»”;

b) “in situazione di emergenza pandemica” è “ necessario adottare dei protocolli, con riferimento alle modalità di comunicazione con i pazienti, in parte derogatori rispetto a quelli che verrebbero adottati in situazione di normalità; (…) codesta Autorità in ciò richiamando l’ordinanza della protezione civile del 19 marzo 2020 ha affermato che al fine di evitare che i cittadini si rechino presso gli studi medici di base per ritirare le ricette si prevede che il medico di base possa trasmettere all’assistito per posta elettronica, via SMS o telefonicamente”;

c) “si ritiene che non vi sia una differenza sostanziale in termini di sicurezza nel trattamento dei dati tra e-mail e SMS, ammessi da codesta Autorità e il posizionamento di buste chiuse contestato alla scrivente”;

d) “l’esposizione delle buste contenenti le prescrizioni è stata fatta allo specifico scopo di limitare gli accessi in ambulatorio, limitazione che è stata fortemente incoraggiata dalla citata ordinanza della protezione civile cui il Garante fa esplicito riferimento”.

In data 4 maggio 2021 si è tenuta l’audizione richiesta dal titolare del trattamento innanzi all’Autorità, nel corso della quale, in relazione alla violazione notificata, è stato ribadito quanto già dichiarato e, comunque, precisato che:

- “non si trattava di ricette ma di avvisi per i pazienti aventi ad oggetto le corrette modalità da adottare per evitare rischi di contagio da Covid-19 e per accedere all’ambulatorio in sicurezza”;

- “nessuno degli assistiti si è lamentato ed è stato danneggiato”;

- “non viene utilizzata la mail e la piattaforma Whatsapp, per fornire i suddetti avvisi in quanto ritenuti non sicuri”;

- “talvolta per aiutare le persone più anziane, le ricette vengono consegnate direttamente al domicilio degli assistiti”.

3. Esito dell’attività istruttoria

Premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice (“Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”), all’esito delle dichiarazioni rese all’Autorità nel corso del procedimento nonché dell’esame della documentazione acquisita, risulta che la dott.ssa Giglio ha effettuato un trattamento di dati personali in violazione dei principi di base del trattamento di cui agli artt. 5, 9 del Regolamento e dell’obbligo in materia di sicurezza del trattamento, di cui all’art. 32 del Regolamento.

4. Conclusioni

Le sintetiche deduzioni riportate dal titolare nelle memorie difensive e nell’audizione risultano insufficienti a superare le contestazioni sollevate dall’Ufficio con l’atto di avvio del procedimento e, quindi, a consentire l’archiviazione del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Preliminarmente, va evidenziato che durante il periodo emergenziale sono state previste talune misure volte ad agevolare l’uso delle modalità semplificate di acquisizione del promemoria dematerializzato ovvero del numero di ricetta elettronica previste dall’Ordinanza della Protezione civile n. 651 del 19 marzo 2020, al fine di evitare che l’assistito dovesse recarsi presso lo studio del medico a ritirare la prescrizione; ciò, al fine di contenere la diffusione del virus Sars Cov-2 (d.m. 25 marzo 2020 e d.m. 30 dicembre 2020, sui quali l’Autorità ha espresso il proprio parere di competenza - cfr. provv. 19 marzo 2020, doc. web n. 9296257, del 2 aprile 2020, doc. web n. 9308089, provv. del 12 novembre 2020, doc. web 9519603).

Ciò premesso, si rappresenta che le dichiarazioni rese dalla dott.ssa Giglio relative alle ragioni per le quali la stessa ha inteso introdurre una modalità differente di consegna delle prescrizioni, nel periodo emergenziale, rispetto a quelle indicate nei citati decreti, non consentono di superare le criticità già manifestate con le note del 24 dicembre 2020 e del 5 marzo 2021. In particolare, le ragioni addotte dalla  dottoressa relative all’insussistenza di una “differenza sostanziale in termini di sicurezza nel trattamento dei dati tra e-mail e SMS, ammessi da codesta Autorità e il posizionamento di buste chiuse contestato alla scrivente” e all’inadeguatezza della “mail e (del)la piattaforma Whatsapp” [modalità quest’ultima, peraltro non contemplata dai citati decreti], in termini di idoneità, non risultano essere suffragate da valutazioni di carattere tecnico e giuridico.

Va, inoltre, evidenziato che, dalla documentazione fotografica allegata alla segnalazione, emerge che la modalità di consegna ideata dalla dott.ssa Giglio aveva ad oggetto altresì prescrizioni mediche, liberamente visibili e accessibili a chiunque si trovasse a transitare nei pressi del davanzale della finestra dello studio medico, perché non contenuti in busta chiusa.

Al riguardo, già il Garante, nel comunicato stampa del 14 novembre 2014, aveva espressamente fatto presente che “le ricette mediche possono essere lasciate presso le farmacie e gli studi medici per il ritiro da parte dei pazienti, purché siano messe in busta chiusa. Lasciare ricette e certificati alla portata di chiunque o perfino incustodite, in vaschette poste sui banconi delle farmacie o sulle scrivanie degli studi medici, viola la privacy dei pazienti”. E’ stato, inoltre, fatto presente che “le procedure, in vigore già da tempo, consentono ai medici di lasciare ai pazienti ricette e i certificati presso le sale d'attesa dei propri studi o presso le farmacie, senza doverglieli necessariamente consegnare di persona. Per impedire la conoscibilità da parte di estranei di dati delicati, come quelli sanitari, è però indispensabile che ricette e certificati vengano consegnati in busta chiusa. La busta chiusa è tanto più necessaria nel caso in cui non sia il paziente a ritirare i documenti, ma una persona da questi appositamente delegata” (cfr. comunicato stampa del 14 novembre 2015, in doc. web n. 3533579; cfr. altresì provv. del 24 febbraio 2011, doc. web n. 1797075).

Pertanto, si confermano le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dalla dott.ssa Giglio, in violazione degli artt. 5, 9 e 32 del Regolamento, nei termini di cui in motivazione.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, 9 e 32 del Regolamento, determinata dal trattamento di dati personali, oggetto del presente provvedimento, effettuato dalla dott.ssa Giglio, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 4 e 5 del Regolamento.

Si consideri che il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2, del Regolamento in relazione ai quali, in particolare, si osserva che:

- il trattamento dei dati effettuato ha riguardato informazioni sullo stato di salute degli assistiti della dott.ssa Giglio ed ha avuto una durata di diversi mesi (art.  83, par. 2, lett. a) e g) del Regolamento);

- la violazione ha carattere doloso e il grado di responsabilità del titolare è alto, tenuto conto delle misure tecniche e organizzative messe in atto ai sensi degli artt. 25 e 32 (art. 83, par. 2, lett. b) e d) del Regolamento);

- alcuni pazienti hanno reso sommarie informazioni in merito alla condotta della dott.ssa presso il Comando dei Carabinieri XX (art. 83, par. 2, lett. k) del Regolamento);

- lo stato emergenziale durante il quale la dott.ssa Giglio ha effettuato il trattamento in questione, nonché la sufficiente dissuasività della sanzione amministrativa irrogata (art. 83, par. 2, lett. k) del Regolamento.   

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 10.000,00 (diecimila) per la violazione degli artt. 5, 9 e 32 del Regolamento quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019, in relazione alla categoria particolare di dati personali trattati e al numero potenziale di interessati.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata la violazione dell’art. 5 del Regolamento, dichiara l’illiceità del trattamento di dati personali effettuato dalla dott.ssa Giglio nei termini di cui in motivazione;

ORDINA

alla  dott.ssa Giglio, nata a XX il XX, C.F.XX, residente in XX, in XX, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, di pagare la somma di euro 10.000,00 (diecimila) a titolo di sanzione amministrativa pecuniaria per la violazione di cui al presente provvedimento, secondo le modalità indicate in allegato, entro 30 giorni dalla notifica in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta dott.ssa Giglio, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 10.000,00 (diecimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

- la pubblicazione del presente provvedimento sul sito web del Garante, ai sensi dell’art. 166, comma 7, del Codice;

- l’annotazione del presente provvedimento nel registro interno dell’Autorità - previsto dall’art. 57, par. 1, lett. u), del Regolamento, nonché dall’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante - relativo alle violazioni e alle misure adottate in conformità all'art. 58, par. 2, del Regolamento medesimo.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 28 ottobre 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei



Vedi anche (8)