g-docweb-display Portlet

Provvedimento del 15 dicembre 2022 [9845156]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

VEDI ANCHE: Newsletter del 24 gennaio 2023

 

[doc. web n. 9845156]

Provvedimento del 15 dicembre 2022*
*Con sentenza del 21 settembre 2023 il Tribunale di Udine ha annullato il provvedimento del Garante 15.12.2022, n. 416.
 

Si pubblica, di seguito, il dispositivo della sentenza.

“In nome del Popolo Italiano, il Tribunale di Udine, in composizione monocratica, definitivamente pronunciando, ogni contraria istanza, eccezione e deduzione disattese, così giudica:

1) accoglie il ricorso e, per l'effetto, annulla l'ordinanza ingiunzione n. 416 del 15 .12.2022 emessa dal Garante per la Protezione dei Dati Personali ai sensi dell'art. 18 L. n. 689/1981, notificata in data 30.12.2022;

2) ordina al Garante per la Protezione dei Dati Personali di provvedere alla pubblicazione della sentenza in forma integrale (dispositivo e motivazione), a propria cura e a proprie spese, mediante comunicazione sul proprio sito web istituzionale;

3) condanna il Garante per la Protezione dei Dati Personali alla rifusione delle spese legali in favore di parte ricorrente AZIENDA SANITARIA FRIULI CENTRALE, liquidate in complessivi 7.093,00, di cui euro 6.307,00 per compensi professionali, euro 786,00 per esborsi (contributo unificato e marca), oltre al 15% per rimborso forfettario spese generali, IVA e CPA come per legge se dovuti.

Motivazione riservata in giorni 60.”.

 

Motivazione della sentenza: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9957324

 

 

Registro dei provvedimenti
n. 416 del 15 dicembre 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE” (di seguito “Codice”);

VISTO il decreto legge 19 maggio 2020, n. 34 legge, convertito con modificazioni in legge 17 luglio 2020, n. 77, e, in particolare, l’art. 7 relativo alle metodologie predittive dell'evoluzione del fabbisogno di salute della popolazione;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

Relatore l’avv. Guido Scorza;

PREMESSO

1. Premessa

E’ stato segnalato a questa Autorità che la delibera della Giunta della Regione Friuli Venezia Giulia, n. 1737 del 20 novembre 2020, ha indicato ai Medici di Medicina Generale (di seguito anche solo MMG) di validare, al fine della corresponsione pro rata di parte del compenso variabile, “attraverso il portale informatico regionale, una lista di utenti/assistiti preventivamente individuati dall’Azienda sanitaria, secondo proprio criterio (non noto), come in condizioni di complessità e comorbidità al fine (apparente) di stratificazione statistica compilando schede informatiche in cui riportare dati bio-umorali personali, terapie, stato patologico, indirizzi familiari, condizioni/abitudini di vita, ecc.”. Unitamente alla segnalazione è stata fornita copia dell’allegato alla richiamata delibera recante il “verbale di intesa tra la Regione FVG e le organizzazioni sindacali dei MMG per la disciplina dei rapporti biennio 2020 -2021 e delle attività connesse all’emergenza epidemiologica da Covid-19”. Il primo degli obiettivi indicati nel predetto verbale riguarda la ”stratificazione, complessità e comorbidità ad alto rischio di complicanze maggiori per infezioni da Covid-19”, rispetto al quale nella sezione “note” del verbale sono fornite sintetiche indicazioni sulla predisposizione degli elenchi degli assistiti da sottoporre ai piani di medicina d’iniziativa e sulle modalità attraverso le quali gli stessi, tramite la società Insiel, sono scaricati “dal portale della continuità delle cure” e resi poi disponibili alle aziende sanitarie.

È stato inoltre segnalato che la predetta delibera imporrebbe ai MMG una comunicazione dei dati sulla salute dei propri pazienti senza possibilità per gli stessi di verificare “se l’Azienda sanitaria abbia [preventivamente] assunto il consenso” al trattamento dei dati personali degli stessi per finalità di “stratificazione statistica”, evidenziando, inoltre, come tale specifica disciplina preveda “la trasmissione ai fini statistici o amministrativi dei dati in modo anonimo”.

2. L’attività istruttoria

In relazione a quanto sopra richiamato, l’Ufficio ha avviato un’istruttoria preliminare (nota del XX, prot. n. XX) richiedendo alla Regione Friuli Venezia Giulia e all’Azienda Universitaria Friuli Centrale (di seguito rispettivamente anche solo Regione o Azienda o ASUFC) specifici elementi informativi in ordine in particolare a:

le iniziative assunte al fine di assicurare che i trattamenti necessari per svolgere le predette attività di medicina d’iniziativa fossero poste in essere in conformità alla disciplina in materia di protezione dei dati personali, con particolare riferimento a quanto indicato nei provvedimenti del Garante adottati sul tema (Parere al Consiglio di Stato sulle nuove modalità di ripartizione del fondo sanitario tra le regioni proposte dal Ministero della salute e basate sulla stratificazione della popolazione, del 5 marzo 2020, doc. web n. 9304455, parere sul disegno di legge della Provincia autonoma di Trento che reca specifiche disposizioni in materia di medicina di iniziativa, dell’8 maggio 2020, doc. web n. 9344635, parere sullo schema di regolamento relativo alle disposizioni attuative della legge provinciale trentino per la medicina di iniziativa nel servizio sanitario provinciale, del 1° ottobre 2020, doc. web 9469372, provvedimento del 17 dicembre 2020, doc. web n. 9529527; provvedimenti del 24 febbraio 2022 n. 63, 64, 65, 66, 67, 65, 68, 69 e 70, doc. web n. 9752177, 9752221, 9752260, 9752299, 9752410, 9752433, 9752490 e 9752524);

le finalità perseguite con il trattamento dei dati previsto dal verbale allegato alla citata delibera, e per ognuna di esse la relativa base giuridica del trattamento, nonché i relativi titolari e responsabili, ai sensi degli artt. 9, 24 e 28 del Regolamento;

qualora il trattamento sebbene volto al perseguimento di finalità di cura, non è strettamente necessario a tale scopo, le modalità di acquisizione preventiva del consenso informato e esplicito degli interessati, ai sensi dell’art. 9, par. 2, lett. a) del Regolamento;

la descrizione dei flussi di dati personali indicati nel verbale allegato alla delibera sopra richiamata, specificando se il trattamento avesse ad oggetto dati sulla salute ovvero anonimi e aggregati;

la valutazione d’impatto effettuata, ai sensi dell’art. 35 del Regolamento, considerato che trattasi di trattamenti su larga scala di categorie particolari di dati personali e quindi ad alto rischio.

Con nota del XX (prot. n. XX), l’Azienda ha fornito riscontro alla richiesta di informazioni dichiarando che:

l’attività di cui alla delibera della Giunta regionale n. 1737 del 20 novembre 2020 non può qualificarsi come medicina di iniziativa come definita dal Ministero della Salute;

tale attività si basa sull’art. 1, primo comma, del d.l. 34/2020, laddove è previsto che “le regioni e le province autonome adottano piani di potenziamento e riorganizzazione della rete assistenziale”, nonché sul quarto comma della stessa disposizione, secondo cui “le regioni e le province autonome, per garantire il massimo livello di assistenza compatibile con le esigenze di sanità pubblica e di sicurezza delle cure in favore dei soggetti contagiati identificati attraverso le attività di monitoraggio del rischio sanitario, nonché di tutte le persone fragili la cui condizione risulta aggravata dall'emergenza in corso, qualora non lo abbiano già fatto, incrementano e indirizzano le azioni terapeutiche e assistenziali a livello domiciliare (…)”;

“trattasi, quindi, di attività che trova fondamento in una norma di legge correlata all’attuale stato emergenziale”;

“la finalità perseguita con il trattamento dei dati previsto dall’accordo allegato alla delibera, come già anticipato, è la cura del paziente da parte del MMG, ex art. 9, par. 2, lett. h) del RGPD”;

“l’ASUFC viene coinvolta per una finalità ben più ristretta, ovvero per il pagamento al MMG dei compensi previsti in relazione alla misura di raggiungimento degli obiettivi. Il trattamento specifico da parte dell’Azienda, si fonda, quindi, sull’art. 9, par. 2, lett. i) e lett. g) e, in particolare sulla programmazione, gestione, controllo e valutazione dell’assistenza sanitaria, ivi incluse l’instaurazione, la gestione, la pianificazione ed il controllo dei rapporti tra l’amministrazione ed i soggetti accreditati o convenzionati con il SSN (art. 2-sexies, secondo comma, lett. V, Codice)”;

“l’Azienda Sanitaria Universitaria Friuli Centrale è titolare dei dati utilizzati, estratti dal proprio datawarehouse”;

“l’algoritmo utilizzato per l’estrazione dei dati viene fornito all’Insiel dall’Agenzia Regionale di Coordinamento per la Salute. Esso prevede che possano essere estratti solo i dati di coloro che hanno prestato il consenso alla consultazione del FSE da parte del MMG”;

l’elenco così estratto degli assistiti è stato inviato ai MMG per tutte le attività previste ai fini del pagamento del compenso;

“l’Azienda non ha ritenuto di dover effettuare una valutazione di impatto, per il trattamento di propria competenza, non ravvisandosi un rischio elevato per i diritti e le libertà delle persone fisiche, tenendo in considerazione la natura, l’oggetto, il contesto e le finalità del trattamento, visto peraltro il quadro emergenziale in cui il trattamento medesimo si inserisce”;

“In conclusione: il trattamento in questione si basa su una norma di legge, ha ad oggetto dati pseudonimizzati nella fase di estrazione, persegue lo scopo di cura e, per la parte di competenza operativa dell’Azienda, ha finalità di interesse pubblico rilevante; esso viene effettuato nel contesto emergenziale, al fine di tutelare tutti i pazienti in condizione di fragilità, la cui esposizione al virus potrebbe avere esiti letali”.

La Regione, con nota del XX prot. n. XX ha dichiarato che: “per quanto riguarda, in particolare, l’obiettivo n. 1 [della richiama intesa] relativo alla validazione [della] lista assistiti in condizioni di complessità e comorbidità (popolazione target) ai fini della messa a disposizione degli Elenchi sul Portale Continuità delle Cure, si invitano i Direttori Generali dell’Azienda di pertinenza del singolo MMG a fornire quanto prima ad INSIEL, come per gli anni precedenti, l’indicazione operativa di rendere visibili le funzioni relative per i soli assistiti che abbiano espresso lo specifico consenso alla comunicazione dei loro dati al proprio MMG”. È stato precisato inoltre che, per tale finalità, “ARCS ha fornito il supporto metodologico per la predisposizione dell’algoritmo di definizione degli elenchi dei soggetti fragili appartenenti alle categorie RUB 4 e 5. Lo strumento utilizzato da ARCS per la predisposizione dell’algoritmo non contiene informazioni nominative dei pazienti ma un identificativo numerico anonimo, soggetto a variazione ogni 6 mesi. All’interno delle Regole sintattiche utilizzate è stato inserito un filtro di estrazione dei soggetti appartenenti alle categorie RUB 4 e 5 che avevano già manifestato il consenso alla visibilità da parte del MMG. (...). Le liste, già epurate, vengono pubblicate da INSIEL, per conto delle Aziende Sanitarie, per ogni MMG che, potendo identificare i loro assistiti, procedono alla validazione delle stesse”.

Con riferimento alle richiamate operazioni di trattamento di dati personali, la Regione ha dichiarato che “l’identificazione degli assistiti e il loro inserimento nelle liste trova il fondamento giuridico nel consenso generico fornito dall’interessato e relativo alla visibilità da parte del MMG”.

In relazione alla necessità di redigere una valutazione di impatto, è stato rappresentato anche che “nessuna attività di medicina di iniziativa può, pertanto, ravvisarsi nell’attività sopra descritta e, conseguentemente, nessuna attività di valutazione di rischio specifico risulta necessaria in primis da parte della Regione, che in ogni caso non ha mai accesso a dati personali, ma nemmeno da parte delle Aziende sanitarie regionali”.

3. La normativa in materia di protezione dei personali e la specifica disciplina dei settori rilevanti

In base al Regolamento, per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4, punto 1, del Regolamento).

Per pseudonimizzazione si intende “il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile” (Cons. 26 e art. 4 (5) del Regolamento).

La normativa in materia di protezione dei dati personali non trova applicazione in riferimento “a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l'identificazione dell'interessato” (cfr. Cons. 26 del Regolamento e WP29 Opinion 05/2014 on Anonymisation techniques, adottato il 10 aprile 2014).

Il dato anonimizzato è tale solo se non consente in alcun modo l’identificazione diretta o indiretta di una persona, tenuto conto di tutti i mezzi (economici, informazioni, risorse tecnologiche, competenze, tempo) nella disponibilità di chi (titolare o altro soggetto) provi a utilizzare tali strumenti per identificare un interessato. L’anonimizzazione non può considerarsi realizzata attraverso la mera rimozione delle generalità dell’interessato o sostituzione delle stesse con un codice pseudonimo. Un processo di anonimizzazione non può definirsi effettivamente tale qualora non risulti idoneo ad impedire che chiunque utilizzi tali dati, in combinazione con i mezzi “ragionevolmente disponibili”, possa:

1. isolare una persona in un gruppo (single-out);

2. collegare un dato anonimizzato a dati riferibili a una persona presenti in un distinto insieme di dati (linkability);

3. dedurre nuove informazioni riferibili a una persona da un dato anonimizzato (inference) (cfr. Parere 05/2014 - WP 216 sulle tecniche di anonimizzazione, adottato il 10 aprile 2014).

Ciò premesso, il trattamento di dati personali deve avvenire nel rispetto dei principi stabiliti e delle ulteriori regole del Regolamento e delle rilavanti disposizioni del Codice.

In relazione al caso in esame si richiamano, in particolare, i principi di liceità, correttezza e trasparenza e di limitazione delle finalità secondo cui i dati personali devono essere trattati in modo lecito, corretto e trasparente e raccolti per finalità determinate, esplicite e legittime e successivamente trattati in modo che non sia incompatibile con tali finalità (art. 5, par. 1 lett. a) e b), del Regolamento; cfr. anche Article 29 Data Protection Working Party, Opinion 03/2013 on purpose limitation del 2 aprile 2013).).

Più nello specifico, il Regolamento prevede un generico divieto al trattamento delle particolari categorie di dati, tra cui rilevano quelli relativi alla salute degli interessati, a meno che non ricorra una delle particolari esenzioni da tale divieto di cui all’art. 9, par. 2 del Regolamento medesimo.

A tale riguardo si segnalano le ipotesi in cui:

- l’interessato abbia prestato il proprio consenso esplicito, salvo nei casi in cui il diritto dell'Unione o degli Stati membri disponga diversamente (art. 9, par. 2, lett. a) del Regolamento);

- il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l'essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato (art. 9, par. 2, lett. g) del Regolamento). In tale ipotesi rileva altresì l’art. 2-sexies del Codice in base al quale “i trattamenti delle categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, del Regolamento, necessari per motivi di interesse pubblico rilevante ai sensi del paragrafo 2, lettera g), del medesimo articolo, sono ammessi qualora siano previsti dal diritto dell'Unione europea ovvero, nell'ordinamento interno, da disposizioni di legge o di regolamento o da atti amministrativi generali che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché' le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato”;

- il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell'Unione o degli Stati membri o conformemente al contratto con un professionista della sanità (art. 9, par. 2, lett. h) e par. 3 del Regolamento e 75 del Codice; provv. del Garante recante Chiarimenti sull'applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario del 7 marzo 2019 doc. web 9091942).

Con riferimento al principio di trasparenza si segnalano altresì i correlati oneri informativi di cui agli artt. 13 e 14 del Regolamento, in base ai quali ogni trattamento deve essere preceduto da una idonea informativa anche al fine di consentire agli interessai di esercitare i diritti loro spettanti (art. 15-22 del Regolamento). Tale principio impone inoltre che le informazioni e le comunicazioni relative al trattamento dei dati personali siano rese in una forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro (cons. 39 e 58 e art. 12 del Regolamento).

Il Regolamento prevede, inoltre, che “quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi” (art. 35; Gruppo art. 29 Linee-guida n. 248 concernenti "La valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento" adottate in forma emendata il 4.10.2017).

Al riguardo, si evidenzia, sin da subito, che tale adempimento non è stato derogato dalla disciplina emergenziale adottata con riferimento al contesto pandemico, come può evincersi, ad esempio, dall’autorizzazione fornita dall’Autorità sulla valutazione di impatto effettuata dal Ministero della salute con riferimento ai trattamenti effettuati nell’ambito del sistema nazionale di contact tracing -App Immuni (cfr. provvedimenti del 1° giugno 2020, 25 febbraio 2021 e del 24 novembre 2022), nonché dai provvedimenti adottati in materia nel contesto emergenziale (cfr. provvedimenti del 13 maggio 2021, doc. web n. 9685332, del 13 gennaio 2022, doc. web n. 9744496).

Rilevato che l’iniziativa esaminata ha previsto l’estrazione di dati sulla salute degli assistiti dal Datawarehouse dell’Azienda per il tramite della Società Insiel SPA, Società ICT in house della Regione, nominata Responsabile del trattamento, attraverso l’utilizzo di un algoritmo fornito dalla Agenzia regionale per il coordinamento della salute, si evidenzia altresì quanto segue.

Tale attività determina la raccolta e l'elaborazione di dati sanitari al fine di realizzare, con riferimento a specifiche patologie (che, nel caso in esame, sono quelle che possono esporre gli assisti più fragili a contrarre infezioni più gravi da SARS Cov-2), un profilo sanitario di rischio dell'interessato, utile per mettere in atto interventi preventivi di presa in carico del paziente.

L’attività di stratificazione del rischio sanitario della popolazione si configura come un’attività amministrativa prodromica all’attività di cura, consistente nella presa in carico del paziente, in quanto consente di classificare gli assistiti ritenuti a maggior rischio, al fine di predisporre nei loro confronti una precoce e specifica attività di presa in carico.

3.1 Attività di stratificazione della popolazione assistita

Con specifico riferimento ai trattamenti effettuati dagli organi sanitari per fini di interesse pubblico, anche alla luce di quanto indicato dal Ministero della salute1 in materia e sostenuto dal Garante nei numerosi provvedimenti sul tema sopra richiamati), tali operazioni di trattamento rientrano nell’ambito della c.d. “medicina di iniziativa”, seppure rivolta, nel caso di specie, al solo contesto emergenziale.

Ciò in quanto, attraverso tali trattamenti, si effettua una stratificazione degli assistiti del Servizio sanitario ragionale in base alle informazioni relative allo stato di salute individuale, per la relativa collocazione in classi di rischio sanitario, al fine di individuare modelli assistenziali volti alla promozione attiva di interventi sanitari che mirano a una precoce presa in carico degli stessi (cfr. anche i citati parere sul disegno di legge della Provincia autonoma di Trento che reca specifiche disposizioni in materia di medicina di iniziativa, dell’8 maggio 2020, doc. web n. 9344635, parere sullo schema di regolamento relativo alle disposizioni attuative della legge provinciale trentino per la medicina di iniziativa nel servizio sanitario provinciale, del 1° ottobre 2020, doc. web n. 9469372, provv. nei confronti della dall’Azienda USL Toscana Sud Est del 17 dicembre 2020, doc. web n. 9529527, provvedimenti n. 63, 64, 65, 66, 67, 65, 68, 69 e 70 del 24 febbraio 2022 doc. web n. 9752177, 9752221, 9752260, 9752299, 9752410, 9752433, 9752490 e 9752524).

3.2. Attività di presa in carico del paziente

Con specifico riferimento alle finalità di cura e prevenzione, si rappresenta che il Garante ha già evidenziato che tali trattamenti devono essere considerati ulteriori e autonomi rispetto a quelli strettamente necessari alle ordinarie attività di cura e prevenzione (art. 9, par. 2 lett. h) del Regolamento), e quindi effettuabili solo sulla base dello specifico consenso informato dell’interessato (art. 9, par. 2 lett. a) del Regolamento) (cfr. ex multis, parere sul disegno di legge della Provincia autonoma di Trento che reca specifiche disposizioni in materia di medicina di iniziativa, dell’8 maggio 2020, doc. web n. 9344635).

3.3. I trattamenti effettuati attraverso il Fascicolo sanitario elettronico

Giova altresì evidenziare che attraverso il Fascicolo sanitario elettronico (FSE) possono essere perseguite le finalità previste dalla specifica disciplina di settore e in particolar di: a) diagnosi, cura e riabilitazione; a-bis) prevenzione; a-ter) profilassi internazionale; b) studio e ricerca scientifica in campo medico, biomedico ed epidemiologico; c) programmazione sanitaria, verifica delle qualità delle cure e valutazione dell'assistenza sanitaria (art. 12, 18 ottobre 2012, n. 179, convertito con modificazioni in legge 17 dicembre 2012, n. 221, e dpcm 29 settembre 2015, n. 178).

Tra le finalità perseguibili attraverso il FSE non figura pertanto quella relativa alla medicina predittiva o di iniziativa. Il legislatore, infatti, anche nei recenti interventi effettuati in materia non ha esteso tale finalità tra quelle perseguibili attraverso il FSE. I dati accessibili attraverso il FSE, privati degli elementi identificativi diretti, potranno invece essere trattati dal Ministero della salute, anche mediante l'interconnessione con altre fonti di dati, per le finalità e con le modalità che saranno stabilite con decreto del Ministro della salute, che dovrà essere adottato previo parere del Garante, nel rispetto di quanto previsto dal Regolamento, dal Codice, dal Codice dell'amministrazione digitale e dalle linee guida dell'Agenzia per l’Italia digitale in materia di interoperabilità (art. 2-sexies, comma 1-bis) (cfr. anche pareri resi il 22 agosto 2022, n. 294 e 295 doc. web nn. 9802752 e 9802729).

L’avvenuta prestazione del consenso dell’interessato al trattamento dei dati presenti nel FSE per finalità di cura non legittima pertanto i soggetti che accedono a tale strumento informativo a elaborare le informazioni ivi presenti per delineare specifici profili di rischio sanitario dell’interessato.

3.4. Attività statistica

Tenuto conto che in sede istruttoria si è fatto riferimento ad una attività di “stratificazione statistica”, si evidenzia, infine, che il trattamento di dati personali, svolto per tali finalità da parte di soggetti che partecipano al sistema statistico nazionale (SISTAN), deve in ogni caso avvenire nel rispetto, non solo delle pertinenti disposizioni del Regolamento (artt. 5, par. 1, lett. c) e e) e 89) e del Codice (artt. 2-sexies, comma 2, lett. cc) e 104 e ss.), ma anche delle Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica effettuati nell’ambito del Sistema Statistico nazionale, Allegato A4 al Codice, nonché della specifica disciplina di settore di cui al d.lgs. n. 322/1989, recante “Norme sul Sistema statistico nazionale e sulla riorganizzazione dell’Istituto nazionale di statistica”.

4. Il procedimento sanzionatorio

A seguito dei richiamati riscontri, l’Ufficio, con atto n. XX del XX, ha notificato all’Azienda Universitaria Friuli Centrale, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, paragrafo 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

In particolare, l’Ufficio ha rilevato la sussistenza di elementi idonei a configurare, da parte dell’Azienda Universitaria Friuli Centrale, la violazione della normativa in materia di protezione dei dati personali in relazione al trattamento di dati personali relativi alla salute, seppur trattati in forma pseudonimizzata, in assenza di un idoneo presupposto giuridico e, quindi, in violazione dei principi applicabili al trattamento di cui agli artt. 5, par. 1 lett. a), b), 9, del Regolamento, nonché degli artt. 2-sexies e 75 del Codice; in violazione del principio di trasparenza, non avendo fornito agli interessati le informazioni specifiche in ordine a tali trattamenti di dati personali come previste dagli artt. 13 e 14 del Regolamento; in violazione degli obblighi del titolare in ordine alla valutazione d'impatto sulla protezione dei dati personali ai sensi dell'art. 35 del Regolamento.

Con la nota del XX, prot. n. XX, l’ASUFC ha fatto pervenire i propri scritti difensivi avanzando un’istanza formale di audizione.

Nei richiamati scritti, l’Azienda ha ulteriormente dichiarato che la delibera sopra richiamata “riporta in allegato il verbale di intesa tra Regione e OO.SS. dei MMG (...), a cui sono annessi gli obiettivi ex punto 8 biennio 2021/21 (...). Come si vede, l’obiettivo n. 1 è riferito ad azioni, di competenza dei MMG, consistenti nella «Validazione lista assistiti in condizioni di complessità e comorbidità (popolazione target) pubblicata sul Portale di Continuità della Cura». L’obiettivo precisa quanto segue: «Elenchi definiti dall'ufficio epidemiologico di ARCS messi a disposizione nel Portale di Continuità della Cura da Insiel entro e non oltre il 10 dicembre 2020 quale condizione propedeutica alle successive attività di presa in carico»”.

L’Azienda ha inoltre modificato la propria posizione in relazione al ruolo assunto in ordine al trattamento dei dati in esame dichiarando che “ non può essere considerata titolare del trattamento con riferimento alle operazioni anteriori o successive della catena di trattamento, di cui essa non determina né le finalità né gli strumenti” e che “in tale ottica, non si vede in che modo l’ASUFC si potesse sottrarre all’adempimento di un accordo con le OO.SS. dei MM.MM.GG., deliberato dalla Giunta Regionale, senza esporsi a responsabilità in sede civile ed erariale”.

Ciò salvo dichiarare oltre, nelle medesime memorie, che “Dato il contesto della disposizione e considerati gli obiettivi del RGPD, l’art. 9, par. 2, lett. h) va ritenuto provvisto di efficacia diretta, nel senso che esso è idoneo ad attribuire ad un’azienda sanitaria pubblica, come l’ASUFC, il diritto di trattare i dati dei propri pazienti per le finalità ivi indicate, nel rispetto di quanto previsto ai par. 3 e 4 di tale disposizione”

In data XX si è svolta la richiesta audizione nell’ambito della quale, ad integrazione di quanto già sopra rappresentato, l’Azienda ha dichiarato in particolare che:

- “[...] Il caso esula dal paradigma della medicina d’iniziativa che il Garante ha delineato da ultimo nella Relazione al Parlamento. In questo caso non vi è alcuna stratificazione volta ad individuare nuove patologie dei pazienti. La situazione fattuale è la seguente. A fine del 2020 secondo le Linee Guida del Ministero della Salute e dell’Istituto Superiore di Sanità si è ritenuto necessario procedere alla vaccinazione dei soggetti fragili. La Regione ha dunque fatto un accordo con i MMG anche al fine di prevedere la remunerazione delle prestazioni erogate. Si è stabilito che i pazienti fragili sarebbero stati ricontattati per essere sollecitati alla vaccinazione antinfluenzale. Situazione analoga a quella che viene fatta a livello nazionale per es. per gli “Screening Regionali” per i quali è prevista una profilazione sulla quale l’Azienda fornirà dettagli tecnico-operativi.

- Nella nostra Regione tra l’altro vi sono alcuni Comuni molto piccoli in cui i MMG lavorano con metodi “antichi” quindi la Regione si è offerta, attraverso il “Portale di continuità delle cure”, di preparare l’elenco dei pazienti che hanno prestato il consenso alla visibilità dei dati contenuti nel FSE da parte del MMG. Il MMG ha poi ricontattato i pazienti fragili per invitarli a fare il vaccino. I dati dei soggetti vaccinati sono stati restituiti dai MMG alla Regione attraverso il medesimo Portale, strumento informatico della Regione.

- Chiedere il consenso ad una intera popolazione avrebbe impedito il diritto alla cura e alla salvezza della vita ai pazienti in cura. Le Aziende sanitarie sono enti strumentali della Regione per cui non potevano opporsi al trattamento previsto dalla Delibera regionale.

- Il Portale di continuità delle cure è uno strumento Regionale che trasferisce direttamente i dati ai MMG. Noi come Azienda paghiamo i MMG che hanno raggiunto l’obiettivo fissato dalla Regione. Il MMG già conosce il carattere di fragilità del proprio paziente. L’Azienda si limita a pagare il MMG per gli eventuali obiettivi raggiunti”.

Merita evidenziarsi in questa sede che l’Ufficio, nell’ambito dell’attività istruttoria avviata nei confronti dell’ASUFC, nel prendere atto che il trattamento in esame aveva coinvolto anche le altre aziende sanitarie regionali, ha avviato un’istruttoria preliminare nei confronti di queste ultime, dell’Azienda Regionale di Coordinamento per la Salute della Regione Autonoma Friuli Venezia Giulia e della Regione Friuli Venezia Giulia e della società Insiel spa (nota del XX, prot. n. XX).

In particolare, l’Ufficio ha chiesto alla Regione e a Insiel S.p.a. di indicare le specifiche banche dati dalle quali sono state estratte le informazioni utilizzate per effettuare la predetta attività di stratificazione degli assistiti e i relativi titolari e responsabili del trattamento; la tipologia di informazioni e documenti clinici che sono stati trattati per l’attività di stratificazione, evidenziando le tecniche eventualmente utilizzate per assicurare la non identificabilità, anche indirettamente, dei soggetti interessati; il presupposto giuridico dei richiamati trattamenti; il numero di assistiti coinvolti dalla suddetta attività di stratificazione.

In risposta alla predetta richiesta di informazioni la Regione Friuli Venezia Giulia, con nota del XX (prot. n. XX), ha dichiarato, in particolare, che:

- “la scrivente, quale ente sovraordinato, gestisce il governo dell’infrastruttura sanitaria nell’ambito dei suoi compiti di programmazione sanitaria, verifica delle qualità delle cure e valutazione dell’assistenza sanitaria. Le Aziende sanitarie, per l’ambito di competenza, sono titolari dei dati contenuti nelle banche dati dell’infrastruttura ai sensi dell’art.24 del GDPR. ARCS è l’Azienda Regionale di coordinamento alla salute e svolge attività di supporto e collegamento fra la Regione e le Aziende. Insiel S.p.A. è la società in house nominata dalle Aziende responsabile ai sensi dell’art. 28 del GDPR”;

- “per fronteggiare la diffusione dei contagi e soprattutto prevenire accessi impropri alle strutture ospedaliere, in ottemperanza al DL 23/2020 e DL 34/2020, provvedeva alla promozione della vaccinazione attivando i MMG sulla base dell’intesa di cui alla delibera n. 1737/2020”;

-“In questo percorso la Regione, firmataria dell’accordo AIR con i MMG, ha avuto il ruolo di organizzazione e governo demandando alle Aziende sanitarie e ai MMG, titolari per le rispettive aree di competenza dei dati sanitari dei propri assistiti, nonché al Responsabile incaricato, la realizzazione del programma previsto dall’AIR”;

- “La coorte di soggetti così identificata da ogni medico diventa quindi la base per la valutazione delle attività successive: (…) qualora non fosse già stata compilata, così come previsto dalla normativa vigente (Nel DPCM n. 178/2015 viene introdotto il concetto di profilo sanitario sintetico o “patient summary”, che è il documento sociosanitario informatico redatto e aggiornato dal medico di medicina generale o pediatra di libera scelta, che riassume la storia clinica dell’assistito e la sua situazione corrente conosciuta. La finalità di tale documento è quella di favorire la continuità di cura, permettendo un rapido inquadramento dell’assistito al momento di un contatto con il SSN)”;

- “gli elenchi messi a disposizione ai MMG, come indicato espressamente nell’accordo AIR, sono definiti utilizzando lo strumento denominato ACG attraverso la selezione degli assistiti a cui il sistema ha assegnato le classi RUB 4 e 5”. In particolare, è stato rappresentato che i “RUBs (Resource Utilization Bands) sono delle misure sintetiche del grado di complessità assistenziale di una popolazione intesa in termini di consumi attesi di risorse” e che essi “classificano in una scala da 0 a 5 il livello atteso di assorbimento di risorse sanitarie, (…) e non forniscono una quantificazione economica o una descrizione della tipologia di risorse attese”.- L’algoritmo del “sistema Johns Hopkins ACG System viene implementato (…) da Insiel che ne ottiene i risultati”, ossia la lista degli assistiti che è stata fornita a ciascun medico di medicina generale (MMG) e relativamente ai propri assistiti, che sarà validata o modificata, se del caso, sulla base delle informazioni a sua disposizione.

Insiel S.p.a., con nota del XX (prot. n. XX), in qualità di responsabile delle aziende sanitarie regionali, ha dichiarato, in particolare, che:

− “Le informazioni utilizzate per effettuare l’attività di elaborazione richiesta sono state estratte dal data warehouse regionale. Ogni Azienda Sanitaria (ASU GI, ASU FC, AS FO) è Titolare del trattamento dei dati personali dei propri assistiti contenuti nel suddetto data warehouse regionale”.

L’ARCS ha rappresentato che Insiel avrebbe provveduto ad alimentare il “sistema Johns Hopkins ACG System” con dei dataset di input, contenenti informazioni su diagnosi codificate, farmaci assunti, costi sostenuti dal SSR, età e genere (cfr. nota ARCS del XX, prot. XX).

Secondo quanto dichiarato in atti, i dati trattati sono stati pseudonimizzati attraverso l’apposizione di codici numerici casuali elaborati da ARCS per l’attribuzione “dei filtri sulle classi Rub 4 e 5 e sulla presenza del consenso alla visualizzazione del fascicolo sanitario” e resi disponibili alla società Insiel. Tale società, “Al fine di comunicare i dati ad ogni MMG in relazione ai propri assistiti, ha aggiunto codice fiscale, cognome e nome all’estrazione e ha reso disponibile l’elenco dei pazienti sull’applicativo regionale Portale di Continuità della Cura secondo il seguente tracciato: − codice fiscale MMG − codice regionale MMG − codice fiscale assistito − cognome assistito − nome assistito − classe di età − piano assistenziale integrato − vaccinati antipneumococco − ACG-RUB”.

Infine, in relazione al numero dei pazienti convolti dalle richiamate operazioni di trattamento, è stato rappresentato che l’elenco si compone di oltre 40.000 (di cui afferenti 17.729ad ASUFC).

Alla luce di tali riscontri, l’Ufficio ha chiesto ulteriori informazioni alla Regione, Insiel S.p.a. e alle aziende sanitarie regionali in merito alle specifiche banche dati attraverso le quali Insiel ha alimentato il sistema John Hopkins ACGsystem da cui sono state estratte le informazioni utilizzate per effettuare l’attività di stratificazione degli assistiti in esame, nonché di indicare se le suddette banche dati di titolarità delle singole aziende sanitarie corrispondono a quelle utilizzate dalle stesse per alimentare il FSE ovvero, in caso negativo, di indicare da quali banche dati (nota del XX, prot. n. XX).

La Regione Friuli Venezia Giulia, con nota del XX (prot. n. XX), ha precisato che “i MMG avrebbero potuto redigere in autonomia i suddetti elenchi laddove il completamento dei patient summary fosse stato concluso, cosa che ancora non è avvenuta. Pertanto, stante il particolare momento emergenziale, la scrivente ha fornito indicazione ai soggetti autorizzati ed abilitati affinché dessero ai MMG il necessario supporto tecnico per la definizione delle liste”.

La Regione ha inoltre fornito una nota di Insiel S.p.a., del XX (prot. n. XX), con la quale la Società ha indicato le banche dati utilizzate per le predette attività tra le quali figurano anche quelle del Fascicolo sanitario elettronico.

Pertanto, il completamento del quadro istruttorio è stato possibile solo all’esito dell’acquisizione degli elementi forniti da parte di tutti i titolari del trattamento coinvolti nella vicenda in esame.

5. Esito dell’attività istruttoria

Preso atto di quanto rappresentato dall’Azienda nella documentazione in atti e nelle memorie difensive, alla luce del quadro normativo sopra richiamato e di quanto emerso nell’ambito delle informazioni acquisite dalla Regione Friuli Venezia Giulia, da Insiel s.p.a. e da ARCS si confermano, nei limiti di cui alle seguenti motivazioni, le valutazioni preliminari dell’Ufficio.

5.1 Assenza di un idoneo presupposto giuridico per il trattamento

L’Azienda, nell’escludere che i trattamenti effettuati ineriscano ad attività di “medicina di iniziativa”, ha sostenuto che gli stessi abbiano trovato fondamento in una norma di legge correlata allo stato emergenziale e, in particolare, nell’art. 1, primo comma, del d.l. 34/2020, laddove è previsto che “le regioni e le province autonome adottano piani di potenziamento e riorganizzazione della rete assistenziale”, nonché sul quarto comma della stessa disposizione, secondo cui “le regioni e le province autonome, per garantire il massimo livello di assistenza compatibile con le esigenze di sanità pubblica e di sicurezza delle cure in favore dei soggetti contagiati identificati attraverso le attività di monitoraggio del rischio sanitario, nonché di tutte le persone fragili la cui condizione risulta aggravata dall'emergenza in corso, qualora non lo abbiano già fatto, incrementano e indirizzano le azioni terapeutiche e assistenziali a livello domiciliare (…)”.

A tale riguardo, si evidenzia che il presupposto di liceità di tali trattamenti non può rinvenirsi nel richiamato art. 1 del d.l. 34 del 2020, in considerazione del fatto che tale disposizione conferisce alle regioni il compito di definire piani di potenziamento e riorganizzazione della rete assistenziale per la cui realizzazione non è prevista l’attività di stratificazione della popolazione sanitaria attraverso l’uso di algoritmi o di altri sistemi di intelligenza artificiale.

Come già ribadito dall’Autorità anche nel parere al Consiglio di Stato, la profilazione dell’utente del servizio sanitario, sia questo regionale o nazionale, determinando un trattamento automatizzato di dati personali volto ad analizzare e prevedere l’evoluzione della situazione sanitaria del singolo assistito e l’eventuale correlazione con altri elementi di rischio clinico (nel caso di specie l’infezione da Sars Cov-2), può essere effettuata solo nel rispetto di requisiti specifici e garanzie adeguate per i diritti e le libertà degli interessati (cfr. art. 4, par. 1, n. 4 artt. 13, par. 1 lett. f); 14, par. 2, lett. g), 15, par. 1, lett. h) art. 21, par. 1 e 35, par 3, lett. a) del Regolamento), ovvero sulla base di una disposizione che abbia i requisiti previsti dalla disciplina in materia di protezione dei dati personali, di cui al richiamato articolo 2-sexies, comma 1, del Codice.

L’utilizzo di sistemi di medicina predittiva da parte del Ministero della salute è infatti stato previsto da una specifica disposizione normativa, ovvero dal richiamato art. 7 del c.d. decreto “Rilancio” (d.l. n. 34 del 2020), che prevede espressamente che il predetto Dicastero, nell’ambito dei propri compiti istituzionali e in particolare, delle funzioni relative a indirizzi generali e di coordinamento in materia di prevenzione, diagnosi, cura e riabilitazione delle malattie, nonché di programmazione tecnico sanitaria e indirizzo, coordinamento, monitoraggio dell'attività tecnico sanitaria regionale, possa trattare dati personali, anche relativi alla salute degli assistiti, raccolti nei sistemi informativi del Servizio sanitario nazionale, per lo sviluppo di metodologie predittive dell’evoluzione del fabbisogno di salute (art. 7, comma 1, d.l. n. 34/20). Tale articolo rinvia ad un regolamento, da adottarsi con decreto del Ministro della salute, previo parere del Garante, nel quale sono individuati i dati personali, anche inerenti alle categorie particolari di dati che possono essere trattati, le operazioni eseguibili, le modalità di acquisizione dei dati dai sistemi informativi dei soggetti che li detengono e le misure appropriate e specifiche per tutelare i diritti degli interessati, nonché i tempi di conservazione dei dati trattati (art. 7, comma 2).

Non è possibile, pertanto, rinvenire la base giuridica dei trattamenti svolti dall’Azienda nell’art. 1 del d.l. 34 del 2020, atteso che il legislatore, proprio in tale atto normativo, quando ha voluto attribuire ad un soggetto pubblico funzioni istituzionali legate allo sviluppo di metodologie predittive in ambito sanitario lo ha fatto espressamente, individuando un percorso normativo conforme a quanto previsto dalla disciplina in materia protezione dei dati personali (art. 7).

Le richiamate operazioni di trattamento non possono neanche rientrare nel novero di quelle “necessarie” alla cura del paziente, ai sensi dell’art. 9, par. 2 lett. h) del Regolamento e secondo quanto indicato nel richiamato provv. del Garante del 7 marzo 2019 doc. web 9091942).

Le richiamate operazioni infine non si sono basate neanche sul consenso esplicito degli interessati per espressa ammissione dell’Azienda stessa che ha dichiarato, infatti che “Chiedere il consenso ad una intera popolazione avrebbe impedito il diritto alla cura e alla salvezza della vita ai pazienti in cura”.

Inoltre, con specifico riferimento alla circostanza che sarebbero stati estratti dalla società Insiel solo i dati di coloro che hanno prestato il consenso alla consultazione del FSE, tenuto conto delle specifiche finalità perseguite attraverso il Fascicolo che non comprendono quelle di medicina di iniziativa, si rappresenta che il consenso manifestato per i trattamenti effettuati attraverso il FSE non può considerarsi un idoneo presupposto di liceità per i trattamenti in esame svolti dell’Azienda.

Tutto ciò premesso, risulta accertato che l’Azienda, in qualità di titolare, ha effettuato un trattamento di dati personali, anche relativi alla salute degli assistiti del servizio sanitario regionale in assenza di un idoneo presupposto giuridico e quindi in violazione dei principi applicabili al trattamento e delle disposizioni di cui agli artt. 5, par. 1, lett. a), 9, del Regolamento, nonché dell’art. 2-sexies del Codice.

A tale riguardo, tenuto conto che Insiel ha estratto dai data base dell’Azienda i dati sulla salute degli assistiti senza un’espressa autorizzazione del titolare, dando esecuzione alla citata delibera regionale, giova ribadire che la circostanza che un soggetto terzo, nel caso in esame rappresentato dalla Regione, chieda a un titolare (Azienda sanitaria) anche per il tramite del responsabile (Insiel) di effettuare operazioni di trattamento su dati personali rispetto ai quali quest’ultimo è titolare, indicandone anche le modalità, non esclude che spetti a quest’ultimo, anche in base al principio di responsabilizzazione (artt. 5, par. 2 e 24 del Regolamento), valutare la legittimità della richiesta e, in particolare, la sussistenza di una idonea base giuridica per effettuare le operazioni di trattamento richieste, tanto più che, nel caso di specie, le predette operazioni hanno riguardato dati sulla salute di un ingente numero di assistiti livello regionale attraverso l’uso di algoritmi (cfr. in particolare provv. del Garante n. 63, 64, 65, 66, 67, 68, 69 e 70 del 24 febbraio 2022, doc. web n. 9752177, 9752221, 9752260, 9752299, 9752410, 9752433, 9752490 e 9752524).

Si rappresenta inoltre che, come evidenziato nelle Linee guida 07/2020 sui concetti di titolare e di responsabile del trattamento dell’EDPB del 7 luglio 2021, è compito del titolare del dato, in questo caso dell’Azienda, decidere cosa il responsabile del trattamento debba fare in relazione ai dati personali, il quale ha il dovere di rispettare le istruzioni del titolare del trattamento, ma ha anche l’obbligo generale di rispettare la normativa di settore (punti 139, 147). Spetta inoltre al titolare adottare la decisione finale con cui si approvano le modalità di esecuzione del trattamento nonché chiedere eventuali modifiche (punto 30 delle predette Linee guida).

Nonostante l’Azienda non abbia autorizzato il trattamento legato alla stratificazione della popolazione assistita attraverso l’elaborazione dei dati presenti nelle banche dati di cui è titolare, allo stato degli atti non risulta che sia intervenuta nei confronti di Insiel per impedire tale trattamento o per chiederne la cessazione qualora lo avesse ritenuto illegittimo.

5.2. Informativa agli interessati

Nelle proprie memorie difensive il titolare del trattamento non ha fornito chiarimenti in ordine alla contestazione relativa alla violazione dell’obbligo di rendere agli interessati un’ideona informativa sul trattamento dei dati personali ai sensi degli articoli 13 e 14 del Regolamento.

Ciò stante, atteso che per i trattamenti svolti non può ritenersi applicabile alcuna delle esenzioni dallo svolgimento di tale obbligo informativo, di cui all’art. 14, par. 5 del Regolamento e che i dati sono stati ottenuti dall’Azienda accendendo ai propri Datawarehouse risulta accertata la violazione del principio di trasparenza di cui all’art. 5, par. 1, lett. a) e all’art. 14 del Regolamento.

5.3 Valutazione di impatto 

I trattamenti effettuati dall’Azienda hanno riguardato dati relativi alla salute di un numero elevato di soggetti vulnerabili, non può pertanto condividersi la posizione del titolare del trattamento in base alla quale una preventiva valutazione di impatto, ai sensi dell’art. 35 del Regolamento, non sarebbe stata necessaria, ciò avuto riguardo a quanto previsto dalla disposizione richiamata che stabilisce la circostanza in cui vige l’obbligo di svolgere tale adempimento, ai criteri individuati dal Gruppo art. 29 nelle Linee guida concernenti “Linee guida in materia di valutazione d'impatto sulla protezione dei dati e determinazione della possibilità che il trattamento "possa presentare un rischio elevato" ai fini del regolamento (UE) 2016/679, adottate il 4 aprile 2017 come modificate e adottate da ultimo il 4 ottobre 2017, nonché ai numerosi precedenti pronunciamenti del Garante.

Diversamente da quanto ritenuto dall’Azienda, la fattispecie in esame rientra tra quelle per le quali il titolare è tenuto ad effettuare, “prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali” (art. 35 del Regolamento). Ciò, in quanto, per il trattamento in esame, ricorrono certamente due dei criteri indicati dal Comitato Europeo per la protezione dei dati per individuare i casi in cui un trattamento debba formare oggetto di una valutazione di impatto. In particolare, si fa riferimento ai seguenti criteri: trattamento di “dati sensibili o aventi carattere altamente personale” e di “dati relativi ad interessati vulnerabili” tra i quali si annoverano i malati (cfr. Linee guida in materia di valutazione d'impatto sulla protezione dei dati e determinazione della possibilità che il trattamento "possa presentare un rischio elevato" ai fini del regolamento (UE) 2016/679 adottate il 4 aprile 2017, come modificate e adottate da ultimo il 4 ottobre 2017, e fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018 -WP 248 rev.01, III, lett. B, punti 4 e 7). Si ritiene, poi, che, con riferimento al caso di specie, possano essere soddisfatti anche i criteri relativi al “trattamento di dati su larga scala” considerato che, secondo quanto dichiarato dall’Azienda il trattamento ha riguardato oltre 17.000 interessati e l’uso innovativo o l’applicazione di nuove soluzioni tecnologiche od organizzative (cfr. richiamate Linee guida, III, lett. B, punti 5 e 8).

Le disposizioni d’urgenza adottate nel corso degli ultimi mesi prevedono degli interventi emergenziali che implicano il trattamento dei dati e che sono frutto di un delicato bilanciamento tra le esigenze di sanità pubblica e quelle relative alla protezione dei dati personali, in conformità a quanto dettato dal Regolamento per il perseguimento di motivi di interesse pubblico nei settori della sanità pubblica (cfr. art. 9, par. 1, lett. i)). Resta ovviamente fermo che il trattamento dei dati personali connesso alla gestione della predetta emergenza sanitaria deve svolgersi nel rispetto della disciplina vigente in materia di protezione dei dati personali e, in particolare, dei principi applicabili al trattamento, di cui agli artt. 5 e 25, par. 2, del Regolamento, in parte sopra richiamati.

Ciò stante, si evidenzia che la predetta normativa di urgenza non ha derogato le disposizioni in materia di protezione dei dati personali relative alla valutazione di impatto sulla protezione dei dati (art. 35 del Regolamento), come dimostrano i numerosi interventi dell’Autorità in materia. Il Garante è infatti intervenuto con riferimento alla valutazione d’impatto con riferimento ai trattamenti effettuati in ambito emergenziale relativamente al sistema nazionale di contact tracing -App Immuni (cfr. provvedimenti del 1° giugno 2020, 25 febbraio 2021 e del 24 novembre 2022), alle certificazioni verdi Covid-19 (c.d. green pass, cfr. parere del 9 giugno 2021, doc. web n. 96680064, parere del 31 agosto 2021, doc. web n. 9694010, parere dell’11 ottobre 2021, doc. web n. 9707431, del 27 gennaio 2022, doc. web n. 9742129 e del 18 febbraio 2022, doc. web n. 9746905) e a specifici trattamenti effettuati da Aziende sanitarie in relazione all’emergenza da Covid-19 (cfr. provvedimenti del 13 maggio 2021, doc. web n. 9685332, del 13 gennaio 2022, doc. web n. 9744496).

Risulta pertanto accertata la violazione dell’obbligo di cui all’art. 35 del Regolamento.

6. Conclusioni

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dall’Azienda nel corso dell’istruttoria e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”, gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare tutti i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni, si confermano le valutazioni preliminari dell'Ufficio e si rileva l'illiceità dei trattamenti di dati personali effettuati dall’Azienda Universitaria Friuli Centrale in violazione dei principi del trattamento di cui agli artt. 5, par. 1 lett. a), 9, del Regolamento, nonché dell’art. 2-sexies del Codice; in violazione del principio di trasparenza, non avendo fornito agli interessati le informazioni specifiche in ordine a tali trattamenti di dati personali previste dall’art. 14 del Regolamento; in violazione degli obblighi del titolare in ordine alla valutazione d'impatto sulla protezione dei dati personali ai sensi dell'art. 35 del Regolamento.

La violazione delle predette disposizioni rende, altresì, applicabile la sanzione amministrativa prevista dall’art. 83, par. 4 e 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo.

In tale quadro, considerata l’assenza di un idoneo presupposto giuridico per il trattamento dei dati in esame e che l’ASUFC non ha fornito indicazioni in merito alla cancellazione degli stessi, si ritiene di dover ingiungere alla predetta Azienda, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, la cancellazione dei dati risultanti dalla predetta elaborazione delle informazioni presenti nelle banche dati aziendali oggetto del presente provvedimento da completarsi entro 90 giorni dall’adozione del presente provvedimento.

7. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice)

La violazione degli artt. 5 par. 1, lett. a), 9, 14 e 35 del Regolamento nonché dell’art. degli artt. 2-sexies del Codice, causata dalla condotta dell’Azienda Universitaria Friuli Centrale è soggetta all’applicazione della sanzione amministrativa pecuniaria, ai sensi dell’art. 83, par. 4, lett. a) e 5, lett. a) e b) del Regolamento.

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2 del Regolamento. In relazione alla violazione di dati personali notificata dal titolare del trattamento, ai sensi dell’art. 33 del Regolamento, si osserva che:

- la condotta ha riguardato dati relativi alla salute di oltre 40.000 assistiti del servizio sanitario regionale di cui oltre 17.000 dell’ASUFC;

- il trattamento ha avuto luogo nel contesto emergenziale causato dalla pandemia da covid-19;

- non sono pervenute al Garante segnalazioni o reclami da parte di specifici interessati in relazione alla questione esaminata;

- l’Azienda ha collaborato pienamente con l’Autorità nel corso dell’istruttoria e del presente procedimento;

- pur essendo stata destinataria di altro provvedimento sanzionatorio, lo stesso riguarda altre fattispecie di trattamento (dossier sanitario) con riferimento alle quali il titolare opera mediante il medesimo responsabile del trattamento (provvedimento del pur essendo stata destinataria di altro provvedimento sanzionatorio, lo stesso riguarda altre fattispecie di trattamento (dossier sanitario) con riferimento alle quali il titolare opera mediante il medesimo responsabile del trattamento (provvedimento del 26.5.2022, doc. web 9790365);

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 4 lett. a) e 5, lett. a) e b) del Regolamento , nella misura di € 55.000 (cinquantacinquemila) per la violazione degli artt. 5, par. 1 lett. a), 9, 14 e 35 del Regolamento, e dell’art. 2 sexies del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1 e 3, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIO’ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dall’Azienda Universitaria Friuli Centrale, per la violazione degli dell’art. 5, par. 1, lett. a), 9, 14 e 35 del Regolamento e dell’art. 2-sexies del Codice nei termini di cui in motivazione.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, all’Azienda Universitaria Friuli Centrale con sede legale in Via Pozzuolo n° 330, 33100 Udine, C.F. e P.IVA 02985660303, di pagare la somma di € 55.000 (cinquantacinquemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

alla predetta Azienda:

- in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di € 55.000 (cinquantacinquemila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981;

- ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, all’Azienda Universitaria Giuliano Isontina entro il termine di giorni 90 dalla notifica del presente provvedimento, di procedere alla cancellazione dei dati risultanti dall’elaborazione delle informazioni presenti nelle banche dati aziendali oggetto del presente provvedimento.

- ai sensi dell’art. 58, par. 1 lett. a) del Regolamento e 157 del Codice, di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto sopra ingiunto con il presente provvedimento e di fornire comunque riscontro adeguatamente documentato, entro il termine di giorni 20 dalla scadenza del termine sopra indicato; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 15 dicembre 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei

 

 

(1) Per “medicina di iniziativa” si intende un modello assistenziale orientato alla “promozione attiva” della salute dell’individuo, specie se affetto da malattie croniche o disabilità, e alla responsabilizzazione delle persone nel proprio percorso di cura (fonte Ministero della salute http://www.salute.gov.it/portale/temi/p2_6. jsp?id=496 &area=Cure%20primarie&menu=cure, cfr., tra i molti richiami, Ministero della salute, Assemblea generale del Consiglio Superiore di Sanità, “Telemedicina- linee guida nazionali”, 10 luglio 2012, cfr. par. 2.3.2, Decreto 02 aprile 2015 , n. 70 -Regolamento recante definizione degli standard qualitativi, strutturali, tecnologici e quantitativi relativi all'assistenza ospedaliera, Accordo tra il Governo, le Regioni e le Province autonome di Trento e Bolzano sulle linee progettuali per l’utilizzo da parte delle Regioni delle risorse vincolate ai sensi dell’articolo 1, commi 34 e 34 bis, della legge 23 dicembre 1996, n. 662 per la realizzazione degli obiettivi di carattere prioritario e di rilievo nazionale per l’anno 2014.