[doc. web n. 9935484]

Provvedimento del 18 luglio 2023

Registro dei provvedimenti
n. 316 del 18 luglio 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante il “Codice in materia di protezione dei dati personali”, contenente disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito il “Codice”);

VISTO il d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Le violazioni dei dati personali 

L’Azienda Socio Sanitaria Territoriale (A.S.S.T.) Ovest Milanese (di seguito “Azienda”) ha notificato all’Autorità tre violazioni di dati personali, ai sensi dell’art. 33 del Regolamento, in data XX e XX e in data XX, aventi ad oggetto, rispettivamente:

a) la trasmissione di una comunicazione, diretta a due persone, contenente una convocazione a visita da parte della Commissione aziendale per la valutazione dell’invalidità civile, a persona diversa dagli interessati.

In relazione a tale evento, l’Azienda ha comunicato che:

- in data XX, un utente “scrive alla Medicina Legale della ASST Ovest Milanese, dichiarando di aver ricevuto la convocazione per la commissione di invalidità per suo padre ed erroneamente per altre due persone”;

- “la UOC (di Medicina legale), nella stessa giornata, ha immediatamente contattato i due soggetti la cui convocazione non è loro pervenuta, invitandoli telefonicamente per la stessa ora e lo stesso giorno”;

- “la procedura, oggetto del vademecum adottato all'interno della UOC Medicina Legale per l'invio delle convocazioni è la seguente. "CONVOCAZIONE SEDUTE a) Prima convocazione: si apre la maschera del gestionale dove si richiama data della seduta e codice della Commissione. b) Nella parte inferiore della maschera cliccare foglio bianco, cannocchiale quindi inserire il numero di protocollo dell'istanza nell'apposito spazio, premere invio e selezionare il record comparse con doppio click, quindi “salvare”; procedere nello stesso modo per tutte le convocazioni della seduta. Terminati gli utenti da convocare, salvare in alto l'intera seduta e procedere alla stampa delle lettere di convocazione cliccando sull'icona di stampa a fianco (si simula la stampa anche per le procedure di urgenza, convocati telefonicamente, altrimenti non vi è modo di lavorare la pratica); spedire invito con posta ordinaria”. Questa procedura (è) già in uso nella UOC, ed entrerà a far parte della documentazione, approvata dalla UOC Qualità ai fini della certificazione”;

- “è in uso il vademecum, adottato all'interno della UOC, e (è) in corso di approvazione un documento di revisione delle procedure riguardanti le attività delle Commissioni di invalidità, oggetto degli obiettivi di comparto del 2021. Il responsabile interno del trattamento, a seguito del reclamo, ha convocato tutti gli operatori della struttura per un audit fissato per il giorno XX, anche avvalendosi della metodologia della "root cause analysis", per scongiurare l'ipotesi di ripetere l’errore (sino ad oggi mai avvenuto a fronte di una media di diecimila convocazioni annue in ASST per le invalidità) e allertare ad una maggiore soglia di attenzione” (nota XX);

b) l’inserimento nel campo denominato “copia conoscenza” dell’indirizzo di 198 destinatari di una mail proveniente dal Centro Sclerosi Multipla dell’Azienda e avente ad oggetto le “Raccomandazioni aggiornate su COVID in pazienti affetti da Sclerosi Multipla”, evidenziando, in particolare, che:

- “è stata inviata una mail dalla posta aziendale del Centro Sclerosi Multipla inerente le "raccomandazioni aggiornate su COVID in pazienti affetti da Sclerosi Multipla" con destinatari il riferimento di 198 pazienti afferenti al Centro Sclerosi Multipla della ASST Ovest Milanese. La mail, per prassi consolidata, viene sempre inviata usando il sistema CCN (copia conoscenza nascosta) della posta elettronica, per consentire di inviare l'informativa a tutti i destinatari bloccando a ciascuno di essi la visione degli altri. In questo caso, per errore umano, non è stato usato il sistema CCN, pertanto, per ogni destinatario sono risultati palesi gli indirizzi mail di tutti gli altri, di cui alcuni contengono nome e cognome. Pur non avendo diffuso dati relativi allo stato di salute di ogni singolo paziente, quindi senza alcuna indicazione di gravità o di stato della malattia, la comunicazione, anche in considerazione dell'allegato, si rivolgeva ai soggetti afferenti al Centro di Sclerosi Multipla”;

- la violazione ha riguardato: “Indirizzi mail forniti dai pazienti ai medici che li hanno in cura, in cui, in alcuni, è riconoscibile nome e cognome; Dati relativi alla salute con riferimento al fatto che i destinatari dell'informativa, contenuta nella mail, sono coloro che afferiscono al Centro di Sclerosi Multipla, senza che, nell'informativa stessa, ci siano specifici riferimenti alle condizioni di salute dei singoli pazienti” (nota del XX);

c) la consegna ad un paziente di documentazione sanitaria contenente anche l’esito di un esame effettuato da un soggetto terzo.

In particolare, è stato rappresentato che:

- “la sig.ra segnalante ha ritirato presso il centro prelievi di Parabiago gli esiti degli esami eseguiti la settimana precedente. Tra i fogli intestati alla signora è stato erroneamente inserito quello relativo all’esito dell’esame di un’altra persona (soggetto controinteressato) con valori fuori “range”. Dalle valutazioni effettuate l’errore potrebbe essere dovuto ad una stampa ridondante, probabilmente rimasta in memoria, di un solo foglio prodotto in più, in una fase precedente. Né la signora segnalante né il Medico di Medicina Generale, né lo specialista esterno all’Azienda che ha preso in cura la signora, si sono accorti dell’errore che ha causato la falsa diagnosi di pre-diabete innescando, su indicazione del medico curante, un percorso di visite specialistiche, misurazioni della glicemia due volte al giorno nonché assunzione di integratori e dieta con conseguenti stati d’ansia”;

- “la violazione è avvenuta per errore umano da parte dell’operatore di sportello, al momento della consegna del referto, con l’inserzione di un esito di esame (una pagina) intestato a persona diversa da quella che ha effettuato la segnalazione”;

- “i referti vengono consegnati agli sportelli dell’Accoglienza a seguito di esibizione da parte dell’utente della richiesta di ritiro unitamente alla carta d’identità. Gli esiti degli esami di laboratorio vengono stampati solo al momento della richiesta, alla presenza del richiedente e previo accertamento della sua identità. Questa modalità permette di evitare il rischio di giacenze di documenti cartacei sulle scrivanie o di accumulo di stampe. Inoltre, si segnala che i documenti stampati sono numerati pagina per pagina nella seguente modalità: “1/3”; “2/3”; “3/3” ecc… e che gli stessi contengono l’indicazione del nome, del cognome, della data di nascita e del codice fiscale del soggetto che ha effettuato l’esame, la data di accettazione e di stampa nonché l’identificativo richiesto e il codice del medico richiedente. Sono inoltre in essere istruzioni operative finalizzate a garantire la correttezza delle procedure (…) (relative alle misure tecniche e organizzative adottate (o di cui si propone l’adozione) per prevenire simili violazioni future). “Durante l’anno 2022 sono stati tenuti corsi di formazione volti a prevenire i rischi di violazione dei dati di titolarità di ASST Ovest Milanese”;

- “i dati del soggetto controinteressato di cui è stata violata la riservatezza sono i seguenti: dati personali (nome, cognome, codice fiscale, data di nascita) e i dati relativi alla salute riguardanti i valori del glucosio e dell’emoglobina glicata”;

- “la signora segnalante ha subito le conseguenze di una serie di accertamenti ed ha eseguito delle attività di cura protrattesi per l’intero periodo delle vacanze che hanno determinato anche situazioni d’ansia. E’ pur vero che tale situazione è stata determinata anche dalla svista di altri professionisti che non si sono accorti dell’errore di identità nel referto ed hanno proseguito nelle loro attività di cura. I referti, infatti, erano composti e redatti in modo corretto sia nella numerazione sia nell’intestazione e nulla poteva indurre gli stessi nell’equivoco di confondere gli esiti se non per una erronea visione della documentazione. Per il soggetto controinteressato la violazione si è concretizzata nel fatto che i suoi dati personali siano stati visionati dalla signora segnalante, ma, ad oggi, non si rilevano conseguenze negative nei confronti del soggetto controinteressato, anzi la stessa segnalante ha avuto l’accortezza di rendere anonimi i dati personali del controinteressato nell’allegato referto inviato alla ASST. In ogni caso lo stesso controinteressato ha correttamente ricevuto il proprio referto. Infatti è stato contattato telefonicamente dal Responsabile della S.C. Laboratorio Analisi, che ha accertato che lo stesso avesse ritirato il proprio referto così come avvenuto nei fatti”;

- le misure adottate per prevenire simili violazioni future sono “ulteriori attività di formazione e sensibilizzazione nei confronti degli operatori che consegnano i referti agli utenti e riesame dei rischi specifici nell’ambito della consegna dei referti. Verrà ribadita agli operatori la richiesta di massima attenzione nel rispettare la disposizione operativa n. XX del XX (…), soprattutto per quanto concerne l’identificazione di chi presenta il modulo di ritiro del referto (interessato o delegato). Quale ulteriore misura correttiva per gli esami di laboratorio con stampa on demand, sarà richiesto di effettuare sempre - prima della procedura di imbustamento del documento sanitario – una verifica dell’esatta corrispondenza del nominativo indicato sul modulo di ritiro e referto”.

2. L’attività istruttoria

L’Ufficio, in ordine alle fattispecie sopra descritte, sulla base di quanto rappresentato dal titolare del trattamento nei rispettivi atti di notifica di violazione, nonché delle successive valutazioni, ha notificato all’Azienda, ai sensi dell’art. 166, comma 5, del Codice, l’avvio di tre procedimenti per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

In particolare, rispettivamente, con gli atti n. XX del XX, n. XX del XX e n. XX del XX l’Autorità ha ritenuto che l’Azienda ha effettuato tre comunicazioni di dati sulla salute relative: a 2 persone, nel primo caso, in violazione dei principi di base del trattamento di cui agli artt. 5, 6 e 9 del Regolamento e dell’art. 2-ter del Codice; a 197 pazienti, nel secondo caso, in violazione dei principi di base del trattamento di cui agli artt. 5, 6 e 9 del Regolamento e dell’art. 2-ter del Codice; a una persona, nel terzo caso, in violazione dei principi di base del trattamento di cui agli artt. 5 e 9 del Regolamento e degli obblighi di sicurezza di cui all’art. 32 del Regolamento.

Tenuto conto che le violazioni oggetto di notifica ai sensi dell’art. 33 del Regolamento hanno riguardato il medesimo titolare del trattamento in relazione a fattispecie analoghe, l’Ufficio ha disposto la riunione dei 3 procedimenti istruttori, ai sensi dell’art. 10, comma 4 del regolamento del Garante n. 1/2019, e ha comunicato tale circostanza al titolare del trattamento con le citate note del XX e del XX.

Successivamente ai predetti atti di notifica di violazioni, il titolare del trattamento ha fatto pervenire le proprie memorie difensive, ai sensi dell’art. 166, comma 6, del Codice. In particolare:

a) con riferimento alla prima vicenda sopra descritta (cfr. punto 1, lett. a)), con nota del XX, l’Azienda ha dichiarato che:

- “la natura della violazione consiste nella perdita di riservatezza in quanto il cittadino che ha ricevuto la convocazione alla visita presso la Commissione invalidi di Magenta per il proprio padre, segnala di aver ricevuto erroneamente la lettera di convocazione, per la stessa giornata, di altre due persone. Al momento della segnalazione, la gravità della violazione è stata valutata come bassa poiché, a fronte della segnalazione del reclamante, la UOC Medicina Legale ha tempestivamente contattato i controinteressati affinché potessero avere comunque nota della convocazione. In tal modo la UOC ha di fatto scongiurato la mancata partecipazione alla stessa seduta. Ad oggi non risultano esserci ulteriori conseguenze a carico degli interessati, i quali non hanno lamentato alcun disagio e non hanno espresso rimostranze durante l’interlocuzione telefonica. La durata della violazione è circoscritta all’invio della singola lettera di convocazione con posta ordinaria contenente altre due lettere di convocazione”;

- “pur in presenza di procedure collaudate per la preparazione delle convocazioni, c’è stato l’errore di un operatore, in ogni caso, non con intento doloso, tenuto conto anche del fatto che il numero degli inviti spediti annualmente a livello di Dipartimento di Medicina Legale interaziendale ASST Ovest Milanese/Rhodense è pari a circa 20.000”;

- “la UOC Medicina Legale, appena ricevuta la segnalazione, ha immediatamente contattato telefonicamente i due soggetti la cui convocazione non è loro pervenuta, mantenendo inalterata l’ora e il giorno della visita, a cui hanno potuto presentarsi regolarmente”;

- “al momento dell’incidente, il 14 novembre scorso, era in uso ‘Vademecum attività invalidità civile’ adottato a livello di dipartimento interaziendale, la cui revisione nell’ambito del continuo miglioramento ed implementazione delle procedure, rappresentava uno degli obiettivi del comparto per il 2021. In occasione di audit volto ad approfondire le criticità, si è condiviso di integrare il vademecum, di cui sopra, in presenza di tutto il personale della sede di Magenta ove accaduto l’incidente. (…) Si è data comunque evidenza dell’evento critico in occasione della riunione di UOC del personale medico tenutasi il XX e del personale amministrativo, tenutasi a livello dipartimentale, in data XX”;

- i dati interessati dalla violazione sono: “dati anagrafici, dati di contatto e dati relativi alla salute in funzione del fatto che trattasi di dati personali correlati all'attività della Commissione di invalidità. Tutte le convocazioni non contengono specifici riferimenti alle condizioni di salute del soggetto convocato, ma indirettamente lasciano intendere una possibile condizione di fragilità, comunque ricollegabile all’età anagrafica dei soggetti interessati”.

[...]

b) in relazione alla seconda vicenda sopra rappresentata (cfr. punto 1, lett. b)), con nota del XX, l’Azienda ha evidenziato che:

- “la natura della violazione consiste nella perdita della riservatezza in quanto ciascuno dei 198 pazienti, destinatari della mail del Centro di sclerosi multipla, era erroneamente venuto a conoscenza degli indirizzi mail di tutti gli altri. Si trattava di una mail di natura informativa sulla somministrazione della terza dose di vaccino, che esigeva tempestività e quindi c’era la necessità di avere certezza che l’informazione fosse pervenuta al paziente. Al momento della segnalazione, la gravità della violazione è stata valutata come media, ritenendo che gli individui, a seguito dell’accaduto, potessero andare incontro a disagi di carattere psicologico e relazionale. Ad oggi non sono pervenute segnalazioni in questo senso da parte di nessuno dei destinatati della mail. La durata della violazione è circoscritta all’invio massivo della mail del XX a più destinatari, a cui ha fatto seguito, in data XX, la mail della Direzione strategica con le raccomandazioni atte a contenere l’impatto della mail originaria e le ulteriori telefonate effettuate dai singoli medici a tutti i pazienti coinvolti per porre loro le scuse e spiegare l’accaduto, Questi interventi hanno aiutato a rassicurare i destinatari della mail”:

- “si è trattato di un mero errore materiale di un operatore, di digitazione informatica senza evidenza di negligenza, imperizia o colpa grave da parte di chi lo ha commesso, né tantomeno di dolosità”;

- “e’ stata inviata una mail, il XX, dalla Direzione Strategica a tutti gli interessati con le scuse dell'ASST Ovest Milanese, chiedendo loro: 1) di frenare la divulgazione dei dati, evitando di utilizzare la modalità "rispondi a tutti" per replicare alla predetta mail; 2) di cancellare la mail ricevuta con la certezza che ne sarebbe stata recapitata un'altra a breve senza l'elenco dei destinatari in vista; 3) di non archiviare, utilizzare o divulgare per alcun motivo i dati acquisiti tramite la mail”;

- “i medici che hanno in cura i pazienti interessati, li hanno contattati tutti telefonicamente, per spiegare loro l’accaduto. Inoltre il Direttore della Unità Operativa Complessa Neurologia, nell’ambito dell’audit tenuto in data XX con l’intera UOC neurologia, tra le azioni di miglioramento ha stabilito che non sarà più utilizzata la mail per l'invio a gruppi di pazienti di informazioni di qualsiasi tipologia ma si ricorrerà esclusivamente all'invio di mail singole per risposte specifiche a singoli pazienti, rinviando alla messa a punto di altri strumenti per comunicazioni di gruppo”;

- “nell’immediato è stato convocato il gruppo di lavoro privacy aziendale, per il giorno XX a seguito del quale sono state decise due iniziative: 1) è stata data indicazione per la messa a punto di un servizio centralizzato di invii massivi di mail e per la previsione di aree dedicate nel sito aziendale in cui fare le pubblicazioni di avvisi e informazioni dedicate a gruppi di pazienti. A seguito di tale decisione in data XX e in data XX è stata confermata alla Direzione la fattibilità di attivare un servizio di invio massivo dei messaggi fruibile da tutta l’Azienda, con la predisposizione di apposita procedura a garanzia della tutela della privacy degli interessati. Tale servizio è attivabile quando eccezionalmente è necessario assicurarsi che l'informazione raggiunga i pazienti, non essendo sufficiente la sola pubblicazione delle informazioni sul sito internet. 2) è stato organizzato un apposito corso di formazione sui rischi privacy, destinato a tutti i componenti del gruppo di lavoro privacy tenutosi il giorno XX, attività formativa rivolta a tutti i Responsabili del trattamento interni all'Azienda che si è proposto di inserire nel Piano di formazione aziendale per il 2022”;

- “il Direttore generale, durante il Collegio di Direzione del XX, a cui partecipano i massimi vertici aziendali, ha richiamato ad una maggiore attenzione alle attività che espongono a comportamenti in violazione della privacy, invitando a dare precise istruzioni al personale e a sollecitare chiarimenti in caso di dubbio, comunicando il proposito di trovare una soluzione rispetto alla necessità di inviare comunicazioni massive”;

- “la regola condivisa e consolidata, fornita dal Responsabile della UOC Neurologia ai suoi collaboratori, è quella di invio delle mail del Centro Sclerosi Multipla, ai destinatari, con modalità CCN per evitare la condivisione dei dati di contatto utilizzati. Tra le altre misure tecniche e organizzative in atto, vi rientrano i principi enunciati nel Regolamento aziendale in materia di Privacy, nel Regolamento informatico sull'uso della posta elettronica e la formazione che annualmente viene erogata al personale sia in modalità FAD che a gruppi professionali specifici”;

- le categorie di dati interessati sono “dati anagrafici, dati di contatto e dati relativi alla salute, questi ultimi per il fatto che la mail è inviata a coloro che afferiscono al Centro di Sclerosi Multipla, senza che, nella stessa, ci fossero specifici riferimenti alle condizioni di salute dei singoli pazienti”;

- “si è trattato di un errore materiale di digitazione informatica senza evidenza di negligenza, imperizia o colpa grave da parte di chi lo ha commesso. Tale gesto umano, è stato conseguenza di una “svista” indipendentemente da qualunque volontà. Le scuse scritte espresse da parte di ASST Ovest Milanese e le telefonate personali a tutti i singoli pazienti fatte dai medici che li hanno in cura sono state comprese dagli interessati, senza che ad oggi siano sopraggiunte formali azioni da parte degli interessati. Preme sottolineare l’ingente carico di attività che ha gravato sul personale infermieristico e medico e, più in generale sugli operatori sanitari, derivanti dalla gestione della pandemia. In particolare i tempi della campagna vaccinale anti Sars-Covid sono stati molto ristretti e ravvicinati, soprattutto per le categorie fragili nei cui confronti si è avvertita la necessità di fornire informazioni sollecite, di massima accessibilità e diffuse in maniera capillare. In tale contesto si è verificato l'errore umano di digitazione informatica che ha portato all'episodio oggetto della segnalazione”;

c)  con riferimento alla terza vicenda sopra descritta (cfr. punto 1, lett. c)), con nota del XX, l’Azienda, ha dichiarato che:

- “la violazione ha coinvolto due persone con perdita di integrità per una e perdita di riservatezza per l’altra. Rispetto alla persona per cui si configura una perdita di integrità dei dati, non si sono avute notizie di ulteriori conseguenze negative se non quelle segnalate con la notifica del XX. A seguito delle conseguenze suddette, la signora aveva infatti presentato richiesta per essere risarcita dei costi delle spese sostenute per le visite specialistiche e per l'acquisto del “glaucometro” per un valore di € 322, costi riconosciuti con determina dirigenziale n. 72 del 13/01/2023 (…)”;

- “per quanto riguarda la persona —controinteressato- per cui si configurava una perdita di riservatezza, già al momento della notifica la segnalante aveva assunto un atteggiamento attento al rispetto dei dati del controinteressato, rendendo anonimi i dati personali nell’allegato referto inviato alla ASST. Considerato che al tempo della notifica il Responsabile della SC “Laboratorio Analisi” aveva contattato telefonicamente il controinteressato per accertarsi che avesse ricevuto il proprio referto, non si sono più avute, ad oggi, segnalazioni rispetto a ripercussioni negative dell’accaduto”;

- “l’evento è stato determinato da un'azione colposa che può essere qualificata come “mero errore umano”, infatti, pur essendo in essere tutte le accortezze indicate al punto 9 della notifica del XX non è possibile abbattere il rischio di errore al 100%, soprattutto in una realtà complessa come quella di ASST Ovest Milanese nella quale operano circa 4.300 operatori il cui momento di disattenzione, soprattutto nello svolgimento di azioni ripetitive, non è in assoluto prevedibile”;

- “per quanto riguarda il caso di perdita di riservatezza nei confronti del controinteressato, come indicato sopra, è stato immediatamente accertato che lo stesso fosse entrato in possesso del proprio referto senza subire alcun disagio. Per quanto riguarda il caso di perdita di integrità nei confronti della signora segnalante, a seguito di verifica istruttoria, presso del Comitato Valutazioni Sinistri dell'Azienda, è stato riconosciuto il risarcimento delle spese sostenute, di cui al punto 1, per il valore di € 322”;

- “sul caso specifico è stata diramata la nota del Direttore di SC Area Accoglienza del XX (…) con cui si sottolinea l’importanza di verificare sempre: 1. L'identità di chi presenta il modulo di ritiro referto; 2. L'esatta corrispondenza del nominativo indicato sul modulo di ritiro e sul referto. E’ stato aggiornato, con delibera 551 del 27/12/2022 il nuovo Regolamento privacy che, al punto 7.1.10 “consegna referti” fornisce specifiche indicazioni affinché questa operazione venga svolta nel massimo rispetto dei diritti dell’utente (…). Tale regolamento, con nota del XX, è stato diffuso dal DPO aziendale al fine di rinforzare l'informazione ai Delegati aziendali al trattamento su alcuni aspetti di maggior rilevanza del regolamento stesso, tra cui il punto 7, in cui è contenuto anche il passaggio riguardante la consegna dei referti, per una mirata informazione anche nei confronti dei collaboratori dei Delegati (…). Con nota del Direttore Generale dell’ASST Ovest Milanese del XX (…) è stata diffusa la nota del Presidente dell’Autorità Garante per la protezione dei dati del 27/01/23, a tutti i Delegati al trattamento dei dati per rimarcare la necessità dell'impegno di tutti gli operatori nella gestione dei dati, nei percorsi di cura e nelle attività connesse, che ha come fondamento il rispetto delle dignità delle persone. E’ stato convocato il gruppo di lavoro privacy in data XX (…) per richiamare l’attenzione dei componenti del gruppo stesso sui contenuti dei data breach verificatesi in azienda e sull’analisi degli stessi, per sensibilizzare ulteriormente tutti gli operatori. Con note informative inviate via mail dal DPO aziendale, nel corso del 2022 (...) destinate, tra le altre strutture, alle Direzioni mediche, agli Affari Legali, all’Area Servizi/Accoglienza, sono stati posti in evidenza stralci della relazione annuale dell’Autorità del Garante (…), atti a mettere in risalto gli effetti negativi di errori che hanno prodotto lo scambio di referti e quindi di dati tra gli utenti. Ciò al fine di richiamare l’attenzione sulla necessità di non sottovalutare questo genere di errori, produttivi di conseguenze dannose per l’utente. Per l’attività di formazione 2023 è stato proposto un progetto FAD di approfondimento e di informazione di tutte le nuove policy di recente adozione (Regolamento aziendali privacy —Del. n. 551 del 27/12/22, regolamento data breach del 554 del 27/12/2022 e Istruzione operativa di emissione informative privacy -IAP106) o di prossima emanazione. Le disposizioni aziendali attengono ai comportamenti da tenere, alla modulistica da adottare, ai ruoli definiti in base ai livelli di responsabilità”;

- “si tratta di errore umano peraltro perpetuato da più soggetti e professionisti, anche esterni all'azienda. Infatti, la cura sbagliata alla signora segnalante non è stata prescritta dalla ASST Ovest Milanese, ma da altri Medici specialisti e dal Medico di base che avrebbero comunque tutti l’obbligo di verificare la pertinenza, la completezza e la congruenza delle informazioni cliniche contenuti nei referti con le cure dagli stessi erogate ai propri assistiti”;

- “con riferimento alla riunione del procedimento in oggetto (fascicolo n. XX con quello avviato con nota XX (prot. XX fascicolo n. XX) e con nota del XX (prot. n. XX, fascicolo n. XX) si evidenzia il fatto che a fronte delle procedure esistenti al momento delle violazioni notificate e di tutte le misure intraprese successivamente, l’attività di prevenzione dell’errore umano, non può garantirne l'abbattimento al 100%. Si evidenzia altresì che gli altri due episodi; che hanno dato corso ai procedimenti notificatori sopra elencati, sono avvenuti con dinamiche completamente diverse tra loro e non sono state quindi frutto di unico agire “perseverante”, che avrebbe potuto apparire come sintomo di trascurata attenzione. L'attività dell’ASST è stata comunque finalizzata ad impedire il ripetersi delle azioni errate”;

- “preme sottolineare che, a seguito della cessazione dello stato di emergenza da Covid, la ASST si è trovata ad incrementare notevolmente i volumi delle attività tenuto conto della necessità di avviare i recuperi delle lunghe liste di attesa determinatisi a seguito della sospensione/rallentamento delle attività durante i due anni di pandemia. Sono stati infatti posti da Regione elevati obiettivi di produzione con la conseguenza che gli operatori hanno incrementato notevolmente i volumi e i ritmi di lavoro, e si sono rese necessari interventi riorganizzativi, sempre comunque caratterizzati dal richiamo all’attenzione delle normative “privacy””.

3. Esito dell’attività istruttoria

Preso atto di quanto rappresentato e documentato dall’Azienda nel corso dei procedimenti istruttori, dapprima con gli atti di notifica di violazione e, successivamente, con le relative memorie difensive, si osserva che:

per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)” e per “dati relativi alla salute” “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, nn. 1 e 15 del Regolamento). Questi ultimi dati meritano una maggiore protezione dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali (Cons. n. 51 del Regolamento);

le informazioni sullo stato di salute possono essere comunicate soltanto all’interessato e possono essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico (art. 9 Regolamento e art. 84 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101);

il titolare del trattamento è, in ogni caso, tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di «integrità e riservatezza», secondo il quale i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (art. 5, par. 1, lett. f) del Regolamento).

in materia di sicurezza del trattamento, l’art. 32 del Regolamento stabilisce che “tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio […]” (par. 1) e che “nel valutare l’adeguato livello di sicurezza si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati” (par. 2).

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”, gli elementi forniti dall’Azienda, in qualità di titolare del trattamento nelle memorie difensive sopra richiamate, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con i richiamati atti di avvio dei procedimenti, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del regolamento del Garante n. 1/2019.

In particolare, le argomentazioni addotte dall’Azienda non sono idonee al fine di accogliere le richieste di archiviazione formulate nelle memorie difensive. Infatti si sottolinea, come già evidenziato in molte altre occasioni dall’Autorità (cfr. Provv.ti del Garante del 25 giugno 2002, doc. web n. 29864 e 24 giugno 2003, doc. web n. 1132562, consultabili in www.gpdp.it), che, alla luce della definizione di dato personale sopra richiamata, gli indirizzi e-mail sono riconducibili alla nozione di dato personale e che, anche se non è stata fornita alcuna indicazione sullo stato di gravità o di malattia del paziente,  la circostanza che dal contesto delle comunicazioni poteva desumersi che i destinatari della stessa erano pazienti in cura presso il Centro sclerosi multipla, comporta che i trattamenti, rispetto ai quali è stata effettuata al Garante la notifica di violazione dei dati, hanno avuto ad oggetto informazioni relative alla salute, in quanto concernenti informazioni relative a prestazioni di assistenza sanitaria, che rivelano informazioni sullo stato di salute degli interessati coinvolti (art. 4, par. 1, n. 15 del Regolamento) (cfr., in tal senso, provv.ti del Garante del 13 maggio 2021, n. 206, doc. web n. 9688020, del 16 settembre 2021, n. 328, doc. web n. 9722297, dell’11 gennaio 2023, n. 7, doc. web n. 9861356, n. 7, del 28 aprile 2022, n. 164, doc. web n. 9779057, del 7 luglio 2022, n. 242, doc. web n. 9809998, consultabili, in www.gpdp.it). Tale conclusione vale anche in relazione alla convocazione a visita da parte della Commissione aziendale per la valutazione dell’invalidità civile, sulla base della documentazione sanitaria prodotta dagli interessati.

Pertanto, l’invio di una comunicazione mediante un unico messaggio di posta elettronica indirizzato a un numero plurimo di destinatari, i cui indirizzi sono stati inseriti in chiaro nel campo copia conoscenza (c.c.), ha, di fatto, senza giustificato motivo e in assenza di presupposto giuridico, rivelato reciprocamente, ai destinatari delle comunicazioni, lo stato di salute degli altri pazienti. Analogamente, una comunicazione di dati sulla salute si è concretizzata, altresì, nelle condotte descritte nelle notifiche di violazioni di cui ai punti 1. a) e 1. c).

Per tali ragioni si confermano le valutazioni preliminari dell’Ufficio e si rileva l’illiceità dei trattamenti di dati personali effettuati dall’Azienda, per aver comunicato dati sulla salute degli interessati, in violazione dei principi base di cui agli artt. 5, lett. f), e 9 del Regolamento e degli obblighi in materia di sicurezza, di cui all’art. 32 del Regolamento.

La violazione delle predette disposizioni rende applicabile, ai sensi dell’art. 58, par. 2, lett. i), la sanzione amministrativa prevista dall’art. 83, par. 4 e 5 del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice.

In tale quadro, considerato, in ogni caso, che la condotta ha esaurito i suoi effetti e considerato che l’Azienda ha dichiarato di aver adottato ulteriori misure ritenute necessarie per scongiurare futuri analoghi accadimenti, non ricorrono i presupposti per l’adozione di provvedimenti, di tipo prescrittivo o inibitorio, di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice). 

Le violazioni degli artt. 5, par. 1, lett. f), 9 e 32 del Regolamento, causate dalle condotte poste in essere dall’Azienda, sono soggette all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, del Regolamento.

Si consideri che il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2, del Regolamento in relazione ai quali, per i casi in esame, si osserva che:

l’Autorità ha preso conoscenza degli eventi a seguito delle notifiche di violazione dei dati personali effettuate dal titolare e non sono pervenuti reclami o segnalazioni al Garante sull’accaduto (art. 83, par. 2, lett. h) e k) del Regolamento);

i trattamenti dei dati effettuati dall’Azienda hanno riguardato anche dati idonei a rilevare informazioni sulla salute di circa 200 interessati (art. 83, par. 2, lett.  a) e g) del Regolamento);

sotto il profilo riguardante l’elemento soggettivo non emerge alcun atteggiamento intenzionale da parte del titolare del trattamento, essendo le violazioni avvenute per errore degli autorizzati (art. 83, par. 2, lett. b) del Regolamento);

l’Azienda ha preso in carico la problematica introducendo ulteriori misure volte a ridurre la replicabilità degli stessi eventi occorsi (art. 83, par. 2, lett. c) del Regolamento);

il titolare ha dimostrato un elevato grado di cooperazione con l’Autorità al fine di porre rimedio alle violazioni e attenuarne i possibili effetti negativi (art. 83, par. 2, lett. f) del Regolamento);

i fatti si sono verificati, in un caso, nell’ambito dello svolgimento della campagna vaccinale e della necessità di fornire immediatamente e in modo più agevole possibile, le informazioni relative alle raccomandazioni aggiornate sul Covid-19 in pazienti affetti da sclerosi multipla; in un altro, nella necessità, cessato lo stato di emergenza da Covid-19, di incrementare i volumi delle attività e i ritmi di lavoro, al fine di far fronte alle lunghe liste di attesa determinatisi a seguito della sospensione e rallentamento delle attività durante il periodo pandemico, con conseguenti interventi riorganizzativi (art. 83, par. 2, lett. k) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, del Regolamento, nella misura di euro 12.000,00 (dodicimila) per la violazione degli artt. 5, par. 1, lett. f) e 9 e 32 del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che, debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati all’Autorità.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dall’Azienda Socio Sanitaria Territoriale (A.S.S.T.) Ovest Milanese, per la violazione degli artt. 5, par. 1, lett. f) e 9 e 32 del Regolamento, nei termini di cui in motivazione.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, alla Azienda Socio Sanitaria Territoriale (A.S.S.T.) Ovest Milanese, con sede legale in Legnano, Via Papa Giovanni Paolo II C.P. 3, 20025, P.I. e C.F.: 09319650967, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 12.000,00 (dodicimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

alla predetta Azienda Socio Sanitaria Territoriale (A.S.S.T.) Ovest Milanese, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 12.000,00 (dodicimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso giurisdizionale dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 18 luglio 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei