VEDI ANCHE Newsletter del 25 settembre 2025

[doc. web n. 10169116]

Provvedimento dell'11 settembre 2025

Registro dei provvedimenti
n. 487 dell'11 settembre 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Angelo Fanizza, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018 n. 101, recante disposizioni per l'adeguamento dell’ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTE le “Linee guida in materia di Dossier sanitario” adottate dal Garante il 4 giugno 2015 (Provvedimento pubblicato in G.U. 164 del 17 luglio 2015, doc. web n. 4084632,),

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019, doc. web n.9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali (doc. web n.1098801);

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. L’attività ispettiva

In data XX è stato svolto un accertamento ispettivo presso la Casa di Cura Città di Roma (di seguito anche solo “Società” o “Casa di Cura”), al fine di verificare l’osservanza delle disposizioni in materia di protezione dei dati personali in generale e, più in particolare “il rispetto delle linee guida del Garante del 4 giugno 2015 nel trattamento dei dati personali effettuato attraverso il Dossier Sanitario (doc. web n. 4084632)”, come da Ordine di servizio del XX (prot. n. XX).

Nel corso della predetta attività ispettiva è stato accertato che la Casa di Cura ha in uso un software gestionale denominato “XX”, sviluppato dalla società AFEA S.r.l. che svolge anche le funzioni di dossier sanitario di cui alle citate Linee guida del Garante. Il predetto dossier sanitario è utilizzato prevalentemente per finalità di cura e, con funzionalità ridotte, per finalità amministrative, descritte in seguito; al dossier non accedono strutture esterne.

Con specifico riferimento al consenso informato al trattamento dei dati effettuato attraverso il dossier sanitario della Società la stessa ha dichiarato, in particolare, che:

al paziente viene richiesto un consenso specifico all’alimentazione del dossier, previa informativa. L’eventuale rifiuto non determina conseguenze pregiudizievoli rispetto all’erogazione della prestazione sanitaria;

tale consenso, revocabile, è raccolto in forma cartacea e, successivamente, registrato nel gestionale con una specifica funzione (flag);

il consenso al dossier sanitario comporta l’automatica espressione del “consenso al pregresso”, fermo restando che il paziente può espressamente escludere la visualizzazione sul dossier delle informazioni relative alle prestazioni pregresse;

il dossier è costituito anche per le prestazioni erogate nei confronti del minore/incapace, in tal caso il consenso è prestato da un genitore/tutore; nel sistema non sono registrate le generalità di chi rilascia il consenso per il minore/incapace;

la percentuale delle manifestazioni di consenso al dossier è molto alta;

l’informativa fornita ai pazienti, è affissa nei locali (es. CUP), riporta una sezione sul dossier e, al momento dell’accettazione, ne viene stampata una versione sintetica sulla quale viene raccolta la firma del consenso.

In merito ai diritti esercitabili dall’interessato sui trattamenti effettuati attraverso il dossier, è stato dichiarato che l’interessato può rivolgersi alla direzione sanitaria indicata come punto di contatto nell’informativa, ciò anche per revocare il consenso prestato.

Con specifico riferimento alle richieste di “oscuramento all’accettazione -o successivamente tramite e-mail al direttore sanitario” è stato dichiarato che “l’utente con profilo amministrativo o l’amministratore di sistema procedono ad oscurare le singole prestazioni, le quali non risulteranno più visibili (oscuramento dell’oscuramento). In tali casi si usa una funzionalità del sistema denominata “anonimato”. Fino ad oggi non ci sono state richieste di oscuramento”.

In merito ai dati c.d. a maggior tutela (es. interruzione di gravidanza), è stato precisato che il sistema consente di impostare di default che alcuni tipi di prestazioni vengano sottratte alla visibilità nel dossier (specifici codici ICD9CM e DRG). La Casa di Cura ha, pertanto, scelto di impostare che alcune prestazioni nascano oscurate e che possano essere poi de-oscurate a richiesta dell’interessato. A titolo esemplificativo, tra le prestazioni di default oscurate vi sono quelle relative all’accertamento HIV, alle indagini genetiche e all’interruzione volontaria di gravidanza.

Relativamente all’ambito oggettivo del dossier sanitario, la Casa di Cura ha precisato che esso ricomprende sia la parte di ricovero sia le prestazioni ambulatoriali erogate in regime privato e in convenzione con il Servizio Sanitario Nazionale (SSN) a partire dal mese di giugno del 2017 e che circa il 90% delle prestazioni è erogato in regime di convezione con il SSN.

Con riferimento alle modalità con cui sono attribuiti i profili di autorizzazione previsti per l’accesso al dossier da parte del personale sanitario, è stato specificato che:

sono previsti più profili di autorizzazione relativi ai due ambiti di cura offerti dalla Casa di cura: quello ambulatoriale e quello relativo ai ricoveri al cui interno sono stati definiti diversi ruoli (medico, infermiere e personale amministrativo);

l’ufficio del personale (per il personale dipendente) e l’ufficio amministrativo (per i professionisti a contratto), su indicazione della direzione sanitaria, è previsto che chieda ai sistemi informativi l’abilitazione del professionista o del dipendente all’accesso al gestionale XX (e quindi al dossier) indicando il ruolo e le abilitazioni da consentire sulla base delle funzioni svolte (accesso alle funzioni e accesso ai dati);

all’atto dell’abilitazione viene inviata una email al professionista con la password di primo accesso, mentre nel momento dell’assunzione al personale viene fornita documentazione in materia di protezione dei dati personali e viene fatta sottoscrivere una nomina a soggetto autorizzato con delle istruzioni in generale sulle tematiche privacy;

periodicamente con cadenza semestrale sono organizzati dei corsi di formazione in materia di protezione dei dati in funzione del grado di conoscenza dei destinatari sul tema (l’ultimo corso risale a XX). Sono stati inoltre organizzati dei corsi su tematiche specifiche relative alla protezione dei dati personali (es. data breach, accessi abusivi). Non è mai stato effettuato un corso di formazione specifico sul dossier sanitario.

In merito ai sistemi di tracciabilità degli accessi e delle operazioni effettuate attraverso il dossier sanitario è stato dichiarato che “le specifiche del gestionale consentono di individuare solo alcune operazioni. Attualmente le informazioni registrate nei log sono: identificativo operatore, data e ora, operazioni di inserimento, modifica e cancellazione con una descrizione sintetica dell’operazione eseguita. Sono inoltre tracciati i login e logout degli operatori mediante registrazione delle seguenti informazioni: data e ora del login/logout, codice utente. Allo stato non sono registrate le operazioni di consultazione del dossier in quanto tale funzione è prevista solo dal modulo XX, non attivato dall’attuale versione del gestionale in uso […]”. Al riguardo, è stato anche evidenziato che “non è possibile fornire riscontro a eventuali richieste dell’interessato di conoscere gli accessi (consultazione) effettuati sul proprio dossier” e che “allo stato non sono state mai ricevute richieste di accesso”.

In relazione a quanto dichiarato, durante il predetto accertamento ispettivo è stato effettuato un accesso al sistema con un’utenza che svolge attività di “accettazione”, da cui è emerso che il predetto profilo amministrativo ha abilitazioni legate al CUP, all’ambulatorio e all’accettazione ricoveri. Tale profilo può accedere alla scheda dei pazienti, da cui è possibile visualizzare informazioni sanitarie (es. diagnosi in ingresso) e a una serie di servizi tra cui, ad esempio, l’elenco dei referti, che tuttavia non sono consultabili, e i dati del registro operatorio, da cui è possibile accedere alle informazioni della scheda di dimissione ospedaliera (SDO).

Un secondo accesso è stato effettuato con un’utenza assegnata ad una infermiera, da cui è emerso che con tale profilo è possibile visualizzare le informazioni dei pazienti presenti in tutti i reparti. Dalla scheda paziente si può accedere solo ai dati clinici dei ricoveri in atto (non ai dati storici), ciò in quanto gli infermieri possono effettuare, all’occorrenza, prestazioni in tutti i reparti. È inoltre emerso che con il predetto profilo è possibile accedere anche ai dati dei pazienti dimessi a partire dal 2017 facendo una ricerca per cognome, iniziali di nome e cognome o per data/periodo, a funzioni di tipo amministrativo (es. elenco SDO incomplete), di reportistica (es. stampa dei documenti, elenco dei dimessi, SDO dei pazienti dimessi e di consultazione della documentazione sanitaria e amministrativa; è altresì presente una informativa e una manifestazione di consenso diverse da quelle fornite in occasione dell’accettazione del paziente presso la struttura sanitaria – (cfr. allegato 4 alla documentazione del verbale del XX). Si è potuto pertanto accertare che con il profilo di infermiere è possibile accedere, tramite il dossier, ai dati sanitari di tutti i pazienti ricoverati in qualsiasi reparto all’atto dell’accesso e, attraverso la funzione di ricerca dei pazienti dimessi, anche in passato.

Da ultimo, è stato effettuato un accesso con un’utenza assegnata a un medico dal quale è emerso che  con tale profilo è possibile accedere alla documentazione sanitaria di tutti i pazienti ricoverati e dimessi di tutti i reparti anche se  lo stesso operi nel reparto di ortopedia e non abbia nei confronti dei pazienti ricoverati in altri reparti richieste di consulenza in corso.

Al fine di meglio comprendere alcune funzionalità del gestionale XX in uso presso la Casa di Cura, ha partecipato ai predetti accertamenti un referente della società AFEA S.r.l. con il quale si è effettuato un accesso alla scheda di accettazione del paziente con i privilegi di amministratore di sistema dal quale è emerso che:

l’accettazione del paziente può avvenire, di regola, rilevando i dati attraverso la lettura della tessera sanitaria (TS) o, laddove non sia possibile, inserendo manualmente i dati. È possibile ricercare i pazienti anche attraverso l’inserimento di porzioni di nome, di cognome o per iniziali di tali elementi, visualizzando l’elenco delle anagrafiche dei pazienti della Casa di Cura;

nel caso di un nuovo paziente, dopo aver inserito i dati anagrafici, l’operatore visualizza una sezione denominata “dati personali” in cui sono valorizzabili le diverse manifestazioni di consenso raccolte:  consenso al trattamento dati personali, valorizzato sul “si” dall’operatore alla luce dell’art. 9, par. 2, lett. h) e 4 del Regolamento);  consenso retroattivo al dossier che si valorizza automaticamente se si presta il consenso al dossier; repository esterno (attivabile, anche se il servizio non è utilizzato); consenso comunicazioni; comunicazioni commerciali; ritiro on-line dei referti (servizio non attivo); maggior tutela (non valorizzato in quanto la struttura oscura di default tali tipologie di prestazioni). Come anzidetto non sono registrati nel gestionale i dati del genitore/tutore che rilascia il consenso al dossier per i trattamenti di dati del minore o del soggetto incapace.

Nel corso degli accertamenti ispettivi, al fine di verificare la visibilità dei dati e dei documenti sul gestionale, si è acceduto al dossier di un interessato presente all’accertamento ispettivo con l’utenza del medico, visualizzando le prestazioni ambulatoriali e l’avvenuta manifestazione del consenso al dossier. Si è proceduto alla revoca del consenso al dossier del predetto paziente e si è potuto constatare che, in caso di assenza di consenso al dossier, il medico non può vedere le prestazioni ambulatoriali dello stesso in quanto, allo stato, i profili di infermiere e di medico sono configurati per visualizzare il dossier sanitario (storico) solo dei ricoveri (tutti i reparti) e non anche dei pazienti che hanno avuto esclusivo accesso agli ambulatori.

In caso di utenza che svolge funzioni amministrative si è accertato invece che quest’ultima può visualizzare l’elenco delle prestazioni erogate (anche in caso di revoca del consenso) senza poter accedere ai relativi referti.

Al fine di verificare la visibilità dei dati e dei documenti sul dossier relativi a un paziente ricoverato in passato presso la struttura, si è acceduto al dossier di un paziente (presente all’accertamento ispettivo) con le predette caratteristiche, e, previa revoca del consenso al dossier, si è potuto constatare che:

con il profilo medico, è possibile visualizzare l’elenco delle prestazioni erogate in ricovero ma non i referti delle stesse. È stato inoltre riscontrato che è possibile comunque accedere ai dati del registro operatorio relativi alla compilazione della SDO di qualsiasi ricovero occorso all’interessato;

con il profilo amministrativo, è possibile visualizzare l’elenco delle prestazioni erogate in ricovero ma non i referti delle stesse. È stato inoltre riscontrato che è possibile comunque accedere ai dati di dimissione con il dettaglio clinico di qualsiasi ricovero occorso all’interessato, ivi compresa la SDO;

con il profilo infermiere, sono visualizzabili le medesime informazioni previste per i precedenti profili.

Con specifico riferimento alle misure tecniche ed organizzative adottate per garantire una adeguata sicurezza dei dati personali, il rappresentante della Società Afea ha rappresentato che:

al software gestionale (web application ospitata in cloud presso un data center TIM) accede, dalla rete interna, personale incaricato della Casa di Cura (professionisti sanitari, dipendenti e amministratore di sistema) e, tramite VPN (Open VPN con certificato digitale), personale della società AFEA per le attività sistemistiche, di manutenzione e assistenza tecnica;

non sono consentiti gli accessi contemporanei di uno stesso utente, in particolare in presenza di un login attivo, l’utenza che procede al login provoca la disconnessione automatica dell’utenza precedentemente collegata;

non vi sono dei sistemi di alert automatici;

non sono effettuate verifiche a campione sui file di log del dossier. Le verifiche, infatti, sono effettuate a richiesta della Casa di Cura;

in relazione alle misure adottate per la separazione e la cifratura dei dati raccolti nel dossier “le informazioni anagrafiche sono separate rispetto a quelle sanitarie, in particolare i documenti (referti etc.) sono ulteriormente separati”;

le password degli incaricati sono conservate con algoritmi di cifratura.

La Casa di Cura ha inoltre evidenziato che:

non ci sono state segnalazioni o reclami da parte degli interessati, in merito al trattamento dei dati personali attraverso il dossier sanitario;

in caso di data breach è prevista una apposita procedura di cui è stata acquisita una copia (all. 5);

di aver documentato solo una violazione nel registro delle violazioni tenuto ai sensi dell’articolo 33, par. 5 del Regolamento, ma l’evento non ha riguardato il dossier sanitario.

Con nota del XX la Casa di Cura, a scioglimento delle riserve contenute nel verbale del XX, ha precisato che:

il numero totale dei pazienti alla data del 16 dicembre u.s. ammonta a XX di cui XX hanno prestato il consenso al trattamento dei loro dati tramite il dossier sanitario, XX non hanno rilasciato alcun consenso e XX non sono stati rilevati;

senza l’attivazione dello specifico modulo “XX” di XX, in fase di implementazione, non è possibile fornire i log delle operazioni eseguite nel corso dell’accertamento ispettivo;

“i documenti dei referti sono incapsulati in campi BLOB di uno specifico data base e sono memorizzati in XX”;

le password sono conservate previa applicazione di una funzione di hash calcolata “con uno specifico algoritmo proprietario” indicato nella documentazione acquisita agli atti del procedimento;

non risultano essere stati effettuati penetration test e vulnerability assessment.

Inoltre, la Casa di Cura ha illustrato gli interventi correttivi posti in essere a seguito dell’accertamento ispettivo, rappresentando in particolare di:

aver formalizzato la richiesta di attivazione del modulo aggiuntivo XX di XX e che le attività di riconfigurazione dei profili di autorizzazione per le diverse classi di utenza sono già in corso in ambiente di test per poi essere rilasciate in produzione;

aver aggiornato il materiale formativo per il personale prima della presa in servizio con una specifica sezione sul trattamento dei dati personali mediante il dossier sanitario e che uno specifico corso di due lezioni è stato svolto per il personale in servizio, coinvolgente al momento “48 unità di personali con profilo sanitario e amministrativo. Ulteriori edizioni saranno effettuate per coprire progressivamente l’intera platea di destinatari […]”;

aver aggiornato i moduli della nomina di persone autorizzate e di responsabile esterno al trattamento dei dati per i liberi professionisti con l’inserimento di specifiche istruzioni;

aver predisposto un ordine di servizio indirizzato al personale amministrativo del Cup e all’accettazione dei ricoveri per gestire, anche a livello di piattaforma informatica la registrazione delle generalità del soggetto che rilascia il consenso al dossier sanitario elettronico per conto del minore, ad oggi raccolto solo sul modulo cartaceo.

Con successiva nota del XX, la Casa di Cura ha fornito riscontro alla richiesta di informazioni di questo Dipartimento del XX (prot. n. XX) chiarendo che:

“i XX casi di cui sopra si riferiscono a pazienti che sono stati registrati presso la Casa di cura prima del XX e che da allora non hanno più ricevuto ulteriori prestazioni sanitarie” infatti solo a partire da tale data è stato introdotto nel sistema di XX “un blocco informatico delle nuove accettazioni per prestazioni ospedaliere e ambulatoriali qualora non fosse stato puntualmente registrato nell’applicativo il consenso/rifiuto al DSE”; “In ogni caso […] il team di sviluppo del fornitore Afea ha ribadito che il modilo XX, qualora in XX non sia specificato per un paziente se il consenso al DSE sia stato rilasciato o rifiutato, si comporta in attuazione al principio di privacy by design secondo il parametro più restrittivo, ovvero come se il consenso fosse stato esplicitamente rifiutato”;

le attività di configurazione del modulo XX del sistema informativo XX “sono state completate il giorno XX. Da quel momento il modulo è attivo”.

2. La contestazione delle violazioni

In relazione alle risultanze della predetta attività ispettiva, l’Ufficio, con nota del XX (prot. n. XX), ha notificato alla Casa di Cura Città di Roma, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione di eventuali provvedimenti di cui all’articolo 58, par. 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

In particolare, nella predetta nota l’Ufficio, ha evidenziato che la Casa di Cura configurazione del dossier sanitario effettuata dalla Cara di cura è stata posta in essere in violazione dei principi di base del trattamento di cui agli artt. 5, par. 1, lett. a), b), c) e f), par. 2 e artt. 9, 25 e 32 del Regolamento e dell’art. 75 del Codice e delle citate Linee guida del Garante del 2015.

3. Esito dell’attività istruttoria

Con nota del XX, la Casa di Cura, nel rammentare che la stessa è in stato di liquidazione, non ha fatto pervenire memorie difensive e non ha richiesto di essere ascoltata dall’Autorità, come previsto dalle disposizioni sopra richiamate, limitandosia ad inviare la copia del bilancio di esercizio XX, non essendo all’epoca ancora approvati quelli relativi agli anni XX e XX.

In base ai profili fattuali sopra evidenziati e alle affermazioni rese dalla Casa di Cura in sede ispettiva e nelle successive note inviate anche a scioglimento delle riserve di cui al verbale del XX, di cui il dichiarante risponde ai sensi dell’art. 168 Codice, si ritiene di confermare le violazioni rilevate nell’atto di contestazione per le ragioni di seguito esposte.

3.1. Il quadro giuridico di riferimento

In via preliminare, si rappresenta che il trattamento di dati personali deve avvenire nel rispetto della normativa applicabile in materia di protezione dei dati personali e, in particolare, delle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, il “Regolamento”) e del d.lgs. n. 196 del 30 giugno 2003 (Codice in materia di protezione dei dati personali – di seguito, il “Codice”).

Con particolare riferimento alla questione in esame, si evidenzia che i dati personali devono essere “trattati in modo lecito corretto e trasparente” (principio di “liceità, correttezza e trasparenza” e “in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti (principio di “integrità e riservatezza”)” (art. 5, par. 1, lett. a) e f) del Regolamento).

I dati inoltre devono essere raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità e comunque, “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (principi della limitazione della finalità e di minimizzazione dei dati - art. 5, par. 1, lett. b) e c) del Regolamento).

Il Regolamento prevede poi che il titolare del trattamento metta in atto “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”, tenendo conto, tra l’altro, “della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” (art. 32 del Regolamento).

Tra i principi applicabili al trattamento stabiliti all’art. 5 del Regolamento, merita in questa sede evidenziarsi anche quello di responsabilizzazione (accountability), in base al quale “il titolare del trattamento deve conformarsi ed essere in grado di comprovare sia il rispetto dei principi e degli adempienti previsti dal Regolamento” (artt. 5, par. 2, 24 del Regolamento).

Ad esso si collega un altro dovere posto in capo al titolare del trattamento, ossia quello di assicurare che il diritto e la disciplina in materia di protezione dei dati personali degli interessati siano tutelati e applicati sin dalla progettazione e per impostazione predefinita (privacy by design e by default, art. 25 del Regolamento).

In ossequio all’obbligo della protezione dei dati sin dalla progettazione, i titolari devono, inoltre, assumere una condotta attiva nell’applicazione dei principi, ponendosi l’obiettivo di ottenere un reale effetto di tutela. Il requisito di cui all’articolo 25 del Regolamento obbliga i titolari a provvedere affinché la protezione dei dati sia integrata nel trattamento fin dalla progettazione e per impostazione predefinita durante l’intero ciclo di vita del trattamento. Il titolare adotta misure tecniche e organizzative adeguate che sono concepite per attuare in modo efficace i principi di protezione dei dati e integra nel trattamento le necessarie garanzie per conformare i trattamenti alla disciplina in materia di protezione dei dati e per tutelare i diritti e le libertà degli interessati.

Con riferimento ai trattamenti oggetto del citato accertamento ispettivo, il Garante ha adottato le “Linee guida in materia di Dossier sanitario - 4 giugno 2015” (Provvedimento del 4.6.2015, pubblicato in G.U. 164 del 17 luglio 2015, consultabile su www.gpdp.it doc web n. 4084632), nelle quali sono state individuate un primo quadro di cautele, al fine di delineare specifiche garanzie e responsabilità, nonché misure e accorgimenti necessari ed opportuni da porre a garanzia dei cittadini, in relazione ai trattamenti di dati sanitari che li riguardano, che, al pari degli altri provvedimenti dell’Autorità, continuano ad applicarsi anche dopo la piena applicazione del Regolamento, in quanto compatibili con lo stesso (art. 22, comma 4, d.lgs n. 101/2018).

Nelle richiamate linee guida del 2015, il Garante ha specificato che il dossier sanitario, costituendo l’insieme dei dati personali generati da eventi clinici presenti e trascorsi riguardanti l’interessato, costituisce un trattamento di dati personali specifico e ulteriore rispetto a quello effettuato dal professionista sanitario con le informazioni acquisite in occasione della cura del singolo evento clinico. Come tale, quindi, si configura come un trattamento facoltativo.

All’interessato, infatti, deve essere consentito di scegliere, in piena libertà, che le informazioni cliniche che lo riguardano siano trattate o meno in un dossier sanitario, garantendogli anche la possibilità che i dati sanitari restino disponibili solo al professionista sanitario che li ha redatti, senza la loro necessaria inclusione in tale strumento. Ciò significa che qualora l’interessato non manifesti il suo consenso al trattamento dei dati personali mediante il dossier sanitario, il professionista che lo prende in cura avrà a disposizioni solo le informazioni rese in quel momento dallo stesso interessato (es. raccolta dell’anamnesi, delle informazioni relative all’esame della documentazione diagnostica prodotta) e quelle relative alle precedenti prestazioni erogate dallo stesso professionista.

Analogamente, in tale circostanza, il personale sanitario di reparto/ambulatorio avrà accesso solo alle informazioni relative all’episodio per il quale si è rivolto presso quella struttura l’interessato e alle altre informazioni relative alle eventuali prestazioni sanitarie erogate in passato a quel soggetto da quel reparto/ambulatorio (c.d. accesso agli applicativi verticali dipartimentali).

In seguito alla piena applicazione del Regolamento, con il provvedimento di “Chiarimenti sull'applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario” del 7 marzo 2019, il Garante ha individuato- a titolo esemplificativo- alcuni trattamenti in ambito sanitario che richiedono il consenso esplicito dell’interessato (art. 9, par. 2, lett. a) del Regolamento), tra i quali sono stati annoverati anche quelli effettuati attraverso il dossier sanitario (doc. web n. 9091942).

Nelle citate Linee guida è altresì chiarito che l’inserimento delle informazioni relative ad eventi sanitari pregressi all’istituzione del dossier sanitario deve, altresì fondarsi sul consenso specifico ed informato dell’interessato; potendo quest’ultimo anche scegliere che le informazioni sanitarie pregresse che lo riguardano non siano trattate mediante il dossier.

Nelle richiamate Linee guida il Garante ha prescritto che i titolari del trattamento forniscano all’interessato, che abbia manifestato il proprio consenso informato al trattamento dei dati personali mediante il dossier sanitario, un riscontro alla richiesta avanzata dallo stesso o da un suo delegato, volta a conoscere gli accessi eseguiti sul proprio dossier con l’indicazione della struttura/reparto che ha effettuato l’accesso, nonché della data e dell’ora dello stesso. Di tale diritto esercitabile dagli interessati devono essere opportunamente informati anche i soggetti autorizzati ad accedere al dossier sanitario.

Il titolare del trattamento o un suo delegato devono fornire riscontro alla suddetta richiesta dell’interessato entro 15 giorni dal suo ricevimento. Se le operazioni necessarie per un integrale riscontro alla richiesta sono di particolare complessità, ovvero ricorre altro giustificato motivo, il titolare o un suo delegato ne danno comunicazione all'interessato. In tal caso, il termine per l'integrale riscontro è di trenta giorni dal ricevimento della richiesta medesima.

Nelle suddette Linee guida il Garante, al fine di scongiurare il rischio di un accesso alle informazioni trattate mediante il dossier sanitario da parte di soggetti non autorizzati o di comunicazione a terzi di dati sanitari da parte di soggetti a ciò abilitati, ha specificamente raccomandato al titolare del trattamento di porre particolare attenzione nell’individuazione dei profili di autorizzazione e nella formazione dei soggetti abilitati, dovendo essere limitato l’accesso al dossier al solo personale sanitario che interviene nel processo di cura del paziente ed essere adottate modalità tecniche di autenticazione al dossier che rispecchino le casistiche di accesso a tale strumento proprie di ciascuna struttura sanitaria.

A tal fine, nelle predette Linee guida, il Garante ha indicato ai titolari del trattamento di effettuare un monitoraggio delle ipotesi in cui il relativo personale sanitario può avere necessità di consultare il dossier sanitario, per finalità di cura dell’interessato e, in base a tale ricognizione, individuare i diversi profili di autorizzazione all’accesso.

È inoltre evidenziata l’importanza che il titolare del trattamento deve anche individuare la profondità dell’accesso alle informazioni di cui si compone il dossier sanitario, ciò a maggior ragione nelle ipotesi in cui sia consentito l’accesso da parte del personale che svolge funzioni amministrative correlate alla cura dell’interessato.

In tali casi, infatti, il titolare deve prevedere delle limitazioni alla “profondità di accesso” al dossier da parte del personale preposto a tali funzioni, consentendo allo stesso di accedere ai soli dati indispensabili per svolgere i compiti ad essi demandati (ad es., il personale addetto alla prenotazione di esami diagnostici o visite specialistiche può consultare unicamente i soli dati indispensabili per la prenotazione stessa).

L’accesso al dossier deve essere, pertanto, limitato al solo personale sanitario che interviene nel tempo nel processo di cura del paziente. Ciò significa che deve essere consentito l’accesso solo al personale che a vario titolo interviene nel processo di cura. L’accesso al dossier deve essere limitato, poi, al tempo in cui si articola il processo di cura, ferma restando la possibilità di accedere nuovamente al dossier qualora ciò si renda necessario in merito al tipo di trattamento medico da prestare all’interessato.

Al riguardo, nelle predette Linee guida, il Garante ha ritenuto che “il titolare del trattamento deve mettere in opera sistemi per il controllo degli accessi anche al database e per il rilevamento di eventuali anomalie che possano configurare trattamenti illeciti, attraverso l’utilizzo di indicatori di anomalie (c.d. alert) utili per orientare successivi interventi di audit. Il titolare deve prefigurare, quindi, l’attivazione di specifici alert che individuino comportamenti anomali o a rischio relativi alle operazioni eseguite dagli incaricati del trattamento (es. relativi al numero degli accessi eseguiti, alla tipologia o all’ambito temporale degli stessi)” (punto 7, lett. b).

Nelle citate Linee guida è altresì chiarito che le strutture sanitarie devono realizzare sistemi di controllo delle operazioni effettuate sul dossier sanitario, mediante procedure che prevedano la registrazione automatica in appositi file di log degli accessi e delle operazioni compiute.

Per ogni operazione di accesso al dossier effettuata da un incaricato, devono essere registrate almeno le seguenti informazioni: il codice identificativo del soggetto incaricato che ha posto in essere l’operazione di accesso; la data e l’ora di esecuzione; il codice della postazione di lavoro utilizzata; l’identificativo del paziente il cui dossier è interessato dall’operazione di accesso da parte dell’incaricato e la tipologia dell’operazione compiuta sui dati. I predetti log devono essere conservati dal titolare per un periodo non inferiore a 24 mesi dalla data dell’operazione registrata.

3.2. Le violazioni accertate dall’Autorità

3.2.1. Consenso informato dell’interessato

Alla luce di quanto emerso negli accertamenti ispettivi e negli ulteriori atti istruttori, si rileva che la Casa di Cura, seppure acquisiva uno specifico consenso informato degli interessati in merito al trattamento dei dati personali effettuato attraverso il dossier sanitario aziendale a partire dal 1° luglio 2017, data di installazione dell’applicativo XX presso la predetta Casa di Cura, lo stesso comportava automaticamente l’espressione del consenso al trattamento delle informazioni relative ad eventi sanitari pregressi all’istituzione del dossier sanitario.

Infatti, qualora tale consenso era manifestato dal paziente, a seguito dell’apposizione della sua firma sul modulo cartaceo, ciò comportava l’automatico inserimento del flag nel campo “consenso retroattivo”. Dall’accesso al sistema informatico XX che svolge anche le funzioni di dossier sanitario, è presente una schermata in cui vengono raccolti i diversi consensi al trattamento dei dati per diverse finalità perseguite dalla Casa di Cura tra le quali quelle relative al dossier sanitario.

Ciò stante, nel prendere favorevolmente atto delle misure implementate dalla Casa di Cura e in particolare che, a partire dal rilascio del modulo “XX” del software XX, “è possibile indicare se il consenso è retroattivo ovvero se ha effetto anche sugli episodi precedenti. In qualsiasi momento il paziente può decidere di revocare il consenso […]” (cfr. documento denominato “Adeguamenti XX alle linee guida in materia di Dossier sanitario” allegato alla nota del XX), si ritiene accertato che la configurazione del dossier sanitario -constatata alla data degli accertamenti ispettivi- sia stata effettuata dalla Casa di Cura, come dimostrato dai fatti in esame e dalla documentazione acquisita agli atti del procedimento, in violazione dei principi di base del trattamento di cui agli artt. 5, par. 1, lett. a) e 9 del Regolamento e dell’art. 75 del Codice e delle Linee guida sopra richiamate, in particolare al principio di liceità, correttezza e trasparenza.

A ciò si aggiunga che la Casa di Cura pur avendo dichiarato un numero di XX pazienti che non avrebbero rilasciato il consenso al trattamento dei dati attraverso il dossier non è stata in grado di comprovare pienamente come tale diniego sia stato espresso, ciò in violazione del principio di responsabilizzazione di cui all’art. 5, par. 2 del Regolamento.

3.2.2 Visione degli accessi

Pur essendo stata fornita l’informativa sul trattamento dei dati personali attraverso il dossier sanitario (cfr. lett. k), del documento denominato “informativa estesa” (allegato 1) alla documentazione allegata al verbale del XX), nella stessa gli interessati non sono stati informati in merito al diritto di conoscere gli accessi che sono stati effettuati sul loro dossier sanitario.

Con riferimento a tale diritto infatti la Casa di Cura nel corso degli accertamenti ispettivi ha dichiarato che “non è possibile fornire riscontro a eventuali richieste dell’interessato di conoscere gli accessi (consultazione) effettuati sul proprio dossier” e che “Allo stato non sono state mai ricevute richieste di accesso”.

Con nota del XX, la Società ha dichiarato che a seguito dell’attivazione del modulo XX di XX, definitivamente rilasciato e funzionante a partire dal XX, sarà possibile rilevare i log di accesso al dossier sanitario e delle operazioni eseguite.

Ciò stante, nel prendersi favorevolmente atto delle misure intraprese a seguito degli accertamenti ispettivi svolti, si ritiene accertato che la configurazione del dossier sanitario, come dimostrato dai fatti in esame e dalla documentazione acquisita agli atti del procedimento, sia stata effettuata in violazione dei principi di base del trattamento, di cui agli artt. 5, par. 1, lett. a), del Regolamento e delle Linee guida sopra richiamate, in particolare quello di liceità, correttezza e trasparenza.

3.2.3 Profili di autorizzazione per l’accesso al dossier

Alla luce di quanto evidenziato in atti, si rileva che la configurazione del dossier sanitario della Casa di Cura, alla data del predetto accertamento ispettivo non era conforme ai principi generali del trattamento e a quanto indicato nelle Linee guida del Garante del 2015, anche con riferimento ai profili di autorizzazione per l’accesso al dossier in quanto dagli accessi al sistema informatico effettuati nel corso dell’accertamento ispettivo del XX, è emerso che:

il medico era abilitato ad accedere alla documentazione sanitaria di tutti i pazienti ricoverati e dimessi in tutti i reparti, sebbene l’utenza del medico con cui i è stato effettuato l’accesso al sistema XX, deputato altresì a svolgere le funzioni di dossier sanitario, operava nel reparto di ortopedia e non aveva nei confronti dei pazienti presenti in altri reparti alcuna richiesta di consulenza; il predetto medico, in caso di pazienti in passato ricoverati presso la struttura e previa revoca del consenso al dossier ha continuato a vedere l’elenco delle prestazioni erogate in ricovero e i dati del registro operatorio relativi alla compilazione della SDO di qualsiasi ricovero occorso all’interessato;

il profilo di infermiere poteva accedere ai dati sanitari di tutti i pazienti ricoverati in qualsiasi reparto anche di quelli dimessi in passato utilizzando la specifica funzione offerta dal sistema di ricerca dei pazienti. La predetta utenza, in caso di pazienti in passato ricoverati presso la struttura e previa revoca del consenso al dossier, continuava a vedere l’elenco delle prestazioni erogate in ricovero, senza poter accedere ai referti delle stesse oltre che ai dati di dimissione con il dettaglio clinico di qualsiasi ricovero occorso all’interessato, ivi compresa la SDO;

l’utenza con profilo amministrativo poteva visualizzare le informazioni sanitarie (quali ad es. tutte le diagnosi in ingresso) e l’elenco dei referti, non consultabili, i dati del registro operatorio da cui era altresì possibile accedere alla SDO in chiaro. La predetta utenza, in caso di pazienti in passato ricoverati presso la struttura e previa revoca del consenso al dossier, continuava a visualizzare le stesse informazioni accessibili all’utenza con profilo di infermiera.

Pertanto, difformemente a quanto indicato nelle citate Linee guida e ai principi generali del trattamento, l’accesso al dossier non era limitato al solo personale sanitario che verosimilmente poteva intervenire nel tempo nel processo di cura del paziente, ovvero che, sulla base delle prestazioni erogate e dei percorsi clinici attivati, poteva effettivamente essere coinvolto nel percorso di cura del paziente.

In particolare, in base ai principi di “accountability” e di “protezione dei dati fin dalla progettazione” (art. 25, par. 1, del Regolamento), il titolare infatti deve adottare misure tecniche e organizzative adeguate ad attuare in maniera efficace i principi di protezione dei dati (art. 5 del Regolamento) e integrare nel trattamento le necessarie garanzie per soddisfare i requisiti del Regolamento e tutelare i diritti e le libertà degli interessati ed essere in grado di comprovare il rispetto dei richiamati principi di protezione dei dati

Tutto ciò premesso, nel prendere favorevolmente atto che la Casa di Cura, con la nota del XX, ha dichiarato di aver “formalizzato la richiesta di attivazione del modulo aggiuntivo XX di XX e che le attività di riconfigurazione dei profili di autorizzazione per le diverse classi di utenza sono già in corso in ambiente di test e saranno definitivamente implementate in produzione, entro 30 giorni”, risulta accertato che quest’ultima all’atto dell’accertamento ispettivo non aveva previsto l’attribuzione di profili di abilitazione e autorizzazione al dossier differenziati in ordine alle diverse mansioni svolte e alle diverse e connesse attività di trattamento effettuate dal personale sanitario, in conformità a quanto indicato nelle citate Linee guida e ai principi di minimizzazione, di responsabilizzazione e di protezione dei dati fin dalla progettazione, con ciò violando le disposizioni di cui agli artt. 5, par. 1, lett. c), par. 2 e 25 del Regolamento.

Con specifico riferimento al personale deputato allo svolgimento di mansioni amministrative risulta altresì accertato che agli stessi è consentito accedere a contenuti del dossier sanitario non necessari per il perseguimento di finalità amministrative correlate alla cura.

La Casa di Cura infatti avrebbe dovuto trattare i dati dei pazienti presenti nel dossier sanitario nel rispetto della richiamata normativa di settore che ne costituisce la base giuridica e ne stabilisce limiti e presupposti. Ciò anche nel richiamato rispetto del principio di limitazione della finalità secondo cui il dossier sanitario può essere utilizzato solo dal personale sanitario che ha in cura l’interessato, o per finalità amministrative correlate alla cura sulla base di una specifica profilazione dei predetti utenti abilitati ad accedere solo alle informazioni necessarie allo svolgimento delle richiamate mansioni amministrative. La possibilità, accertata nel corso delle verifiche ispettive, che il predetto personale amministrativo poteva accedere ai contenuti informativi sanitari sopra indicati ha comportato un trattamento illecito di dati in quanto lo stesso è effettuato per finalità diverse da quelle di cura perseguibili attraverso il dossier sanitario, nonché da parte di soggetti che non erano coinvolti nel percorso di cura della reclamante.

Tra l’altro la facoltatività del dossier sanitario e l’incompletezza informativa, dettata dalla possibilità che l’interessato possa esercitare il diritto di oscuramento su alcune delle informazioni raccolte attraverso il dossier, rendono tale strumento un mezzo non adeguato a svolgere in modo efficace le attività amministrative che la Società può compiere nel rispetto dello specifico e diverso quadro normativo di settore.

Al riguardo, si evidenzia che, stante quanto già rappresentato dall’Autorità nelle citate Linee guida e in altri provvedimenti (cfr. provvedimento del 21 aprile 2021, n- 155), il titolare del trattamento deve individuare, in relazione alle diverse funzioni a cui è adibito il personale, soluzioni tecniche organizzative che consentano ai soggetti che svolgono compiti amministrativi seppure correlati alla cura, di accedere, nei limiti delle attribuzioni previste per legge, ad una base informativa più completa rispetto a quella presente nel dossier sanitario aziendale.

Ciò stante risulta altresì accertato che la configurazione del dossier sanitario effettuata dalla Casa di Cura, come dimostrato dai fatti in esame e dalla documentazione acquisita agli atti del procedimento, è stata effettuata in violazione dei principi di base del trattamento di cui agli artt. 5, par. 1, lett. a), b) c) e f) e par. 2, artt. 9, 25 e 32 del Regolamento e delle citate Linee guida.

3.2.4 Controllo degli accessi al dossier

Secondo quanto dichiarato in atti, si rileva inoltre che la Casa di Cura, non aveva -alla data dell’accertamento ispettivo- adottato -come indicato dalle citate Linee guida- un sistema per il rilevamento automatico di eventuali anomalie che possano configurare trattamenti illeciti, ovvero l’utilizzo di indicatori di anomalie (c.d. alert) volti ad individuare comportamenti anomali o a rischio relativi alle operazioni eseguite dai soggetti autorizzati al trattamento (es. numero degli accessi eseguiti, tipologia o ambito temporale degli stessi), utili per orientare successivi interventi di audit, ciò in quanto quest’ultima ha dichiarato che “allo stato non sono registrate le operazioni di consultazione al dossier”, né sono tracciate con appositi file di log le operazioni eseguite dai diversi soggetti abilitati all’accesso al predetto dossier.

Nel prendersi favorevolmente atto delle misure intraprese e in particolare che i predetti log saranno implementati contestualmente al rilascio del modulo aggiuntivo XX di XX (cfr. nota del XX) risulta accertato che la configurazione del dossier sanitario effettuata da codesta Casa di Cura, al momento degli accertamenti ispettivi, come dimostrato dai fatti in esame e dalla documentazione acquisita agli atti del procedimento, è stata effettuata in violazione dei principi di base del trattamento di cui agli artt. 5, par. 1, lett. f), 25 e 32 del Regolamento e delle citate Linee guida.

3.2.5 Tracciabilità degli accessi e delle operazioni effettuate

Secondo quanto dichiarato in atti si rileva che la Casa di Cura non ha implementato procedure che prevedano la registrazione automatica in appositi file di log degli accessi effettuati sul dossier e delle operazioni eseguite sullo stesso, secondo quanto indicato nelle Linee guida del 2015.

Seppure ciò è possibile a seguito della attivazione del modulo aggiuntivo XX di XX avvenuta in data XX (cfr. nota del XX), risulta accertato che la configurazione del dossier sanitario effettuata dalla Casa di Cura all’atto degli accertamenti ispettivi, come dimostrato dai fatti in esame e dalla documentazione acquisita agli atti del procedimento, è stata effettuata in violazione dei principi di base del trattamento di cui agli artt. 5, par. 1, lett. f), 25 e 32 del Regolamento e delle citate Linee guida.

4. Conclusioni.

Alla luce delle valutazioni di cui al punto 3 del presente provvedimento, si ritengono confermate le violazioni contestate, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni si rileva l’illiceità del trattamento di dati personali effettuato dalla Casa di Cura Città di Roma con riferimento al procedimento avviato a seguito degli accertamenti ispettivi e della notifica di violazione, nei termini di cui in motivazione, in particolare, per aver trattato dati personali attraverso il dossier sanitario in violazione degli artt. 5, par. 1, lett. a), b), c) e f), par. 2 e artt. 9, 25 e 32 del Regolamento e dell’art. 75 del Codice e delle citate Linee guida del garante del 2015.

In tale quadro, avendo la Casa di Cura posto in essere le misure correttive necessarie a conformare il trattamento dei dati personali tramite il dossier sanitario al quadro normativo vigente, sopra richiamato, la condotta contestata ha cessato di produrre i suoi effetti e pertanto non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, par. 1, lett. a), b), c) e f), par. 2 e artt. 9, 25 e 32 del Regolamento e dell’art. 75 del Codice e delle citate Linee guida del Garante del 2015, causata dalla condotta della Casa di Cura Città di Roma è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 4 e 5, del Regolamento.

Si consideri che il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

In base a quanto sopra rappresentato, risultano violate varie disposizioni del Regolamento e del Codice in relazione a trattamenti collegati effettuati dalla Casa di Cura, per cui occorre applicare l’art. 83, par. 3, del Regolamento, in base al quale, se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento viola, con dolo o colpa, varie disposizioni del Regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave con conseguente applicazione della sola sanzione prevista dall’art. 83, par. 5, del Regolamento.

Alla luce di quanto sopra illustrato e, in particolare, della categoria di dati personali interessata dalla violazione che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, del numero elevato dei soggetti interessati (XX) i cui dati sono stati trattati tramite il dossier sanitario in violazione delle disposizioni sopra richiamate, della durata della violazione (dal 2017), si ritiene che il livello di gravità della violazione commessa dalla Casa di Cura sia medio (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023, punto 60).

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nell’ipotesi in esame, sono state tenute in considerazione le circostanze sotto riportate:

- le misure tempestivamente implementate dalla Casa di Cura per conformare il trattamento dei dati personali dei pazienti effettuato attraverso il dossier sanitario al quadro normativo vigente anche al fine di tutelare i diritti e le liberta degli interessati (art. 83, par. 2, lett. c) del Regolamento; cfr. nota del XX);

- il Garante ha preso conoscenza delle violazioni a seguito degli accertamenti ispettivi svolti d’Ufficio (art. 83, par. 2, lett. h del Regolamento);

- la Casa di Cura non è destinataria di precedenti provvedimenti prescrittivi o sanzionatori relativamente allo stesso oggetto ed ha collaborato nel corso dell’attività ispettiva che l’ha vista coinvolta (art. 83, par. 2, lett. e) e f) del Regolamento);

- la circostanza che in caso di assenza di consenso al dossier, il medico non poteva vedere le prestazioni ambulatoriali del paziente in quanto, allo stato, i profili di infermiere e di medico erano configurati per visualizzare il dossier sanitario (storico) solo dei ricoveri (tutti i reparti) e non anche dei pazienti degli ambulatori e che, in caso di revoca del consenso, il profilo medico poteva accedere solo all’elenco delle prestazioni erogate in regine di ricovero e non anche ai referti (art. 83, par. 2, lett. k del Regolamento);

- la circostanza che la Casa di Cura di trova in stato di liquidazione.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti della Casa dio cura la sanzione amministrativa del pagamento di una somma pari ad euro 12.000,00 (dodicimila/00).

In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante. Ciò in considerazione della gravità della condotta contestata che coinvolge la disciplina sulla protezione dei dati personali di un numero elevato di interessati e della circostanza che tali trattamenti sono stati oggetto di uno specifico provvedimento generale adottato dal Garante fin dal 2015.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato, descritti, dalla Casa di Cura Città di Roma per la violazione degli artt. 5, par. 1, lett. a), b), c) e f), par. 2 e artt. 9, 25 e 32 del Regolamento e dell’art. 75 del Codice e delle citate Linee guida del garante del 2015 nei termini di cui in motivazione.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, alla Casa di Cura Città di Roma, con sede in Roma, Via Francesco Maidalchini 20, Partita IVA: 00994041002 - Codice Fiscale: 01415120581, di pagare la somma di euro 12.000,00 (dodicimila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento.

INGIUNGE

alla predetta Casa di Cura, di pagare la predetta somma di euro 12.000,00 (dodicimila/00), secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall'art. 27 della legge n. 689/1981. Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento -sempre secondo le modalità indicate in allegato- di un importo pari alla metà della sanzione irrogata entro il termine di cui all'art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.

DISPONE

- ai sensi dell’art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;

- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento;

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 11 settembre 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Fanizza