VEDI ANCHE NEWSLETTER DEL 19 FEBBRAIO 2021

[doc. web n. 9544504]

Provvedimento su data breach - 27 gennaio 2021

Registro dei provvedimenti
n. 36 del  27 gennaio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vice presidente, il dott. Agostino Ghiglia, l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il d.lgs. 10 agosto 2018, n. 101, recante Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal vice segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. La violazione di dati personali

In data 19 dicembre 2019, l’Azienda USL della Romagna (Azienda) ha notificato una violazione di dati personali, ai sensi dell’art. 33 del Regolamento.

Nell’atto di notifica è stato dichiarato che la violazione è avvenuta in data 1° marzo 2019 e che l’Azienda ne è venuta ufficialmente a conoscenza il 17 dicembre 2019, a seguito di una richiesta di risarcimento del danno da parte dell’interessata (del 6 dicembre 2019) e di ulteriori verifiche interne delle competenti unità operative.

In relazione all’evento occorso, l’Azienda ha rappresentato che, in data XX, veniva ricoverata, presso il reparto di ginecologia (UO ginecologia-ostetricia-PO Faenza), una paziente che chiedeva che non fossero date informazioni sul suo stato di salute a soggetti terzi e forniva a tal fine il suo numero di telefono personale, da utilizzare per successivi contatti da parte della Azienda. Successivamente alle dimissioni della paziente (avvenute in data 3 marzo 2020), l’infermiera di reparto, nel tentare di contattare quest’ultima al fine di fornirle indicazioni circa le specifiche terapie da seguire, si trovava a parlare col marito delle stessa. L’operatrice sanitaria aveva, infatti, utilizzato il numero di telefono indicato sul frontespizio della cartella clinica dell’interessata, registrato nell’anagrafica informatizzata della Azienda, fornito dalla stessa in occasione di un precedente contatto con la struttura sanitaria e non corrispondente con quello indicato dalla paziente nel corso dell’evento del 1° marzo 2019, riportato all’interno della cartella clinica.

Le informazioni disvelate al marito della paziente, che ha risposto al telefono, hanno riguardato solo la tipologia di reparto presso cui l’interessata è stata ricoverata e non sarebbero state date ulteriori indicazioni sullo stato di salute della stessa.

L’Azienda ha dichiarato, inoltre, di non avere comunicato la violazione all’interessata, ai sensi dell’art. 34 del Regolamento, in quanto vi erano ancora in corso “le dovute valutazioni” e, con riferimento alle misure adottate per prevenire possibili violazioni future, ha manifestato l’intenzione di svolgere uno “studio di fattibilità sulla gestione centralizzata dei numeri telefonici di riferimento nell’anagrafica aziendale”.

2. L’attività istruttoria

Con riferimento alla predetta violazione, nell’ambito dell’istruttoria preliminare avviata dall’Ufficio del Garante, con nota del 26 febbraio 2020 (prot. n. 8128), l’Azienda ha rappresentato, ai sensi dell’art 168 del Codice, di avere proceduto alla definizione, in base alla normativa vigente, dei ruoli attribuiti ai soggetti abilitati al trattamento dei dati personali all’interno dell’Azienda, conferendo loro specifici compiti, profili di accesso e istruzioni in ragione della professione svolta (nota del’11 marzo 2020, prot. n. 2020/0063900/P).

In particolare, è stato dichiarato che l’infermiera coinvolta nella violazione di cui trattasi è stata prima designa incaricata del trattamento, con raccomandata del 17 ottobre 2005, che espressamente prevede che “poiché il Suo incarico ha ad oggetto il trattamento di dati particolarmente sensibili, la S.V. non potrà -oltre alla stretta attività connessa alla propria funzione- comunicarli ad alcuna persona terza, salvo che sia stato a ciò espressamente autorizzato dall’interessato”. L’infermiera è stata poi successivamente “individuata come autorizzata al trattamento dei dati ai sensi della delibera n. 275 del 25/7/2018. Come tale alla stessa sono state messa a disposizione sulla intranet aziendale le istruzioni operative per il corretto trattamento dei dati”.

Con specifico riguardo alle “misure organizzative implementate” in relazione al caso in esame, è stato evidenziato che “la procedura della cartella clinica dell’U.O. Ginecologia dell’Ospedale di Faenza non era informatizzata” e il modulo sottoscritto dall’interessata, con il diniego a fornire informazioni circa il suo stato di salute a soggetti terzi, è stato inserito nella cartella clinica (già esistente al momento del ricovero) che riportava però sul frontespizio un recapito telefonico, uguale a quello indicato nell’anagrafica aziendale unica, utilizzato dall’infermiera per reperire la paziente, ma differente rispetto a quello da ultimo fornito dalla paziente stessa. 

In altri termini, rispetto all’interessata risultavano presenti due diversi contatti telefonici e, solo all’interno della cartella clinica, era presente la modulistica sottoscritta con la quale la stessa chiedeva espressamente che il suo stato di salute, in relazione all’ultimo ricovero in corso, non fosse comunicato a nessuno, fornendo a tal fine uno specifico numero di telefono, per eventuali contatti relativi a tale ricovero.

L’Azienda, in riferimento alla violazione, ha altresì riportato quanto verbalizzato nell’incontro del 18 dicembre 2019, dove si specifica che l’infermiera era stata incaricata dal medico presente, impegnato in pronto soccorso, a consegnare la lettera di dimissioni all’interessata e che “consegnata la lettera in mano alla signora, l’infermiera si è assentata per rispondere a una chiamata (campanello) di un’altra degente, invitando la signora (...) ad attenderla e al ritorno, per confrontarsi con la sig.ra relativamente al contenuto della lettera (di dimissione, ndr) e delle disposizioni mediche, la signora si era allontanata senza avvisare”. L’infermiera allora, verificata la circostanza che le era stato prescritto un farmaco e non avendo avuto modo di fornire indicazioni in ordine all’assunzione dello stesso, ha tentato rapidamente di contattare la paziente, rinvenendo nell’anagrafica aziendale “il numero telefonico a cui contattarla anziché ricorrere a quello fornito dalla stessa nella fase di pre-ricovero”.

Con riferimento alla formazione del personale è stato evidenziato che l’Azienda svolge regolarmente attività di formazione sulla disciplina in materia di protezione dei dati personali, sia a distanza che in presenza.

L’Azienda ha, altresì, evidenziato che “a seguito del data breach in parola, l’UO Gestione servizi informativi ha eseguito uno studio di fattibilità per una rimodulazione della gestione dei numeri di telefono dei pazienti ricoverati. Con il fornitore informatico della Gestione Ricoveri (sistema ADT) si modificherà il workflow come segue:

1. verrà configurato il Tab-Privacy della gestione ADT per il consenso alla comunicazione dello stato di salute del paziente con campo di descrizione per numero di telefono e nominativo indicati dal paziente al momento del ricovero;

2. il sistema obbligherà l’operatore a compilare l’opzione di scelta e il campo descrittivo sopracitato anche con possibilità di stampa del modulo da conservare nella cartella cartacea;

3. il Tab Privacy sarà l’unico punto di gestione e consultazione dei dati telefonici per il singolo evento di ricovero, eliminando o oscurando le informazioni dei riferimenti telefonici da tutti gli altri archivi informatici relativi al ricovero e dal frontespizio della cartella clinica;

4. nell’eventualità di un successivo ricovero il Tab privacy dovrà essere rivalorizzato”.

L’Azienda ha rappresentato, inoltre, che “a partire dal 20.1.2020 il Comitato aziendale per la protezione dei dati personali di concerto con il DPO, ha attivato e messo a disposizione dei Responsabili di U.O. una check list di autovalutazione relativamente all’attività ambulatoriale e all’attività di ricovero, quale strumento utile sia agli stessi che all’Azienda per il monitoraggio dell’adeguatezza delle misure tecniche ed organizzative aziendali al fine di garantire la sicurezza del trattamento dei dati”.

L’Azienda ha rappresentato, infine, di avere ritenuto superflua la comunicazione della violazione all’interessata, come strumento per attenuare gli effetti negativi della violazione, secondo quando previsto dal considerando 83 del Regolamento, in quanto le informazioni rilasciate dall’infermiera hanno riguardato solo il reparto in cui la stessa è stata ricoverata e non anche i motivi del ricovero e perché “nel frattempo il marito della paziente aveva appreso, peraltro in altro modo e da soggetti non riconducibili alla Azienda USL della Romagna, l’avvenuto ricovero e il motivo specifico dello stesso”.

Sulla base degli elementi acquisiti, attraverso la comunicazione della violazione di dati personali nonché nell’ambito dell’istruttoria preliminare, l’Ufficio con atto n. 0020106 del 3 giugno 2020, ha notificato, ai sensi dell’art. 166, comma 5, del Codice, all’Azienda USL della Romagna, in qualità di titolare del trattamento, l’avvio del procedimento per l’adozione delle misure correttive, di cui all’art. 58, par. 2, del Regolamento, invitando l’Azienda a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. n. 689 del 24 novembre 1981).

In particolare l’Ufficio, nel predetto atto, che qui deve intendersi integralmente riprodotto, ha rilevato la sussistenza di elementi idonei a configurare da parte dell’Azienda le violazioni degli articoli 5, par. 1, lett. a), d) e f), 9 e 32 par. 1, lett. b) del Regolamento.

Nel produrre i propri scritti difensivi, l’Azienda ha ribadito tutto quanto già rappresentato all’Autorità in fase di istruttoria preliminare, fornendo taluni specifici ulteriori elementi volti a circostanziare la violazione occorsa e a consentire, a questa Autorità, una ponderata valutazione della stessa ai sensi dell’art. 83 del Regolamento (nota del 29 giugno 2020, prot. n. 2020/0160798/P).

In particolare, l’Azienda ha evidenziato che:

- l’interessata era stata sottoposta ad un intervento di interruzione volontaria di gravidanza;

- l’infermiera che ha tentato di contattare l’interessata, causando la violazione, si trovava in una situazione di emergenza, in quanto chiamata da un’altra paziente del reparto e tenuta contestualmente a sostituire il medico nella consegna della lettera di dimissioni alla paziente;

- l’infermiera, nel tentare di contattare l’interessata, si è limitata ad introdursi alla persona che ha risposto al telefono (che poi è risultata essere il marito dell’interessata) quale “infermiera della ginecologia di Faenza” e a dire di dover parlare con la paziente per una terapia, senza alcuno esplicito riferimento ai motivi del ricovero né all’intervento.

In considerazione degli eventi, l’Azienda ha ritenuto che la violazione occorsa non possa essere attribuita né alla colpa né al dolo dell’Azienda stessa avendo, in primo luogo, l’interessata stessa contribuito al verificarsi degli eventi, allontanandosi dal reparto senza attendere il ritorno dell’infermiera e tenendo, quindi, un comportamento non corretto, ed essendosi l’Azienda preoccupata di far sottoscrivere alla paziente il modulo per “autorizzare o meno la comunicazione dei dati a terzi”.

Con riferimento all’entità della violazione e conseguentemente al suo impatto sui diritti e le libertà fondamentali dell’interessata, l’Azienda ha ritenuto che non possa essersi trattato di un evento grave, non avendo la violazione avuto ad oggetto il disvelamento di specifici aspetti connessi ai motivi del ricovero. Conseguentemente l’Azienda ha ritenuto di non aver prodotto conseguenze negative in capo all’interessata.

Con riferimento alle misure tecniche adottate per prevenire ulteriori simili eventi, l’Azienda ha ribadito di avere concluso con esito positivo lo studio di fattibilità per la rimodulazione informatica della gestione dei numeri di telefono dei pazienti, come sopra riportato. È stato, tuttavia, precisato che, a causa della situazione emergenziale legata alla pandemia da COVID-19, che ha interessato in modo particolare l’Azienda, il nuovo sistema non è ancora operativo.

Da un punto di vista organizzativo è stato infine rappresentato che l’Azienda ha predisposto una modulistica unica aziendale “con la quale i pazienti che accedono alle strutture ospedaliere possono esprimere la loro volontà di comunicare o non comunicare i propri dati di salute ai terzi” e introdotto una specifica policy aziendale per le “le corrette modalità di comunicazioni a terzi delle informazioni di salute dei pazienti ricoverati”.

L’azienda, infine, ha sottolineato di essere stata solerte e collaborativa nell’interazione con il Garante nell’ambito della procedura relativa alla comunicazione della violazione di dati inviata.

Con successiva nota del 3 agosto 2020, l’Azienda ha rinunciato all'audizione richiesta ai sensi dell’art. 166, comma 6, del d.lgs. 30 giugno 2003, n. 196 tramite la richiamata memoria difensiva.

3. Esito dell’attività istruttoria

Ai sensi del Regolamento, i dati personali devono essere trattati in modo lecito, corretto e trasparente, devono essere esatti rispetto alle finalità per le quali sono trattati e devono essere adottate misure tecniche e organizzative adeguate a garantire l’integrità e la riservatezza degli stessi e a prevenire trattamenti non autorizzati o illeciti (art. 5, par. 1 lett. a) d) e f) del Regolamento).

In merito alla fattispecie in esame appare opportuno precisare, altresì, che alla luce del Regolamento si intende per “«dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4, par. 1, n. 1).

In tale contesto, devono considerarsi dati sulla salute tutti “i dati riguardanti lo stato di salute dell'interessato che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso. Questi comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria o della relativa prestazione di cui alla direttiva 2011/24/UE del Parlamento europeo e del Consiglio; un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari; le informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica, compresi i dati genetici e i campioni biologici; e qualsiasi informazione riguardante, ad esempio, una malattia, una disabilità, il rischio di malattie, l'anamnesi medica, i trattamenti clinici o lo stato fisiologico o biomedico dell'interessato, indipendentemente dalla fonte, quale, ad esempio, un medico o altro operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro” (cons. 35 del Regolamento).

Il Regolamento nel sancire un generico divieto al trattamento delle particolari categorie di dati, tra cui rilevano quelli relativi alla salute, ammette che essi possano essere trattati solo in presenza di una delle condizioni di cui all’art. 9, par. 2 (cfr. in particolare, l’art. 9, par. 2 lett. a), g), h) e i)).

Il titolare, chiamato al rispetto dei principi applicabili al trattamento, è tenuto altresì a mettere in atto “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”, tenendo conto, tra l’altro, “della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” (art. 32 del Regolamento).

La disciplina in materia di protezione dei dati personali prevede –in ambito sanitario- che le informazioni sullo stato di salute possano essere riferite solo all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso, previa delega scritta di quest’ultimo (cons. 35, art. 9 Regolamento e art. 83 del Codice, in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101; cfr. anche provv. generale del 9 novembre 2005, consultabile in www.gpdt.it , doc. web n. 1191411, art. 22, comma 4, del citato d.lgs. n. 101/2018).

In particolare, l’art. 83 del Codice, prevede che, tra gli altri, le strutture pubbliche che erogano prestazioni sanitarie debbano adottare “(...) idonee misure per garantire, nell'organizzazione delle prestazioni e dei servizi, il rispetto dei diritti, delle libertà fondamentali e della dignità degli interessati, nonché del segreto professionale, fermo restando quanto previsto dalle leggi e dai regolamenti in materia di modalità di trattamento dei dati sensibili e di misure minime di sicurezza”. Tali misure comprendono, in particolare:

il rispetto della dignità dell'interessato in occasione della prestazione medica e in ogni operazione di trattamento dei dati;

la messa in atto di procedure, anche di formazione del personale, dirette a prevenire nei confronti di estranei un'esplicita correlazione tra l'interessato e reparti o strutture, indicativa dell'esistenza di un particolare stato di salute;

A tale riguardo, si rinvia, altresì, agli articoli da 10 a 12 del Codice di deontologia medica relativi, rispettivamente a “segreto professionale”, “riservatezza dei dati personali” e “trattamento dei dati sensibili”.
Alla luce degli elementi acquisiti e delle dichiarazioni rese nel corso dell’istruttoria, è emerso che:

la condotta dell’infermiera ha comportato l’utilizzo di un numero di telefono diverso rispetto a quello indicato dalla paziente per eventuali contatti afferenti all’ultimo ricovero (in violazione dell’art. 5, par. 1 lett. d) del Regolamento);

la condotta dell’infermiera ha comportato l’esplicita correlazione, da parte di un soggetto terzo non legittimato, tra l’interessata e un determinato reparto di degenza indicativo, di uno specifico stato di salute (in violazione degli artt. 5, par. 1 lett. a) e 9 del Regolamento);

da tale condotta è, quindi, discesa una comunicazione di dati idonei a rivelare lo stato di salute dell’interessata effettuata non solo in assenza di idonea base giuridica ma anche in violazione dell’esplicito diniego della stessa a consentirne la conoscenza da parte di soggetti terzi (in violazione degli artt. 5, par. 1 lett. a) e 9 del Regolamento);

tale condotta, nel ledere la fiducia e l’affidamento dell’interessata nella struttura sanitaria alla quale si è rivolta, ha comportato altresì un trattamento di dati personali in violazione del principio di correttezza (in violazione degli artt. 5, par. 1 lett. a) del Regolamento);

la condotta è stata causata dall’inefficacia delle misure tecniche e organizzative implementate che si sono dimostrate inadeguate a tutelare la dignità degli interessati e ad assicurare il rispetto della volontà dei pazienti di non far conoscere, a soggetti terzi, notizie circa il proprio stato di salute in quanto non sussiste prova delle presenza di strumenti idonei ad assicurare il rispetto della volontà dell’interessata di essere contattata solo a un determinato numero di telefono (in violazione degli artt. 5, par. 1 lett. f) e 32 del Regolamento);

la mera specificazione, nel documento di attribuzione del ruolo di incaricato del trattamento, prima, e autorizzato del trattamento, poi, conferito all’infermiera, si è rivelata insufficiente a garantire l’effettività dei principi inerenti al trattamento dei dati personali, in particolare di correttezza e trasparenza, in quanto non corroborata da ulteriori adeguate misure tecniche e/o organizzative che tenessero nella dovuta considerazione il particolare contesto ospedaliero in cui siffatti trattamenti di dati personali, anche estremamente delicati, hanno luogo (la circostanza che un’infermiera di un reparto di ginecologia si trovi a doversi destreggiare contemporaneamente tra due o più pazienti non rappresenta infatti un evento imprevedibile) (in violazione dell’art. 5, par. 1, lett. f) e 32 del Regolamento);

con riferimento alla rilevata inadeguatezza delle misure tecniche e organizzative implementate occorre altresì considerare che l’interessata si era sottoposta a un trattamento terapeutico di interruzione volontaria di gravidanza per il quale il legislatore nazionale richiede esplicitamente che venga assicurato al più alto livello il rispetto della dignità e della riservatezza della donna, al punto che spetta solo a quest’ultima decidere se coinvolgere, o meno, il padre del nascituro nella decisione di interrompere la gravidanza (art. 5 legge 22 maggio 1978, n. 194);

la condotta dell’interessata non rileva ai fini della valutazione dell’illiceità del trattamento in relazione alla violazione occorsa. Ciò, in quanto, come, detto essa è imputabile all’inadeguatezza delle misure tecniche e organizzative implementate che è possibile giudicare in quanto tale, a prescindere sia dalla supposta incidenza causale della condotta dell’interessata sugli eventi, che dal fatto che il marito della stessa abbia appreso in altro modo della causa del ricovero (in violazione dell’art. 5, par. 1, lett. f) e 32 del Regolamento).

4. Conclusioni

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni si confermano le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Azienda USL della Romagna nei termini di cui in motivazione, per la violazione degli artt. 5, par. 1, lett. a), d) e f), 9 e 32, par. 1, lett. b) del Regolamento.

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 4 e 5 del Regolamento, ai sensi degli artt. 58, par. 2, lett. i).

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che l’Azienda si è impegnata a implementare un sistema informatizzato di gestione dei numeri di telefono dei pazienti ricoverati, nonché a predisporre una modulistica unica aziendale “con la quale i pazienti (...) possono esprimere la loro volontà di comunicare o non comunicare” informazioni sul proprio stato di salute ai terzi e introdotto una specifica policy aziendale per “le corrette modalità di comunicazioni a terzi delle informazioni di salute dei pazienti ricoverati”, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice)

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La violazione degli artt. 5, par. 1, lett. a), d) e f), e 9 del Regolamento è soggetta all’applicazione della sanzione amministrativa pecuniaria, di cui all’art. 83, par. 5, lett. a) del Regolamento, mentre la violazione dell’art. 32, par. 1 lett. b) alla sanzione di cui all’art. 83, par. 4, lett. a) del Regolamento.

Al riguardo, in forza dell’art. 83, par. 3, del Regolamento, nel caso di specie – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – la violazione delle disposizioni citate, determinata dalla condotta dell’Azienda, è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2, del Regolamento in relazione ai quali si osserva che:

- l’illiceità del trattamento è connotata da una particolare gravità e ha prodotto un impatto dannoso notevolmente elevato sulla vita privata dell’interessata (art. 83, par. 2, lett. a) del Regolamento);

- il trattamento dei dati effettuato dall’Azienda ha riguardato dati idonei a rilevare lo stato di salute (art. 83, par. 2, lett. g) del Regolamento);

- la condotta è imputabile alla colpa dell’Azienda, nella misura in cui risulta dimostrato che non sono state implementate misure tecniche e organizzative efficaci e adeguate ad assicurare il rispetto della volontà dei pazienti di non far conoscere a soggetti terzi notizie circa il proprio stato di salute (art. 83, par. 2, lett. b), d) del Regolamento);

- in ragione dell’estrema delicatezza dell’intervento di interruzione volontaria di gravidanza, il vigente regime giuridico prevede, a garanzia della dignità delle interessate, un sistema rafforzato di tutele (art. 83, par. 2, lett. k) del Regolamento; cfr. l. 174 del 1978);

- le considerazioni sopra svolte circa la peculiarità di questo intervento sanitario sono tali da riconoscere all’interessata una posizione di particolare vulnerabilità (art. 83, par. 2, lett. k) del Regolamento);

- l’Autorità ha preso conoscenza dell’evento a seguito della tempestiva notifica di violazione dei dati personali effettuata dallo stesso titolare e non sono pervenuti reclami o segnalazioni al Garante sull’accaduto (art. 83, par. 2, lett. a) e h) del Regolamento);

- la violazione ha riguardato un singolo interessato (art. 83, par. 2 lett. a) del Regolamento);

- l’Azienda ha reagito all’evento, impegnandosi nella implementazione di nuove misure tecniche e organizzative per la gestione dei numeri di telefono dei pazienti ed è stata adottata una specifica policy per assicurare l’effettività del diritto degli interessati a non disvelare a soggetti terzi notizie correlate alla propria degenza in ospedale;

- l’Azienda, nonostante lo stato emergenziale dovuto dalla pandemia da Covid-19 in corso, si è dimostrata estremamente collaborativa con l’Autorità in fase istruttoria non mancando mai di fornire riscontri puntuali e tempestivi;

- l’assenza di dolo da parte dell’Azienda nella causazione dell’evento (art. 83, par. 2, lett. b) del Regolamento);

- l’immediata presa in carico della problematica a cui è seguita l’individuazione di soluzioni correttive e risolutive (art. 5, par. 2 e art. 83, par. 2, lett. c) e d) del Regolamento);

- l’Azienda ha fin da subito dimostrato un elevato grado di cooperazione con l’Autorità e non risultano, altresì precedenti violazioni pertinenti commesse dal titolare del trattamento né sono stati precedentemente disposti provvedimenti di cui all’art. 58 del Regolamento (art. 83, par. 2, lett. c), d) e f) del Regolamento);

In ragione dei suddetti elementi, valutati nel loro complesso, tenendo anche conto della fase di prima applicazione delle disposizioni sanzionatorie, ai sensi dell’art. 22, comma 13, del d. lgs. 10/08/2018, n. 101, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 50.000,00 (cinquantamila), per la violazione degli artt. 5, par. 1, lett. a) d) f), 9 e 32, par. 1 lett. b) del Regolamento quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, in considerazione della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIO’ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dall’Azienda, per la violazione degli artt. 5, par. 1, lett. a), d), f), 9 e 32, par. 1 lett. b) del Regolamento, nei termini di cui in motivazione;

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, infligge all’Azienda con sede legale in Via De Gasperi, 8-48121 Ravenna CF/P.IVA 02483810392, di pagare la somma di euro 50.000,00 (cinquantamila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento secondo le modalità indicate in allegato, entro 30 giorni dalla notifica in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Azienda, di pagare la somma di 50.000,00 (cinquantamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981. Al riguardo, si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato –di un importo pari alla metà della sanzione irrogata, entro 30 giorni dalla data della notifica del presente provvedimento (cfr. anche art. 10, comma 3, del d. lgs n. 150 dell’1/9/2011).

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 27 gennaio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei