g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Azienda provinciale per i servizi sanitari di Trento - 21 aprile 2021 [9678507]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9678507]

Ordinanza ingiunzione nei confronti di Azienda provinciale per i servizi sanitari di Trento - 21 aprile 2021

Registro dei provvedimenti
n. 155 del 21 aprile 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n.9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n.1098801;

Relatore l’avv. Guido Scorza;

PREMESSO

1. La violazione dei dati personali e l’attività istruttoria

L’Autorità ha ricevuto una segnalazione e due reclami in merito al trattamento di dati personali effettuato dall’Azienda provinciale per i servizi sanitari di Trento (di seguito Azienda) mediante il dossier sanitario aziendale (denominato “Sistema Informatico Ospedaliero” - SIO). In particolare, sono stati segnalati ripetuti accessi al dossier da parte di personale sanitario che, sebbene autorizzato al trattamento, non era coinvolto nel processo di cura dei soggetti a cui i dossier sanitari si riferivano.

1.1  Reclami in ordine a ripetuti accessi al dossier sanitario aziendale di due soggetti legati da vincoli affettivi

Nel mese di febbraio e di luglio 2020, l’Autorità ha ricevuto due reclami, rispettivamente da parte della sig.ra XX e del compagno sig. XX, in merito a ripetuti accessi ai loro dossier sanitari aziendali effettuati -tra il 2017 e il 2019- da personale del reparto di radiologia diagnostica dell’Ospedale S. Lorenzo di Borgo Valsugana (afferente alla predetta Azienda) che, secondo quanto riportato dagli stessi reclamanti, risultano essere analoghi e connessi.

In relazione ai predetti reclami l’Ufficio, nel disporre la riunione dei procedimenti, ha richiesto informazioni all’Azienda (note del 24.6.2020, prot. n. 23217 e del 15.7.2020, prot. n. 26426), la quale ha fornito riscontro con nota del 13 agosto 2020 (prot. n. 117264). In tale atto l’Azienda ha riconosciuto che ai dossier sanitari dei reclamanti ha avuto accesso il dott. XX, XX, e ha rappresentato che:

in merito alla consultazione del dossier sanitario della sig.ra XX, il dott. XX, con relazione dell’11 marzo 2020, ha affermato che “il sottoscritto e la Sig.ra XX dalla fine di gennaio 2016 abbiamo vissuto una relazione sentimentale, durante la quale in più occasioni sono stato autorizzato – sempre solo verbalmente, come avviene solitamente in situazioni simili - a consultare i sui dati sanitari, al fine di prenotare visite specialistiche ed esami. Se ben ricordo ho emesso anche una o più impegnative. Il fatto che anche in tempi recenti abbia effettuato accessi è correlato ad uno stato di affettiva preoccupazione per il suo stato di salute. Ovviamente non ho mai diffuso o comunicato a terzi i dati sanitari della Sig.ra XX”. Al riguardo, l’Azienda ha specificato che: “il dott. XX, seppur da sistema non risulta avesse in carico l’interessata, ha acceduto ai dati della signora XX perché ha utilizzato, sotto la propria responsabilità, alcune delle motivazioni previste nel SIO per finalità di tutela della salute e di seguito riportate: “Controllo anamnestico su richiesta del curante o per completamento diagnostico”, “Esigenze clinico assistenziali pre visita specialistica” e “Esigenze diagnostiche”;

in merito alla consultazione del dossier sanitario del sig. XX, il dott. XX ha affermato che “che gli accessi al SIO relativi al sig. XX, di cui se ne chiede giustificazione, sono avvenuti per errore”;

“in relazione ai possibili profili di rilevanza disciplinare emersi nell’ambito dell’istruttoria condotta sui casi di cui sopra è stato investito l’Ufficio procedimenti disciplinari aziendale (UPD) che ha attivato nei confronti del dott. XX un procedimento disciplinare, tutt’ora in corso”;

“con riferimento ai medesimi soggetti coinvolti nei presenti reclami, risulta in corso un procedimento penale, (…) con riferimento al quale “l’APSS forniva la documentazione relativa agli accessi effettuati dal dott. XX al dossier sanitario della signora XX e del signor XX”.

In relazione alle risultanze della predetta attività istruttoria, l’Ufficio, con atto n. 33864 del 15 settembre 2020, ha notificato all’Azienda provinciale per i servizi sanitari di Trento, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, paragrafo 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

In particolare, l’Ufficio, nel predetto atto, nel richiamare gli obblighi dell’Azienda, in qualità di titolare del trattamento, di consentire l’accesso al dossier sanitario solo al personale che a vario titolo interviene nel processo di cura dell’interessato, ha rappresentato che il dott. XX, medico operante presso la predetta Azienda, ha acceduto ai dossier sanitari della sig.ra XX e del suo attuale compagno Sig. XX in assenza di un idoneo presupposto giuridico e all’insaputa degli stessi e, quindi, in violazione dei principi di base del trattamento di cui agli artt. 5 e 9 del Regolamento.

Con nota del 15 ottobre 2020 (prot. n. 150669), l’Azienda ha fatto pervenire le proprie memorie difensive, in cui, in particolare, è stato rappresentato che:

il procedimento disciplinare nei confronti del dott. XX “si è estinto per cessazione del rapporto di lavoro tra APSS e il Dirigente medico in questione, ai sensi dell’art. 55 bis, comma 9, D.Lgs. 165/2001, ferme restando le responsabilità civili e penali in capo allo stesso medico e il diritto alla rivalsa dell’Amministrazione nel caso di eventuali richieste risarcitorie”;

“Non appena venuta a conoscenza degli accessi, l’Azienda ha intrapreso diverse iniziative (…) volte a migliorare le misure tecniche ed organizzative relativamente alle modalità di accesso al DSE e che prevedono modifiche al Sistema Informativo Ospedaliero (SIO), secondo le indicazioni contenute nelle Linee Guida in materia di Dossier sanitario elettronico di codesta Ill.ma Autorità del 4 giugno 2015”;

“Nell’ambito del SIO, all’epoca dei fatti oggetto dei presenti reclami, l’accesso ai referti poteva avvenire oltre che attraverso la presenza di un contatto aperto (accesso pronto soccorso, ricovero ospedaliero, prestazione consulenza e visita ambulatoriale) anche attraverso l’interfaccia “SIO - Storico Referti” inserendo una delle motivazioni codificate nel sistema”;

“Sul versante delle azioni di miglioramento delle misure tecniche ed organizzative intraprese dall’APSS, con decorrenza dal 15 ottobre 2020 è stata introdotta una prima misura che prevede la disabilitazione per la generalità degli operatori dell’interfaccia “SIO – Storico Referti”. Ne consegue che, in ragione di tale modifica, l’accesso ai referti può ora avvenire per finalità di tutela della salute solo da parte degli operatori abilitati che hanno in essere un contatto aperto con l’assistito (accesso pronto soccorso, ricovero ospedaliero, prestazione consulenza e visita ambulatoriale) e che quindi intervengono a vario titolo nel processo di cura del paziente. La funzione “SIO – Storico Referti” rimane quindi attiva esclusivamente per un numero ristretto di operatori specificatamente abilitati in quanto impiegati in specifici settori di attività che richiedono necessariamente l’accesso alla documentazione sanitaria degli utenti anche in assenza di un contatto diretto con gli stessi (…). Si precisa che l’implementazione di tali nuove regole sarà completata entro il 1° dicembre 2020”;

“L’Azienda, anche a seguito delle segnalazioni pervenute, intende implementare una procedura per l’effettuazione di controlli a campione, nel rispetto della normativa a tutela dei lavoratori, volti a verificare che i comportamenti degli operatori nell’utilizzo del SIO siano conformi alla disciplina in materia di protezione dei dati personali e alle procedure aziendali. In data 13 ottobre 2020 il Direttore generale ha altresì trasmesso a tutto il personale una comunicazione via e-mail per sensibilizzare lo stesso sui comportamenti da adottare per il rispetto della riservatezza dei pazienti, richiamando le regole e le procedure aziendali in materia di protezione dei dati personali disponibili nella intranet aziendale nella “Sezione privacy”;

“Relativamente al carattere doloso o colposo della violazione (…), se dal punto di vista del profilo soggettivo dell’autore degli accessi può configurarsi dolo o colpa, da parte dell’APSS deve essere assolutamente esclusa ogni intenzionale lesione della riservatezza degli interessati”.

1.2. segnalazione in merito all’accesso al dossier sanitario da parte di personale medico non coinvolto nel percorso di cura dell’interessata

Nel mese di agosto 2020, l’Autorità ha ricevuto una segnalazione da parte della Sig.ra XX, con riferimento agli accessi effettuati al dossier sanitario dell’Azienda provinciale per i servizi sanitari di Trento denominato “Sistema Informatico Ospedaliero” (SIO). Secondo quanto segnalato, nel mese di aprile 2020 la sig.ra XX ha ricevuto 27 notifiche di accesso ai suoi dati sanitari tramite l'applicativo SIO effettuato da un medico in servizio presso una struttura ospedaliera di APSS di Trento. Con riferimento ai predetti accessi la segnalante ha prodotto una nota della citata Azienda in cui il “sanitario ammetteva la propria responsabilità, pur addebitandola ad errore incolpevole per omonimia” (nota dell’11 giugno 2020, prot. n. 85274).

In relazione alla predetta segnalazione, l’Ufficio ha richiesto informazioni all’Azienda (nota del 16 settembre 2020, prot. n. 34070), la quale ha fornito riscontro con nota del 16 ottobre 2020 (prot. n. 935332). In tale atto l’Azienda ha rappresentato che:

“la signora XX è venuta a conoscenza degli accessi in via autonoma in quanto, negli anni scorsi, l’Azienda aveva attivato alla stessa un servizio consistente nell’invio di un messaggio di notifica automatico (alert) che la avvisa in tempo reale di ogni accesso effettuato ai suoi dati tramite l’applicativo SIO quale misura di sicurezza, controllo e trasparenza”;

“in data 3 maggio 2020 comunicava alla signora gli esiti delle verifiche condotte dal Dipartimento Tecnologie, nonché quanto dichiarato dal medico interessato con riferimento agli accessi effettuati che sarebbero avvenuti per errore”;

“il medico interessato aveva acceduto ai dati della signora XX in un’unica occasione e non tramite molteplici accessi autonomi: nell’ambito di questo unico accesso ha poi visionato una pluralità di referti”;

“all’epoca dei fatti, l’accesso ai referti poteva avvenire oltre che attraverso la presenza di un contatto aperto (accesso pronto soccorso, ricovero ospedaliero, prestazione consulenza e visita ambulatoriale) anche attraverso l’interfaccia “SIO – Storico Referti”. Attraverso tale interfaccia l’operatore poteva ricercare la documentazione dell’assistito tramite nome, cognome e data di nascita, inserendo almeno tre lettere del nome e tre lettere del cognome dell’assistito. Una volta inseriti gli elementi per la ricerca (esempio: parte del nome e del cognome dell’assistito), il sistema proponeva una lista di assistiti che rispondevano ai criteri inseriti dall’operatore. I risultati della ricerca comparivano in una schermata distribuiti su varie righe, una per assistito, per facilitarne la lettura. Ogni riga conteneva le seguenti informazioni: cognome, nome, sesso, data di nascita, codice fiscale, comune di residenza e comune di nascita dell'assistito”;

“Selezionando un assistito dall’elenco dei risultati della ricerca, si apriva prima una scheda dettaglio assistito con i dati anagrafici completi. Successivamente tramite il pulsante “SIO - Storico pag. 3 Referti” il sistema proponeva una nuova schermata che richiedeva la selezione di una motivazione tra una lista predefinita (con compilazione del campo note obbligatorio) per l’accesso ai referti. Selezionata la motivazione, solo a quel punto compariva una schermata contenente l’elenco dei referti consultabili in base ai consensi espressi dall’assistito. Per poter visualizzare i contenuti di ogni referto è necessario selezionarlo e aprirlo per vederlo nella sua interezza nel formato originariamente prodotto. La ricerca di un assistito, così come la selezione di un referto in anteprima e l’apertura vengono registrati nei log dell’applicativo”;

“Ciò premesso, con riferimento ai casi di omonimia (stesso nome e cognome) o omocodia (casi in cui nome, cognome, data di nascita e luogo di nascita sono gli stessi e generano lo stesso codice fiscale per più di un assistito) si precisa quanto segue. I casi di omonomia/omocodia compaiono nella schermata dei risultati della ricerca assistiti contraddistinti da righe con sfondo rosso, differenziandosi dalle altre righe con sfondo bianco/giallo. Nell’ipotesi in cui viene selezionato un assistito appartenente ad una delle due tipologie descritte sopra (omonimia/omocodia), il sistema propone una schermata contenente esclusivamente i nominativi interessati, e richiede all’operatore di confermare la propria scelta”;

“Al fine di evitare che si ripetano episodi come quello segnalato sono state pianificate delle azioni di miglioramento al SIO volte a restringere l’accesso e quindi la visibilità ai referti degli assistiti, che porteranno anche ad una riduzione del rischio di erroneo accesso da parte degli operatori a documenti sanitari relativi a pazienti caratterizzati da omonimia od omocodia. Si precisa che l’implementazione di tali nuove regole sarà completata entro il 1° dicembre 2020”;

“L’Azienda, anche a seguito delle segnalazioni pervenute, ha programmato l’implementazione di una procedura per l’effettuazione di controlli a campione, nel rispetto della normativa di tutela dei lavoratori, volti a verificare che i comportamenti degli operatori siano conformi alla disciplina in materia di protezione dei dati personali e alle procedure aziendali”;

“In data 13 ottobre 2020 il Direttore generale ha altresì trasmesso a tutto il personale una comunicazione via e-mail per sensibilizzare lo stesso sui comportamenti da adottare per il rispetto della riservatezza dei pazienti, richiamando le regole e le procedure aziendali in materia di protezione dei dati personali disponibili nella intranet aziendale nella “Sezione privacy”.

In relazione alle risultanze della predetta attività istruttoria, l’Ufficio, con atto n. 39697 del 23 ottobre 2020, ha notificato all’Azienda provinciale per i servizi sanitari di Trento, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, paragrafo 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

In particolare, l’Ufficio, nel predetto atto, nel richiamare gli obblighi dell’Azienda, in qualità di titolare del trattamento, di consentire l’accesso al dossier sanitario solo al personale che a vario titolo interviene nel processo di cura dell’interessato, nonché quanto indicato nella notifica di violazione di cui all’art. 166, comma 5, del Codice già inviata alla predetta Azienda nell’ambito dell’istruttoria descritta nel precedente paragrafo, ha rappresentato che la configurazione del dossier sanitario effettuata dall’Azienda ha consentito a un medico operante presso la stessa di consultare, “tramite un unico accesso al sistema”, numerosi documenti sanitari della segnalante senza che fosse coinvolto nel percorso di cura della stessa interessata e, quindi, in violazione dei principi di base del trattamento di cui agli artt. 5, par. 1, lett. a) e f) e 9 del Regolamento.

Con nota del 20.11.2020 (prot. n. 175952) l’Azienda ha chiesto di essere sentita dall’Autorità e ha fatto pervenire le proprie memorie difensive, in cui, in particolare, è stato rappresentato l’avvio del “percorso di adeguamento” “sulle modalità di accesso allo storico referti attraverso il Sistema Informativo Ospedaliero (SIO)” che era stato già illustrato nelle memorie difensive inviate nell’ambito del procedimento istruttorio descritto nel precedente paragrafo, cui si rinvia.

In particolare, l’Azienda ha ribadito che “in data 15 ottobre 2020 ha proceduto con la disabilitazione dell’interfaccia “SIO - Storico Referti” e ha precisato che è stato attivato “un pulsante “Urgenza emergenza” per consentire agli operatori sanitari abilitati che operano in alcuni specifici contesti aziendali di accedere allo storico referti dell’assistito per gestire situazioni di emergenza urgenza (es. parere urgente del cardiologo richiesto in sala operatoria, inquadramento diagnostico del paziente in arrivo in PS etc.)”.

È stato evidenziato inoltre che l’Azienda è intervenuta anche “sugli applicativi dipartimentali (es. radiologia, laboratorio, gastroenterologia etc.) in modo che quando l’operatore ha in carico un paziente per l'esecuzione di una prestazione (es. TAC, risonanza), possa accedere al repository referti del SIO ai fini di inquadramento diagnostico in quanto lo stesso SIO “riconosce” il contatto aperto sull’applicativo dipartimentale”.

Con specifico riferimento al contesto emergenziale per la diffusione del Covid-19, l’Azienda ha rappresentato che, rispetto a quanto aveva precedentemente indicato nelle memorie difensive relative all’istruttoria indicata nel precedente paragrafo, il complesso di interventi “sul SIO ha tuttavia generato difficoltà di natura operativa segnalate da diversi professionisti sanitari, che hanno lamentato la difficoltà di accedere al repository referti anche in presenza di un contatto aperto con l’assistito. Gli operatori considerato che, nell’attuale contesto emergenziale il paziente spesso non si può recare fisicamente in ospedale, hanno altresì segnalato la necessità di dovere accedere alla storia clinica dell’assistito anche in assenza di una visita ambulatoriale attiva, per esempio per rispondere ad una richiesta urgente di parere del medico di medicina generale o ad una richiesta di consulto del paziente medesimo”.

È stato rappresentato, pertanto, che “a fronte di tali ripetute segnalazioni dei sanitari l’Azienda ha ritenuto opportuno nell’immediato, onde evitare un impatto sulla salute dei pazienti e tenuto conto del periodo di forte stress per le strutture sanitarie impegnate nell’affrontare l’emergenza Covid-19, ripristinare la precedente modalità di visibilità sullo Storico referti, programmando una più graduale introduzione delle misure sopra riportate. APSS ha quindi messo in atto le seguenti iniziative:

1. predisposizione di un documento con le istruzioni operative (Allegato 1) per il personale con le nuove regole per accedere al repository referti tramite il SIO;

2. prima dell’invio al personale il documento di cui al punto 1 è stato sottoposto ad un campione di medici al fine di raccogliere eventuali osservazioni o criticità;

3. invio al personale di mail informative (in data 3, 4 e 6 novembre 2020 - Allegato 2) sull’avvio di uno stress test in data 6 novembre e contestuale trasmissione delle istruzioni per pag. 3 accedere allo storico referti tramite il SIO;

4. effettuazione dello stress test in data 6 novembre 2020”.

L’Azienda ha inoltre evidenziato che “a seguito dello stress test, gli operatori hanno nuovamente lamentato difficoltà nel gestire in questo momento storico il cambiamento operativo introdotto, in ragione del carico di lavoro e della tensione emotiva a cui gli stessi sono sottoposti per la gestione della grave emergenza sanitaria in atto. L’Azienda ha quindi ritenuto nell’immediato, al fine di non aggravare la situazione degli operatori sanitari già provati dalla situazione di emergenza e in condizioni di stress lavorativo, di procedere con alcune misure mitigatorie del rischio, come di seguito descritte, riservando l’implementazione completa delle misure programmate alla cessazione dello stato di emergenza, e precisamente:

1. mantenere attivo il pulsante SIO-storico referti per finalità assistenziali in assenza di contatto aperto con il paziente (ricovero, visita ambulatoriale, accesso PS, consulenza, accesso diretto) condizionando l’accesso ai referti da parte dell’operatore alle seguenti regole, a garanzia della tutela della riservatezza degli assistiti (tali azioni sono da effettuarsi cumulativamente per ogni accesso effettuato):

− selezione di una delle motivazioni previste nel sistema, che ricalcano la casistica delle attività assistenziali da garantire al paziente (es. controllo anamnestico su richiesta del curante o per completamento diagnostico, esigenze clinico assistenziali pre visita specialistica, visione esami su richiesta del paziente, accertamento pre e post ricovero, esigenze clinico assistenziali servizi territoriali);

− compilazione obbligatoria di un campo note in cui specificare la legittimazione a svolgere l’attività in rapporto al singolo caso (es. parere urgente richiesto in sala operatoria, inquadramento diagnostico del paziente in arrivo in PS, richiesta del paziente o del curante di data X etc.);

− attivazione di un apposito flag nel sistema con il quale al momento dell’accesso l’operatore è reso consapevole che l’uso del pulsante SIO – storico referti è consentito solo per la tutela della salute del paziente, dichiarando che l’accesso è pertinente e necessario per l'attività assistenziale da erogare e di essere consapevole delle conseguenze in termini di responsabilità disciplinare, civile e penale in caso di falsa dichiarazione e quindi in caso di accesso improprio; (misura questa che si prevede di introdurre dal 1° dicembre 2020)

2. mantenere attivo il pulsante SIO-storico referti per finalità di interesse pubblico di cui all’art. 2 sexies del Codice privacy (es. richieste autorità giudiziaria, richieste di cartelle cliniche, attività epidemiologica) solamente per un numero limitato e definito di operatori specificatamente abilitati in rapporto al ruolo ricoperto, e secondo le regole e garanzie previste al punto 1;

3. attivazione immediata, previa preventiva informativa (…) al personale, di controlli a campione sugli accessi effettuati tramite il pulsante SIO storico referti;

4. proseguire con l’effettuazione di periodici stress test al fine di favorire una introduzione graduale e meno invasiva, considerato il contesto attuale, delle misure di adeguamento sopra descritte;

5. pianificare una attività di formazione e informazione per il personale che faciliti allo stesso l’introduzione delle nuove regole, da mettere in atto al termine della pandemia; Superato lo stato di emergenza l’APSS provvederà a completare l’adeguamento in oggetto.

In relazione alla richiesta dell’Azienda avanzata nella citata nota del 20.11.2020, in data 27 gennaio 2021, presso l’Ufficio del Garante, ai sensi degli artt. 166, commi 6 e 7, del Codice 18, comma 1, dalla legge n. 689 del 24/11/1981 si è svolta l’audizione della predetta Azienda, nel corso della quale la stessa ha ribadito quanto già rappresentato, precisando in particolar modo che:

“l’acuirsi dell’emergenza pandemica in corso, come indicato nelle citate memorie, ha portato a sospendere l’implementazione delle azioni sopra descritte. (…). Si è ritenuto opportuno nel contesto emergenziale in atto di non completare interamente le modifiche previste sulle procedure di accesso al SIO per gli operatori, al fine di rendere più celere il loro intervento sul Sistema. L’emergenza avrebbe reso poi complesso svolgere anche la necessaria attività formativa degli operatori. Al riguardo, si precisa che l’Azienda è l’unica operante sul territorio della Provincia, con un bacino di utenza di assistiti di 540.000 abitanti circa”;

“il completamento delle misure indicate nelle memorie difensive sul dossier sanitario avverrà entro tre mesi circa dal termine dello stato di emergenza in corso. Nelle more saranno avviate delle specifiche campagne di formazione al personale sanitario, nonché saranno implementati i controlli a campione sugli accessi effettuati al dossier”;

“le funzionalità del SIO non ancora implementate riguardano:

limitazione della possibilità di consentire l’accesso al dossier in assenza della presenza fisica dell’interessato (storicamente riferibile circa al 4% degli accessi) per specifiche cause solo a determinate categorie di operatori (es. dipartimenti di emergenza). L’implementazione di tale misura è stata sospesa in ordine alle difficoltà di effettuare le necessarie modifiche organizzative e le relative opportune campagne informative agli utenti nel contesto emergenziale;

adozione di una soluzione informatica utilizzabile da parte degli organi di controllo aziendale che evidenzi gli accessi che possano presentare elementi di anomalia, fino ad arrivare alla previsione di sistemi di allerta automatici”;

“la previsione di un accesso ai sistemi informativi diversificato per gli organi amministrativi aziendali, affinché gli stessi possano accedere, nei limiti delle attribuzioni previste per legge, ad una base informativa più completa rispetto a quella presente nel dossier sanitario aziendale”;

“Al 1° dicembre 2020 sono state invece già implementate le seguenti misure:

- riduzione delle fasce temporali di accesso da parte dell’operatore sanitario (limitazione della profondità temporale dell’accesso);

- forte riduzione della possibilità di accesso al SIO di pazienti in carico presso l’operatore che effettua l’accesso, ma che non siano in quel momento presenti fisicamente in Azienda, attraverso una limitazione della casistica consentita e prevedendo che l’operatore debba dichiarare la causa dell’accesso e debba prendere atto della relativa responsabilità di tali dichiarazioni;

- l’implementazione delle predette misure ha consentito di effettuare controlli più puntuali in merito agli accessi effettuati dagli operatori”.

Con successiva nota del 10 febbraio 2021 (prot. n. 26617), l’Azienda ha inviato il “Piano di adeguamento delle modalità di accesso allo storico referti attraverso il Sistema Informativo Ospedaliero (SIO)” in cui sono descritte dettagliatamente le fasi del processo di implementazione delle misure tecniche e organizzative da adottare con riferimento al dossier sanitario aziendale.

2. Esito dell’attività istruttoria.

Con riferimento ai trattamenti oggetto della citata segnalazione e dei predetti reclami, il Garante ha adottato le “Linee guida in materia di Dossier sanitario - 4 giugno 2015” (Provvedimento del 4.6.2015, pubblicato in G.U. 164 del 17 luglio 2015, consultabile su www.gpdp.it doc web n. 4084632), che, al pari degli altri provvedimenti dell’Autorità, continuano ad applicarsi anche dopo la piena applicazione del Regolamento, in quanto compatibili con lo stesso (art. 22, comma 4, d.lgs n. 101/2018).

Nelle predette Linee guida il Garante, al fine di scongiurare il rischio di un accesso alle informazioni trattate mediante il dossier sanitario da parte di soggetti non autorizzati o di comunicazione a terzi di dati sanitari da parte di soggetti a ciò abilitati, ha specificamente chiesto al titolare del trattamento di porre particolare attenzione nell’individuazione dei profili di autorizzazione e nella formazione dei soggetti abilitati, dovendo essere limitato l’accesso al dossier al solo personale sanitario che interviene nel processo di cura del paziente ed essere adottate modalità tecniche di autenticazione al dossier che rispecchino le casistiche di accesso a tale strumento proprie di ciascuna struttura sanitaria. A tal fine, nelle predette Linee guida, il Garante ha indicato ai titolari del trattamento di effettuare un monitoraggio delle ipotesi in cui il relativo personale sanitario può avere necessità di consultare il dossier sanitario, per finalità di cura dell’interessato e, in base a tale ricognizione, individuare i diversi profili di autorizzazione all’accesso.

L’accesso al dossier deve essere, pertanto, limitato al solo personale sanitario che interviene nel tempo nel processo di cura del paziente. Ciò significa che deve essere consentito l’accesso solo al personale che a vario titolo interviene nel processo di cura. L’accesso al dossier deve essere limitato, poi, al tempo in cui si articola il processo di cura, ferma restando la possibilità di accedere nuovamente al dossier qualora ciò si renda necessario in merito al tipo di trattamento medico da prestare all’interessato.

Ciò premesso, preso atto di quanto rappresentato dall’Azienda nelle memorie difensive relative ai procedimenti indicati nei precedenti punti 1.1 e 1.2, si osserva che:

1. gli accessi oggetto dei reclami di cui al paragrafo 1.1. non sono stati effettuati da un medico al fine di erogare prestazioni di cura agli interessati, bensì per altre ragioni con riferimento alle quali è in corso un procedimento penale;

2. gli accessi oggetto della segnalazione di cui paragrafo 1.2. sono stati effettuati da un medico a causa di un ripetuto errore di omonimia in fase di identificazione del paziente;

3. i predetti reclami e la citata segnalazione hanno permesso di evidenziare che le misure adottate dall’Azienda, con riferimento ai trattamenti effettuati attraverso il dossier sanitario aziendale, non hanno permesso di evitare la possibilità che il personale sanitario abilitato accedesse alla documentazione clinica di pazienti non in cura presso gli stessi, determinando un trattamento illecito dei dati personali riguardanti gli interessati, in violazione degli artt. 5 par. 1, lett. a) e f) e 9 del Regolamento;

4. in particolare, l’Azienda ha adottato misure tecniche e organizzative che si sono rilevate non pienamente adeguate al fine di garantire un’adeguata sicurezza e integrità dei dati personali, compresa la protezione da trattamenti non autorizzati come stabilito dall’art. 5, par. 1, lett. f), del Regolamento;

5.    l’Azienda ha implementato le misure volte a limitare l’accesso al dossier sanitario dei pazienti al solo personale sanitario che li ha in cura soltanto dopo aver accertato gli episodi oggetto dei predetti reclami e della citata segnalazione, individuando delle soluzioni logico- informatiche che si basano, di fatto, sulle indicazioni già fornite dal Garante nelle citate Linee guida del 2015 (cfr. par. 6 delle citate Linee guida) e ribadite nei provvedimenti adottati dall’Autorità in materia sin dal 2013 e pubblicati sul sito del Garante (cfr. provvedimenti del 10.1.2013 -doc. web n. 2284708, del 3.7.2014 -doc. web n. 3325808, del 23.10.2014 -doc. web n. 3570631, del 18.12.2014 – doc. web n. 3725976, del 22.10.2015 -doc web n. 4449114 e del 22.6.2016 – doc. web n. 5410033, da ultimo provvedimento del 23 gennaio 2020, doc. web n. 9269629). L’adozione preventiva di tali misure, anche alla luce dei principi di protezione dei dati fin dalla progettazione (privacy by design) e per impostazione predefinita (privacy by default) contemplati all’art. 25 del Regolamento, avrebbe potuto impedire (o limitare) i predetti accessi non autorizzati ai dossier sanitari aziendali oggetto dei citati reclami e della predetta segnalazione;

6. il percorso di implementazione delle misure tecniche organizzative sulle procedure di accesso al SIO per gli operatori sanitari è stato solo parzialmente completato, in ragione dell’esigenza di assicurare, nel contesto emergenziale in atto, che l’intervento degli operatori sul predetto sistema sia il più celere possibile, nonché di completare l’attività formativa in merito alle nuove procedure di accesso, la cui realizzazione si è resa maggiormente complessa nell’attuale quadro emergenziale;

7. con le misure già adottate dall’Azienda a seguito delle predette attività istruttorie sono state ridotte le fasce temporali di accesso al SIO da parte degli operatori sanitari, limitate le fattispecie di accesso al SIO con riferimento ai dossier dei pazienti non fisicamente presenti in Azienda e implementati i controlli in merito agli accessi effettuati dagli operatori;

8. ’Azienda ha dichiarato che il completamento delle predette misure avverrà entro tre mesi circa dal termine dello stato di emergenza in corso; in particolare, entro il predetto termine saranno ulteriormente limitate le fattispecie di accesso al SIO con riferimento ai dossier dei pazienti non fisicamente presenti in Azienda, adottate soluzioni informatiche che evidenzino gli accessi che possano presentare elementi di anomalia, e individuata una modalità di accesso ai sistemi informativi diversificato per gli organi amministrativi aziendali.

3. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive relative ai richiamati procedimenti non consentono di superare i rilievi notificati dall’Ufficio con gli atti di avvio dei procedimenti per l’adozione dei provvedimenti correttivi e sanzionatori, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni si rileva l’illiceità del trattamento di dati personali effettuato dall’Azienda provinciale per i servizi sanitari di Trento con riferimento ai predetti procedimenti avviati a seguito dei reclami e della segnalazione descritti nei punti 1.1 e 1.2 del presente provvedimento, nei termini di cui in motivazione, in particolare, per aver trattato dati personali in violazione degli artt. 5, par. 1, lett. a) e f), e 9 del Regolamento.

In tale quadro, considerando, in ogni caso, che in entrambi i procedimenti sopra descritti la condotta ha esaurito i suoi effetti, atteso che l’Azienda ha già implementato misure tecniche organizzative sulle procedure di accesso al dossier sanitario aziendale per gli operatori sanitari, nonché dichiarato che il completamento delle predette misure avverrà entro tre mesi dalla fine dello stato di emergenza per Covid-19, in considerazione del quale non è possibile procedere all’ultimazione delle stesse in tempi più brevi e che in merito ai fatti oggetto dei reclami citati nel paragrafi 1.1 del presente provvedimento è stata avviato un procedimento penale nei confronti dell’autore dell’accesso, non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

4. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, par. 2, lett. a) e f), e 9 del Regolamento, causata dalla condotta omissiva dell’Azienda provinciale per i servizi sanitari di Trento, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par.5, del Regolamento.

In considerazione del fatto che i predetti procedimenti riguardano il medesimo titolare, trattamenti di dati personali analoghi, verificatesi in un ristretto arco temporale e che l’Azienda nelle memorie difensive relative al procedimento di cui al paragrafo 1.2 ha fornito elementi concernenti anche il procedimento descritto nel par. 1.1 (cfr. nota del 20.11.2020, prot. n. 175952 citata), si ritiene opportuno adottare le rispettive sanzioni amministrative in un unico provvedimento (artt. 10, comma 4, e 19 del Regolamento del Garante n. 1/2019).

Si consideri che il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 85, par. 2, del Regolamento in relazione ai quali per entrambi i procedimenti si osserva che:

- l’Autorità ha preso conoscenza dell’evento a seguito di due reclami e di una segnalazione (art. 83, par. 2, lett. h) del Regolamento);

- nel caso del procedimento avviato a seguito della segnalazione (par. 1.2) l’interessata avuto notizia degli accessi (effettuati per errore più volte ma in un’unica occasione) al proprio dossier sanitario in virtù del sistema di alert adottato dall’Azienda (art. 83, par. 2, lett. a) del Regolamento);

- nel caso del procedimento avviato a seguito dei due reclami (par. 1.1) gli accessi sono stati effettuati intenzionalmente da un soggetto autorizzato in un arco temporale di tre anni (art. 83, par. 2, lett. a) del Regolamento);

- sebbene l’accesso al dossier sanitario dei reclamanti e della segnalante sia stato effettuato, in entrambi i procedimenti, da personale autorizzato dall’Azienda intenzionalmente -nel caso procedimento di cui al par. 1.1- e per errore -nella fattispecie descritta al par. 1.2- ciò è stato possibile in quanto le misure poste in essere dall’Azienda con riferimento ai trattamenti dati idonei a rilevare informazioni sulla salute effettuati attraverso il dossier sanitario aziendale non erano pienamente proporzionate al fine di garantire un’adeguata sicurezza e integrità dei dati personali e di scongiurare accessi non consentiti (art. 83, par. 2, lett. a), d) e g) del Regolamento);

- l’Azienda ha implementato le misure volte a limitare l’accesso al dossier sanitario dei pazienti solo al personale sanitario che li ha in cura soltanto dopo aver accertato gli episodi oggetto dei predetti reclami e segnalazioni, individuando delle soluzioni logico- informatiche che si basano, di fatto, sulle indicazioni già fornite dal Garante nelle citate Linee guida del 2015 (art. 83, par. 2, lett. a), b) e d) del Regolamento);

- gli eventi sono stati immediatamente presi in carico da parte dell’Azienda, cui è seguita l’individuazione di soluzioni correttive e risolutive che sono state quasi interamente adottate anche in concomitanza del contesto emergenziale in cui opera il titolare del trattamento (art. 83, par. 2, lett. c) del Regolamento);

- l’Azienda ha fin da subito dimostrato un elevato grado di cooperazione anche se fortemente impegnata alla gestione della situazione pandemica da Covid-19 (art. 83, par. 2, lett. f) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, per la violazione degli artt. 5, par. 1, lett. a) e f) e 9 del Regolamento nella misura:

- di 40.000 (quarantamila) per il procedimento descritto nel paragrafo 1.1; e

- di 10.000 (diecimila) per il procedimento descritto nel paragrafo 1.2;

quali sanzioni amministrative pecuniarie ritenute, ai sensi dell’art. 83, par. 1, del Regolamento, effettive, proporzionate e dissuasive.

Si ritiene, altresì, che debba applicarsi con riferimento ad entrambi i procedimenti esaminati la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato, in entrambi i procedimenti descritti, dall’Azienda provinciale per i servizi sanitari di Trento, per la violazione degli art. 5, par. 1, lett. a) e f) e 9 del Regolamento nei termini di cui in motivazione.

Al riguardo, si richiede, ai sensi dell’art. 157 del Codice, all’Azienda di comunicare entro tre mesi dalla cessazione dello stato di emergenza deliberato dal Consiglio dei Ministri l’avvenuto completamento delle misure tecniche organizzative indicate nel “Piano di adeguamento delle modalità di accesso allo storico referti attraverso il Sistema Informativo Ospedaliero (SIO)” trasmesso con nota del 10 febbraio 2021 (prot. n. 26617); l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, all’Azienda provinciale per i servizi sanitari di Trento, con sede in Trento, Codice fiscale/partita iva n. 01429410226, di pagare:

la somma di euro 40.000 (quarantamila) a titolo di sanzione amministrativa pecuniaria per le violazioni rilevate con riferimento ai reclami presentati dalla Sig.ra XX e dal Sig. XX indicate nel presente provvedimento;

la somma di euro 10.000 (diecimila) a titolo di sanzione amministrativa pecuniaria per le violazioni rilevate con riferimento alla segnalazione presentata dalla Sig.ra XX indicate nel presente provvedimento;

secondo le modalità indicate in allegato, entro 30 giorni dalla notifica in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà delle sanzioni comminate.

INGIUNGE

alla predetta Azienda, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare le somme di euro 40.000 (quarantamila) e 10.000 (diecimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 21 aprile 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei