g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di ASST di Lodi - 10 marzo 2022 [9763968]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9763968]

Ordinanza ingiunzione nei confronti di ASST di Lodi - 10 marzo 2022

Registro dei provvedimenti
n. 84 del 10 marzo 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito il “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante il “Codice in materia di protezione dei dati personali”, contenete disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito il “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. La notifica di violazione

Con nota prot. n. XX del XX, la ASST di Lodi, con sede legale in Lodi, Piazza Ospitale 10, c.a.p. 26900 - C.F. 09322180960 (d’ora in avanti l’”Azienda sanitaria”) ha notificato a questa Autorità - ai sensi dell’art. 33 del Regolamento - una violazione di dati personali verificatasi in data 23 marzo 2021.

In particolare, l’Azienda sanitaria ha dichiarato che la violazione, avvenuta nel corso dello svolgimento delle attività istituzionali relative all’URP aziendale, ha riguardato una comunicazione di dati relativi alla salute “da parte di un’operatrice dell’Ufficio relazioni con il pubblico a una persona diversa da quelle indicate dall’interessata”. Ciò, in quanto “l’operatrice dell’URP, temendo che i due nominativi che l’interessata aveva chiesto di contattare per l’esecuzione di esame diagnostico urgente da parte di altra struttura ospedaliera non fossero raggiungibili, conoscendo di persona un altro soggetto vicino all’interessata (familiare) ha comunicato a questa persona i dati di salute dell’interessata”.

Nell’atto di notifica è stato, altresì, dichiarato che la violazione ha ad oggetto dati relativi alla salute e che il titolare del trattamento ha preso conoscenza della violazione in data 31 marzo 2021 per il tramite del DPO. Tale comunicazione al titolare oltre le 72 ore previste dal Regolamento è dipesa dall’aver organizzato un incontro con i due soggetti delegati dall’interessata.

L’Azienda sanitaria ha ritenuto la violazione di media gravità in quanto “la persona che è venuta a conoscenza dei dati è un familiare (nuora) e pertanto si ritiene che non ne abbia fatto un utilizzo pregiudizievole per l’interessata”.

Per porre rimedio agli effetti pregiudizievoli per l’interessata, l’Azienda sanitaria ha “organizzato un incontro con i familiari delegati dall’interessata, per far comprendere le motivazioni – tutte relative alla tutela sanitaria urgente della stessa – che hanno animato l’azione che ha dato luogo alla violazione”. Inoltre, l’Azienda medesima ha assicurato che “oltre a porre in essere le dovute misure disciplinari per la dipendente, si accentuerà l’azione formativa e informativa sui dipendenti e collaboratori aziendali; a livello di Struttura in cui si è verificato l’evento, si porranno in essere modifiche alla procedura e azioni di miglioramento in relazione alle modalità di comunicazione con il pubblico, già in parte immediatamente individuate”.

Nel documento “Relazione su evento che ha comportato una notifica di violazione”, del 31 marzo 2021, a firma del Responsabile della protezione dei dati della Azienda sanitaria, inviato all’Autorità unitamente alla sopra citata notifica di violazione, tale Azienda ha, altresì, illustrato, dettagliatamente, le circostanze che hanno indotto l’operatrice dell’Urp ad assumere la condotta determinante la violazione in oggetto, asserendo, fra altro, che “l’Azienda riconosce che alla signora E. non dovevano essere comunicate notizie sullo stato di salute della signora P. in mancanza di un esplicito consenso da parte della stessa (…)(;) va comunque rilevato che l’unico obiettivo dell’operatrice è stato quello di rispondere alla richiesta urgente di assistenza di una persona fragile poiché anziana, con problemi di salute ed in difficoltà anche oggettiva per l’esecuzione dell’indagine. L’empatia un po’ più “personale” che si è creata a seguito della scoperta della parentela in comune ha probabilmente fatto abbassare il livello di attenzione, normalmente molto alto nella struttura aziendale dedicata alle Relazioni con il Pubblico”.

2. L’attività istruttoria

Sulla base di quanto rappresentato dal titolare del trattamento nell’atto di notifica di violazione e nella sopra citata relazione di accompagnamento del 31 marzo 2021, l’Ufficio, con atto del XX (prot. n. XX), ha notificato all’ASST di Lodi, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del Regolamento.

In particolare, nel predetto atto è stato rappresentato dall’Ufficio che l’Azienda sanitaria ha effettuato un trattamento di dati personali in assenza dei presupposti previsti dalla legge, consistente nella comunicazione di dati relativi alla salute di una paziente a un soggetto terzo, non autorizzato dall’interessata; ciò, in violazione del divieto sancito dall’art. 9, par. 1, del Regolamento e nell’inosservanza degli obblighi di sicurezza di cui all’art. 32 del Regolamento e dei principi di base del trattamento di cui all’art. 5, par. 1, lett. f) del Regolamento medesimo.

In relazione a ciò, l’Ufficio ha, altresì, invitato tale titolare del trattamento a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

Con nota del XX, l’Azienda sanitaria ha presentato una memoria difensiva, nella quale, ribadendo quanto già comunicato con l’atto di notifica di violazione, ha evidenziato, fra altro, che: 

- il fatto è “assolutamente colposo, in quanto l’operatrice ha spontaneamente comunicato, in assoluta onestà ma pur sempre senza autorizzazione, dati relativi alla salute dell’interessata”;

- “il fatto si è svolto nell'interesse della signora/utente interessata, in quanto l’operatrice, preoccupata che l’esame assolutamente necessario e urgente, non potesse essere eseguito a causa della possibilità di una perdita di chiamata in arrivo da parte dell'Ospedale di Melegnano, ha pensato di essere più tempestiva e avvertire così la propria cugina, nonché nuora dell’interessata, comunicandole inevitabilmente lo stato di salute della suocera”;

-  è stato impostato un “Piano formativo su tutta la popolazione aziendale e azione di miglioramento della consapevolezza della dipendente. Per porre rimedio alla violazione, si è organizzato un incontro con i familiari delegati dall’interessata, per far comprendere le motivazioni - tutte relative alla tutela sanitaria urgente della stessa - che hanno animato l’azione che ha dato luogo alla violazione”.

3. Esito dell’attività istruttoria

Preso atto di quanto rappresentato e documentato nel corso del procedimento istruttorio dalla ASST di Lodi, dapprima con l’atto di notifica di violazione e dalla relazione a questo allegata e, successivamente, con la memoria difensiva prodotta a seguito dell’atto notificato dall’Autorità medesima ai sensi dell’art. 166, si osserva che:

1. il trattamento di dati personali deve avvenire nel rispetto della normativa applicabile in materia di protezione dei dati personali e, in particolare, delle disposizioni del Regolamento e del Codice. Con particolare riferimento alla questione prospettata, si evidenzia che i “dati relativi alla salute”, come delineati dall’art. 4, par. 15 del Regolamento, meritano una maggiore protezione dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e per le libertà fondamentali degli interessati (Considerando n. 51 del Regolamento);

2. in ambito sanitario, le informazioni sullo stato di salute possano essere comunicate unicamente all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o previa delega scritta dell’interessato (art. 9 Regolamento e art. 84 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101);

3. la disciplina in materia di protezione dei dati personali stabilisce, poi, che i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (principio di “integrità e riservatezza”)” (art. 5, par. 1, lett. f) del Regolamento). L’adeguatezza di tali misure deve essere valutata da parte del titolare del trattamento in modo da “garantire un livello di sicurezza adeguato al rischio”, tenendo conto, tra l’altro, “della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” (art. 32 del Regolamento).

L’Azienda sanitaria, nelle memorie difensive, ha confermato l’avvenuta comunicazione dei dati relativi alla salute di una paziente a un soggetto terzo non autorizzato a riceverli; in relazione a ciò, oltre a organizzare un incontro con i familiari delegati dall’interessata e a porre in essere misure disciplinari per la dipendente, ha programmato eventi formativi in materia di protezione dei dati personali per tutti i dipendenti dell’Azienda.

4. Conclusioni

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni si confermano le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dalla ASST di Lodi per aver comunicato dati relativi alla salute di una paziente a un soggetto terzo non autorizzato dall’interessata a riceverli. La comunicazione dei predetti dati sulla salute è, pertanto, avvenuta in assenza dei presupposti giuridici previsti dalla normativa a tutela dei dati personali e, quindi, in violazione del divieto sancito dall’art. 9, par. 1, del Regolamento e nell’inosservanza degli obblighi di sicurezza di cui all’art. 32 del Regolamento e dei principi di base del trattamento di cui all’art. 5, par. 1, lett. f) del Regolamento medesimo.

La violazione delle predette disposizioni rende applicabile, ai sensi dell’art. 58, par. 2, lett. i), la sanzione amministrativa prevista dall’art. 83, par. 4, lett. a) e par. 5, lett. a) del Regolamento, come richiamato anche dall’art. 166, comma 1 e 2, del Codice.

In tale quadro, considerando, in ogni caso, che sono state adottate misure da parte del titolare del trattamento, il quale, al riguardo, oltre a porre in essere misure disciplinari per la dipendente,  ha programmato eventi formativi in materia di protezione dei dati personali per i dipendenti dell’Azienda sanitaria per evitare il ripetersi della condotta contestata, non ricorrono i presupposti per l’adozione di provvedimenti, di tipo prescrittivo o inibitorio, di cui all’art. 58, par. 2 del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, par. 1, lett. f), 9 e 32 del Regolamento causata dalla condotta posta in essere dalla ASST di Lodi, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 4, lett. a) e par. 5, lett. a) del Regolamento e 166, comma 1 e 2, del Codice.

Si consideri che il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2, del Regolamento medesimo, in relazione ai quali si osserva che:

- la comunicazione dei dati ha riguardato una paziente interessata la quale non ha presentato reclami o rimostranze all’Autorità (art. 83, par. 2, lett. a) del Regolamento);

- la comunicazione effettuata dalla Azienda sanitaria ha coinvolto un solo destinatario e ha riguardato dati sulla salute della sopra citata paziente (art. 83, par. 2, lett. a) e g) del Regolamento);

- si è trattato di un caso isolato che non ha riguardato altri interessati e rispetto alla vicenda il Titolare del trattamento ha più volte rappresentato l’assenza di dolo nell’accadimento in quanto  “il fatto si è svolto nell'interesse della signora/utente interessata, in quanto l’operatrice, preoccupata che l’esame assolutamente necessario e urgente, non potesse essere eseguito a causa della possibilità di una perdita di chiamata in arrivo da parte dell'Ospedale di Melegnano, ha pensato di essere più tempestiva e avvertire così la propria cugina, nonché nuora dell’interessata, comunicandole inevitabilmente lo stato di salute della suocera”(cfr. memoria difensiva del XX (art. 83, par. 2, lett. b) del Regolamento);

- nei confronti della Azienda sanitaria medesima non sono stati in precedenza adottati provvedimenti riguardanti violazioni pertinenti (art. 83, par. 2, lett. e) del Regolamento);

- l’Azienda ha tenuto un comportamento collaborativo con l’Autorità (art. 83, par. 2, lett. f) del Regolamento);

- l’Azienda si è attivata nell’adozione di misure volte a scongiurare il ripetersi dell’accaduto (art. 83, par. 2, lett. f) del Regolamento);

- l’Azienda sanitaria ha notificato tale violazione all’Autorità ai sensi dell’art. 33 del Regolamento (art. 83, par. 2, lett. h) del Regolamento);

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 4 lett. a) e par. 5, lett. a) del Regolamento, nella misura di euro 1.000,00 (mille) per la violazione degli artt. 5, par. 1, lett. f), 9 e 32 del Regolamento quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione, sul sito web del Garante, del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dalla ASST di Lodi, con sede legale in Lodi, Piazza Ospitale 10, c.a.p. 26900 - C.F. 09322180960 per la violazione degli art. 5, par. 1, lett. f), 9 e 32 del Regolamento nei termini di cui in motivazione;

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, alla ASST di Lodi, di pagare la somma di euro 1.000,00 (mille) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Azienda sanitaria, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 1.000,00 (mille) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’Autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 10 marzo 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei