g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Ordinanza ingiunzione o revoca
  4. Provvedimento del 23 marzo 2023 [9872621]

Provvedimento del 23 marzo 2023 [9872621]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9872621]

Provvedimento del 23 marzo 2023

Registro dei provvedimenti
n. 85 del 23 marzo 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE” (di seguito “Codice”);

VISTO il d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il prof. Pasquale Stazione;

PREMESSO

1. Il reclamo

Con nota del XX la signora XX, per il tramite dell’Avv. XX, ha formulato un reclamo avente ad oggetto la trasmissione, da parte dell’Azienda socio-sanitaria locale n. 1 di Sassari, in data XX (XX) di una mail rivolta alla predetta reclamante, ma ad un indirizzo e-mail non appartenente alla stessa. In particolare, la citata mail conteneva il provvedimento (nota protocollo n. XX) con il quale l’Ufficio ricoveri extra regione, Distretto sanitario di Sassari della predetta Azienda, autorizzava il ricovero extra regione della reclamante, affetta da problematiche di salute non curabili nel territorio della Regione Sardegna. Secondo quanto dichiarato e documentato dalla reclamante, il predetto documento, recante “Ricovero extra-regione in territorio nazionale. Concessione benefici ex L.R. n. 26/91”, trasmesso all’indirizzo mail: XX non riferibile alla reclamante, conteneva, oltre ai dati identificativi della stessa, anche l’indicazione dell’Istituto ospedaliero presso il quale effettuare le cure mediche e una serie di altri elementi, come, ad esempio, la presenza dell’accompagnatore.

L’Ufficio, pertanto, con nota del XX, prot. n. XX ha chiesto all’Azienda socio-sanitaria locale n. 1 di Sassari (reiterata nei confronti di ARES Sardegna con nota del XX, prot. n. XX), ai sensi dell’art. 157 del Codice, elementi di informazione utili alla valutazione del caso, con particolare riferimento al presupposto giuridico che avrebbe consentito la trasmissione del documento recante “Ricovero extra-regione in territorio nazionale. Concessione benefici ex L.R. n. 26/91”, comprensivo di allegati, ad un indirizzo e-mail appartenente ad un soggetto diverso dalla reclamante, nonché al rispetto del principio di integrità e riservatezza (art. 5, par. 1, lett. f) del Regolamento).

L’Azienda, nel prendere atto della nota di ARES Sardegna (n. XX del XX) che, alla luce della Legge Regionale della Sardegna n. 24/2020, di riforma del Servizio Sanitario Regionale e ai conseguenti atti, ha indicato la medesima Azienda socio-sanitaria locale n. 1 di Sassari quale soggetto competente a fornire riscontro alla richiesta di informazioni dell’Autorità, ha dichiarato che:

- “dalla ricostruzione dei fatti segnalati e dai relativi controlli effettuati, risulta che, in effetti, in data XX alle ore XX (…) è stata trasmessa una mail dall’Ufficio Ricoveri Extraregione del Distretto Sanitario di Sassari di questa Azienda Socio Sanitaria indirizzata alla casella di posta XX avente ad oggetto ricovero extra-regione in territorio nazionale. Concessione benefici economici ex L.R. 26/9. In allegato a detta mail è stata trasmessa, per mero errore materiale dell’operatore, la nota XX relativa ad altra assistita (nella fattispecie la segnalante XX) anziché la nota XX relativa all’assistita XX.”;

- “l’errore, peraltro è stato segnalato all’Ufficio Ricoveri Extraregione dal familiare della sig.ra XX con mail del XX (XX) (…) che successivamente ha provveduto alle dovute rettifiche” (mail del XX).

2. Valutazioni del Dipartimento sul trattamento effettuato e notifica della violazione di cui all’art. 166, comma 5 del Codice

In relazione ai fatti sopra descritti, l’Ufficio, con nota del XX (prot. n. XX) ha notificato all’Azienda socio-sanitaria locale n. 1 di Sassari, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitandola a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

In particolare, l’Ufficio, nel predetto atto, ha rappresentato che, sulla base degli elementi in atti, era risultato che l’Azienda aveva effettuato un trattamento di dati sulla salute della reclamante in violazione dei principi di base del trattamento di cui agli artt. 5 e 9 del Regolamento nonché degli obblighi in materia di sicurezza di cui all’art. 32 del Regolamento.

Con nota del XX, l’Azienda ha fatto pervenire le proprie memorie difensive, nelle quali, in particolare, ha evidenziato che:

- “la violazione è avvenuta una sola volta ed ha riguardato la trasmissione a mezzo mail di un allegato contenente dati di natura personale, oltreché sanitari, riferiti ad una assistita (autorizzazione alla fruizione di prestazioni in ambito extraregionale)”;

- “la violazione, per le modalità e le circostanze in cui si è verificata, non ha alcun carattere doloso in quanto ascrivibile a mero errore involontario da parte dell’operatore, che nell’atto di trasmissione della mail all’indirizzo XX ha erroneamente ed in buona fede sbagliato la documentazione da allegare, inviando la nota XX (riferita alla segnalante sig.ra XX) al posto della nota XX (riferita all’assistita XX)”;

- “che non risultano analoghe precedenti violazioni”;

- “che la violazione ha riguardato la categoria di dati personali e sanitari della segnalante i quali, in conseguenza della modalità di trasmissione come sopra descritta, sono stati involontariamente resi accessibili ad altra assistita che ha provveduto ad informare dell’accaduto l’ufficio mittente (ricoveri extraregione) che a sua volta ha provveduto alla corretta trasmissione della documentazione alle interessate”;

- “che non risultano essere stati precedentemente disposti provvedimenti di cui all’articolo 58, paragrafo 2, nei confronti del titolare del trattamento relativamente allo stesso oggetto”;

- “al fine di prevenire e limitare il verificarsi in futuro di tali violazioni, questa Azienda sta provvedendo ad organizzare apposite giornate formative, per il proprio personale, di approfondimento sui temi della privacy in generale e sulla Cyber Security in particolare”.

3. Esito dell’attività istruttoria

Preso atto di quanto rappresentato dall’Azienda nella documentazione in atti, nelle memorie difensive e nell’audizione, si osserva quanto segue:

1. per “dati relativi alla salute” si intendono i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute (art. 4, par. 1, n. 15, del Regolamento). Il Considerando n. 35 del Regolamento precisa poi che i dati relativi alla salute “comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria”;

2. la disciplina in materia di protezione dei dati personali prevede – in ambito sanitario - che le informazioni sullo stato di salute possono essere comunicate a terzi sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso, previa delega scritta di quest’ultimo (art. 9 Regolamento e art. 84 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101);

3. il titolare del trattamento è tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di «integrità e riservatezza», secondo il quale i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (art. 5, par. 1, lett. f) del Regolamento). L’adeguatezza di tali misure deve essere valutata da parte del titolare del trattamento rispetto alla natura dei dati, all’oggetto, alle finalità del trattamento e al rischio per i diritti e le libertà fondamentali degli interessati, tenendo conto dei rischi che derivano dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso a dati personali trasmessi, conservati o comunque trattati (art. 32, par. 1 e 2 del Regolamento);

4. la condotta dell’Azienda ha dato luogo a una comunicazione di dati relativi alla salute della reclamante che contrasta con i principi di base del trattamento di cui agli artt. 5 e 9 del Regolamento nonché con gli obblighi in materia di sicurezza di cui all’art. 32 del Regolamento.

4. Conclusioni

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ si rappresenta che gli elementi forniti dall’Azienda nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con il citato atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni si rileva l’illiceità del trattamento di dati personali effettuato dall’Azienda socio-sanitaria locale n. 1 di Sassari, nei termini di cui in motivazione, in particolare, per aver trattato dati personali in violazione dei principi di base del trattamento cui agli artt. 5 e 9 del Regolamento nonché degli obblighi in materia di sicurezza di cui all’art. 32 del Regolamento.

In tale quadro, considerato che la condotta ha esaurito i suoi effetti, non ricorrono allo stato i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i) e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, 9 e 32 del Regolamento è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 4 e 5, del Regolamento.

Si consideri che il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2, del Regolamento in relazione ai quali si osserva che:

- il trattamento ha riguardato dati idonei a rilevare informazioni sulla salute unicamente di un solo interessato (art. 83, par. 2, lett.  a) e g) del Regolamento);

- non risulta alcun atteggiamento intenzionale da parte del titolare, essendo la violazione, relativa ad un episodio isolato, avvenuta per errore nella individuazione della documentazione da allegare alla mail (art. 83, par. 2, lett. b) del Regolamento);

- l’Azienda ha dimostrato, in particolare, un elevato grado di cooperazione con l’Autorità e nei confronti della stessa non è stato in precedenza adottato alcun provvedimento per violazioni pertinenti (art. 83, par. 2, lett. e) e f) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 4 e 5 del Regolamento, nella misura di euro 4.000,00 (quattromila) per la violazione degli artt. 5, 9 e 32 del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dall’Azienda socio-sanitaria locale n. 1 di Sassari, con sede legale in Sassari, Via Alceo Catalocchino, 9 07100 - C.F./P. IVA 02884000908, per la violazione dei principi di base del trattamento, di cui agli artt. 5 e 9 del Regolamento nonché degli obblighi in materia di sicurezza di cui all’art. 32 del Regolamento, nei termini di cui in motivazione;

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, alla predetta Azienda socio-sanitaria locale n. 1 di Sassari, di pagare la somma di euro 4.000,00 (quattromila) a titolo di sanzione amministrativa pecuniaria per la violazione indicata nel presente provvedimento; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

alla predetta Azienda, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 4.000,00 (quattromila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 23 marzo 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei
 

 

 

Scheda

Doc-Web
9872621
Data
23/03/23

Argomenti

Sanità e ricerca scientifica Dati sanitari Aziende sanitarie Pazienti

Tipologie

Ordinanza ingiunzione o revoca

Vedi anche (10)