g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Ordinanza ingiunzione o revoca
  4. Provvedimento del 6 giugno 2024 [10039453]

Provvedimento del 6 giugno 2024 [10039453]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 10039453]

Provvedimento del 6 giugno 2024

Registro dei provvedimenti
n. 337 del 6 giugno 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE” (di seguito “Codice”);

VISTO il d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore l’avv. Guido Scorza;

PREMESSO

1. Il reclamo e la notifica di violazione

Con nota del XX XX ha formulato un reclamo con il quale ha lamentato una violazione della disciplina in materia di protezione dei dati personali da parte della Azienda Usl Romagna, di seguito “Azienda”, derivante dalla trasmissione dei suoi dati personali relativi all’infezione da HIV al Dipartimento dell’amministrazione penitenziaria-Direzione casa circondariale di Rimini.

In particolare nel predetto reclamo, corredato da specifica documentazione, è stato rappresentato che la reclamante, rispetto alla quale era stata accertata una invalidità nella misura del 75%, era assistita dal genero, il quale aveva richiesto all’amministrazione presso la quale prestava servizio, Amministrazione Penitenziaria del Ministero della Giustizia-Casa circondariale di Rimini, i benefici previsti dalla legge 5 febbraio 1992, n. 104. La predetta Amministrazione, nell’intento di procedere ad accertamenti a campione riguardo l’autenticità dei verbali di accertamento dello stato di persona con handicap grave ai sensi dell’art. 3, comma 3, della citata legge n. 104/1992 prodotti da personale dipendente che fruiva dei benefici previsti dalla predetta norma, chiedeva all’Azienda, di “confermare o meno l’esistenza agli atti di un verbale di accertamento dello stato di handicap relativo alla persona della” reclamante. A seguito di tale richiesta, l’Azienda forniva riscontro trasmettendo “«copia del verbale di L 104/92 presente nel fascicolo AUSL della XX». La copia del verbale inoltrato (…) con la predetta comunicazione era costituita dalla riproduzione fotografica integrale del verbale della Commissione Medica “in chiaro”, totalmente leggibile e senza alcun tipo di mascheramento, con l’anamnesi completa e la valutazione dell'handicap. Da tale verbale, (…), inoltrato all’amministrazione carceraria in versione completa e integralmente leggibile, emerge inequivocabilmente che tra le patologie patite dalla sottoscritta risulta anche l’infezione HIV e la nefropatia HIV relata”.

A seguito della richiesta di informazioni di questo Ufficio del XX (prot. n. XX), l’Azienda ha fornito riscontro con nota del XX, dichiarando che:

- “occorre rilevare che la richiesta del XX proveniente dalla Direzione della Casa Circondariale di Rimini è stata inizialmente riscontrata in data 13 novembre dalla Segreteria invalidi civili sede di Cesena – afferente all’U.O. Medicina Legale e Gestione del Rischio - informando dell’esistenza di un verbale datato XX e comunicando, nel contempo, la valutazione contenuta nel verbale stesso”;

- “in data XX perveniva, tuttavia, dalla Casa Circondariale di Rimini, con mail inviata direttamente alla Segreteria invalidi civili di Cesena, l’espressa richiesta di trasmissione del verbale del XX onde consentire i dovuti accertamenti, alla quale l’operatore della Segreteria invalidi civili, indotto dalla natura di Pubblica Amministrazione del soggetto richiedente a ritenere dovuto il positivo riscontro anche nello spirito di collaborazione tra enti, rispondeva in data 16 dicembre inviando il verbale richiesto contenente, sul retro, per mero errore materiale, anche anamnesi ed esame obiettivo in chiaro”;

- “quanto al contesto nell’ambito del quale è avvenuto l’accidentale invio, come noto, l’autunno XX è stato un momento di particolare recrudescenza della pandemia di Covid e la Segreteria invalidi civili di Cesena si trovava in una situazione di particolare sofferenza per la carenza di personale dovuta a provvedimenti di quarantena per positività Covid, a causa della quale gli unici operatori presenti hanno dovuto farsi carico di attività anche non di loro stretta competenza, come avvenuto nel caso di specie”;

- “avuta conoscenza dell’evento, l’Azienda ha adottato una serie di azioni migliorative, che si aggiungono alle misure tecniche e organizzative già in essere al momento dell’evento (…), volte a garantire una maggiore tutela dei dati personali nello specifico ambito di riferimento. Sono stati, infatti, organizzati incontri e riunioni di servizio in relazione ai percorsi e alle modalità operative di rilascio di copie di documenti e verbali delle commissioni medico legali, con particolare riferimento alle regole da rispettare in materia di riservatezza e tutela dei dati sanitari e tutela rafforzata dei dati relativi all’infezione da HIV, inoltre, vengono tenuti periodici momenti formativi/informativi con gli operatori amministrativi della U.O, al fine del regolare aggiornamento sulle disposizioni normative e sui regolamenti aziendali in materia. Oltre a ciò, la Direzione dell’U.O. Medicina Legale e Gestione del Rischio ha previsto che l’incarico di Funzione di riferimento e la Segreteria Centrale di U.O. monitorino e gestiscano tutte le richieste pervenute e i relativi riscontri, e ha adottato precise disposizioni rivolte a tutti gli operatori amministrativi affinché, per la gestione delle richieste di accesso e per ogni caso di particolare rilevanza e delicatezza, facciano sempre riferimento al titolare dell’Incarico di Funzione e alla Segreteria Centrale”;

- “non si ravvisa (…), da parte di questa Azienda alcuna violazione di diritto, ma il solo mero errore materiale di un operatore non specificamente addestrato al riscontro di richieste di documentazione, determinato dalla situazione particolarmente critica sopra meglio descritta”;

- “a fronte dell’evento avverso in contesto, questa Azienda ha posto in essere misure tecniche e organizzative volte a una maggiore sicurezza dei dati personali e al puntuale rispetto della normativa in materia”.

In relazione alla questione oggetto del reclamo, l’Azienda aveva, in data XX, notificato una violazione dei dati personali, dichiarando, tra l’altro, che:

- “la segreteria invalidi civili, sede di Cesena della U.O. Medicina legale e gestione del rischio in data XX trasmetteva alla Casa Circondariale di Rimini, su specifica istanza della medesima volta all’accertamento dei requisiti per il diritto al beneficio dei permessi L.104/92 di un suo dipendente, verbale relativo alla L.104/92 riferito a familiare dello stesso. Il documento inviato erroneamente conteneva sul retro anche anamnesi ed esame obiettivo in chiaro. Ciò è dipeso dalla disattenzione dell’operatore che non ha disattivato la funzione stampa fronte/retro, producendo quindi la stampa del verbale per l’interessato (dove i dati sanitari sono omessi) e sul retro dello stesso foglio risulta stampato parte del verbale seguente della medesima persona contenente i dati sanitari. Va chiarito che il fatto è accaduto in un momento particolarmente critico per l’emergenza della seconda ondata COVID19. Infatti la segreteria invalidi sede di Cesena lavorava a risorse ridotte a causa di provvedimenti di quarantena per positività COVID richiedendo il supporto di altri operatori non specificamente addetti al supporto segretariale delle Commissioni di invalidità, come avvenuto nella fattispecie in contesto”;

- “con la Legge 102/2009, dal 1.1.2010, il processo amministrativo per il riconoscimento dell’invalidità civile, handicap, cecità e sordità è in capo all’INPS compreso anche l’invio dei verbali delle visite, fungendo la stessa anche da organo di verifica mentre in capo alle Asl è rimasta l'organizzazione della parte sanitaria (costituzione delle Commissioni e organizzazione delle sedute)”.

2. Valutazioni del Dipartimento sul trattamento effettuato e notifica della violazione di cui all’art. 166, comma 5 del Codice

In relazione ai fatti descritti nel reclamo e nella notifica di violazione, l’Ufficio, con nota dell’XX (prot. n. XX), ha notificato all’Azienda, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitandola a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981). Ciò, in quanto è stato ritenuto che l’Azienda ha effettuato un trattamento di dati sulla salute, ivi compresi quelli relativi all’infezione da HIV, in violazione dei principi di base del trattamento di cui all’art. 5 par. 1, lett. c) e f) del Regolamento, degli obblighi in materia di sicurezza previsti dall’art. 32 del medesimo Regolamento, nonché dell’art. 75 del Codice, in relazione alle specifiche disposizioni di settore riguardanti gli interventi urgenti per la prevenzione e la lotta contro l’AIDS (art. 5, comma 4 e art. 1, comma 2, legge 5 giugno 1990, n. 135).

Con nota del XX, l’Azienda ha fatto pervenire le proprie memorie difensive, nelle quali, nel confermare quanto già espresso con nota del XX, ha evidenziato, in particolare, che:

- “in data XX questa Azienda riceveva una richiesta di risarcimento danni da parte del difensore dei sigg. XX e XX in relazione all’erronea comunicazione alla Direzione della Casa Circondariale di Rimini di dati sanitari della XX”;

- “a seguito di istruttoria interna si apprendeva che:  - in data XX perveniva dalla Direzione della Casa Circondariale di Rimini una richiesta di verifica dell’autenticità del verbale di accertamento dell’handicap della XX; - a tale richiesta rispondeva la Segreteria Invalidi Civili di Cesena in data 13 novembre informando dell’esistenza di un verbale datato XX e comunicando, nel contempo, la valutazione contenuta nel verbale stesso; - seguiva una ulteriore missiva della Direzione della Casa Circondariale di Rimini del XX, inviata per mail direttamente alla Segreteria Invalidi di Cesena, con richiesta di trasmissione del verbale relativo alla L.104/92 della  XX redatto il XX, al fine di consentire i dovuti accertamenti;  - la Segreteria Invalidi rispondeva alla Casa Circondariale in data XX inviando il verbale richiesto, che conteneva, nel retro, anche anamnesi ed esame obiettivo in chiaro”;

- “si ritiene opportuno evidenziare che l’erroneo invio di copia integrale del verbale è avvenuta in un contesto emergenziale caratterizzato da una eccezionale e contingente carenza di personale connessa alla pandemia da Covid. Esaminando il caso concreto si rileva che l’erroneo invio del verbale in doppia facciata,  comunicazione avente ad oggetto i dati sanitari di un singolo interessato, è avvenuta a fronte del sollecito proveniente dalla Casa Circondariale, a seguito del quale l’operatore amministrativo, che si è dovuto fare carico di attività non rientranti nella propria competenza, agendo in sostituzione dei colleghi assenti per provvedimenti di quarantena, indotto dalla natura di Pubblica Amministrazione del soggetto richiedente a ritenere dovuto il riscontro immediato, per spirito di leale collaborazione tra pubbliche amministrazioni, ed a seguito di sollecito,  ha trasmesso il verbale contenente, per mero errore materiale nella riproduzione (stampa) dello stesso, anche dati sanitari della XX”; 

- “con riguardo alla gravità della violazione, analizzandola alla luce dei criteri esplicitati dalle Linee guida sulla notifica delle violazioni dei dati personali adottate dal Working Party articolo 29 il 3 ottobre 2017 – versione emendata in data 6 febbraio 2018 - si desume come in caso di perdita di riservatezza per erronea comunicazione dei dati a un soggetto terzo, possa assumere rilevanza la circostanza che il destinatario della comunicazione goda di una certa “affidabilità”. Anzi, nelle medesime Linee guida è esplicitato che “il fatto che il destinatario sia affidabile può neutralizzare la gravità delle conseguenze della violazione” in quanto “anche se i dati fossero stati consultati, il titolare del trattamento potrebbe comunque confidare nel fatto che il destinatario non intraprenderà ulteriori azioni in merito agli stessi”.

Nella fattispecie in esame, data l’incontestabile natura di pubblica amministrazione della Casa Circondariale, destinatario della erronea comunicazione di dati sanitari a tutela rafforzata, appare evidente che la violazione non avrebbe dovuto comportare rischio di alcun pregiudizio per l’interessata se i dati fossero stati trattati dall’Amministrazione ricevente nel rispetto, cui essa stessa è tenuta, dei principi del Regolamento UE”;

- “non è nemmeno ipotizzabile alcun dolo, trattandosi di invio accidentale, peraltro isolato, e configurante un caso eccezionale, dipeso dal mero errore materiale dell’operatore, che sostituiva l’effettivo titolare delle funzioni, che ha riscontrato la richiesta di verbale integrale proveniente dalla Casa Circondariale”;

- “nel contesto ordinario di operatività – al di fuori, quindi, della situazione emergenziale descritta – gli operatori della Segreteria Invalidi Civili di Cesena che hanno in carico le comunicazioni a INPS, debitamente autorizzati al trattamento dei dati, effettuano le comunicazioni disattivando la funzione di stampa “fronte/retro” producendo la stampa del verbale per l’interessato in maniera tale che i dati sanitari siano omessi”;

- “nel caso di specie l’operatore, non addetto alla mansione in questione e dunque scarsamente avvezzo a riscontrare tale tipologia di richieste, essendosi fatto carico del riscontro in sostituzione dei colleghi assenti per quarantena per positività covid, ha provveduto a inviare alla Casa Circondariale la copia del verbale con i dati sanitari omessi senza accorgersi che questa nel retro riportava parte del verbale successivo con dati sanitari in chiaro”;

- “alla luce della complessità della situazione contingente in cui è trovato l’operatore della Segreteria Invalidi Civili, si ritiene che l’asserito pregiudizio subito dalla reclamante, non debba essere ritenuto fonte di responsabilità per questa Azienda Sanitaria trattandosi di errore scusabile in quanto incolpevole e, poiché, non dipeso da negligenza ma dalla estrema complessità della situazione venutasi a creare, scriminato dalla buona fede ex art. 3 L. 681/1989”;

- “tutto il personale dipendente dell’Azienda, nonché tutti coloro che sono a vario titolo inseriti all’interno dell’organizzazione con svolgimento di operazioni di trattamento dei dati, è stato nominato “Autorizzato” al trattamento con il rilascio delle istruzioni inerenti il corretto trattamento dei dati personali. Al momento delle sopra descritte circostanze, verificatesi, come specificato, per una situazione di natura non ordinaria caratterizzata da una eccezionale e contingente carenza di personale nell’ufficio competente, erano in essere in Azienda anche specifiche misure tecniche e organizzative volte ad assicurare la protezione dei dati personali con particolare riferimento alla situazione in contesto; tuttavia, tali specifiche istruzioni non erano conosciute dall’operatore che ha riscontrato la richiesta della Casa Circondariale, trovatosi, (…), a sostituire in emergenza gli operatori ordinariamente  preposti a tale attività, assenti per provvedimenti di quarantena per positività Covid”;

- “non appena avuta conoscenza dell’erronea comunicazione dei dati alla Casa Circondariale, l’Azienda si è attivata prontamente ponendo in essere azioni migliorative per evitare il verificarsi di ulteriori analoghe non conformità”;

- “si rileva inoltre che l’accidentale invio è avvenuto in seguito al sollecito di richiesta del verbale integrale da parte della Casa Circondariale, soggetto tenuto a rispettare gli stessi principi che reggono l’azione amministrativa di ciascuna pubblica amministrazione e quindi anche tenuto alla protezione dei dati personali”.

3. Esito dell’attività istruttoria

Preso atto di quanto rappresentato dall’Azienda nella documentazione in atti, nelle memorie difensive, si osserva che:

1. il Regolamento prevede un generale divieto di trattare dati sulla salute degli interessati; il citato divieto non si applica ove sussista uno dei presupposti giuridici indicati nell’art. 9, par. 2 del Regolamento e, in particolare, se il trattamento è necessario per assolvere specifici obblighi “in materia di diritto del lavoro […] nella misura in cui sia autorizzato dal diritto […] in presenza di garanzie appropriate” (art. 9, par. 2, lett. b), del Regolamento) e per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l'essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato (art. 9, par. 2, lett. g) del Regolamento). Alla luce del Codice, il predetto trattamento è ammesso qualora sia previsto dal diritto dell’Unione europea ovvero, nell'ordinamento interno, da disposizioni di legge o di regolamento o da atti amministrativi generali che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato. Il Codice ha considerato rilevante l’interesse pubblico relativo a trattamenti effettuati da soggetti che svolgono compiti di interesse pubblico o connessi all’esercizio di pubblici poteri nelle attività socio-assistenziali a tutela dei minori e soggetti bisognosi, di tutela dell’integrazione sociale e dei diritti dei disabili, nonché di instaurazione, gestione ed estinzione di rapporti di lavoro (art. 2-sexies, commi 1 e 2, lett. s) e aa), dd) del Codice);

2. il Ministero della Giustizia ha adottato un regolamento recante “Disciplina del trattamento dei dati sensibili e giudiziari da parte del Ministero della Giustizia, adottato ai sensi degli articoli 20 e 21 del D.Lgs. 30 giugno 2003, n. 196” su cui il Garante ha espresso parere favorevole (provv. 18 maggio 2006), nel quale è previsto che, in relazione alla gestione del personale di Polizia Penitenziaria, “i dati relativi alla salute dei familiari possono essere raccolti esclusivamente ai fini della concessione di particolari benefici al dipendente, previsti dalla legge” (scheda n. 7);

3. per quanto concerne la disciplina in materia di permessi per l’assistenza a portatori di handicap in situazione di gravità, l’art. 33, comma 3, della legge n. 104 del 1992, prevede che “il lavoratore dipendente, pubblico o privato, ha diritto a fruire di tre giorni di permesso mensile retribuito coperto da contribuzione figurativa, anche in maniera continuativa, per assistere una persona con disabilità in situazione di gravità, che non sia ricoverata a tempo pieno, rispetto alla quale il lavoratore sia coniuge, parte di un’unione civile ai sensi dell'articolo 1, comma 20, della legge 20 maggio 2016, n. 76, convivente di fatto ai sensi dell’articolo 1, comma 36, della medesima legge, parente o affine entro il secondo grado”; l’art. 7-bis della citata legge, introdotto dall’art. 24 della legge 4 novembre 2010, n. 183 prevede che: “ferma restando la verifica dei presupposti per l’accertamento della responsabilità disciplinare, il lavoratore di cui al comma 3 decade dai diritti di cui al presente articolo, qualora il datore di lavoro o l’INPS accerti l’insussistenza o il venir meno delle condizioni richieste per la legittima fruizione dei medesimi diritti”;

4. l’art. 71 del D.P.R. 28 dicembre 2000, n. 445, recante “Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa” prevede che “le amministrazioni procedenti sono tenute ad effettuare idonei controlli, anche a campione in misura proporzionale al rischio e all’entità del benefìcio, e nei casi di ragionevole dubbio, sulla veridicità delle dichiarazioni di cui agli articoli 46 e 47, anche successivamente all’erogazione dei benefici, comunque denominati, per i quali sono rese le dichiarazioni. I controlli riguardanti dichiarazioni sostitutive di certificazione sono effettuati dall’amministrazione procedente con le modalità di cui all'articolo 43 consultando direttamente gli archivi dell’amministrazione certificante ovvero richiedendo alla medesima, anche attraverso strumenti informatici o telematici, conferma scritta della corrispondenza di quanto dichiarato con le risultanze dei registri da questa custoditi” (commi 1 e 2);

5. la predetta normativa, così come tutte le disposizioni dell’ordinamento nazionale, deve essere interpretata e applicata alla luce della disciplina dell’Unione europea in materia di protezione dei dati personali (art. 22, comma 1, del d.lgs. 10 agosto 2018, n. 101), con particolare riferimento ai principi applicabili al trattamento di dati personali, enucleati dall’art. 5 del Regolamento;

6. al riguardo, il titolare del trattamento è tenuto a rispettare il principio di «minimizzazione», secondo il quale i dati personali devono essere “adeguati, pertinenti e imitati a quanto necessario rispetto alle finalità per le quali sono trattati”, nonché quello di «integrità e riservatezza», secondo i quali i dati devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (art. 5, par. 1, lett. c) e f) del Regolamento). L’adeguatezza di tali misure deve essere valutata da parte del titolare del trattamento rispetto alla natura dei dati, all’oggetto, alle finalità del trattamento e al rischio per i diritti e le libertà fondamentali degli interessati, tenendo conto dei rischi che derivano dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso a dati personali (art. 32, par. 1 e 2 del Regolamento, Considerando n. 83);

7. il Garante, in più occasioni, ha avuto modo di precisare, a tutela dei disabili, che, “in attuazione dei principi di pertinenza, di non eccedenza e indispensabilità, nelle certificazioni richieste dall’interessato […] non risulta indispensabile indicare i dati personali relativi alla diagnosi accertata in sede di visita medica” (Provv. 21 marzo 2007, doc. web n. 1395821; vedi anche provv.ti 21 aprile 2009, doc. web n. 1616870; 9 novembre 2005, doc. web n. 1191411;  punto 4.2. provv. 16 febbraio 2011, doc. web n. 1792975; cfr. anche provv. 4 luglio 2013, n. 331, doc. web n. 2536504, nel quale è stato ribadito che è necessario che le commissioni mediche rilascino, ai fini del rilascio del contrassegno invalidi nonché per le agevolazioni fiscali relative ai veicoli previsti per le persone con disabilità, una copia del verbale con l’omissione delle parti dedicate alla descrizione dei dati anamnestici, all’esame obiettivo e alla diagnosi della persona con disabilità);

8. il legislatore ha previsto una tutela rafforzata per il trattamento dei dati relativi all’infezione da HIV, da un canto, disponendo l’obbligo di comunicare i risultati di accertamenti diagnostici diretti o indiretti per la predetta infezione alla sola persona cui tali esami si riferiscono, dall’altro, introducendo l’obbligo, a carico dell’operatore sanitario e di ogni altro soggetto che venga a conoscenza di un caso di AIDS ovvero di infezione di HIV, di adottare ogni misura o accorgimento per la tutela dei diritti della persona e della sua dignità (art. 5, comma 4 e art. 1, comma 2, legge 5 giugno 1990, n. 135; sul punto, cfr. anche sent. Cass. civile, sez. III, 30 gennaio 2009, n. 2468, secondo la quale “a norma della (…) l. art. 5, comma 1, è onere del personale sanitario dimostrare di avere adottato tutte le misure occorrenti allo scopo di garantire il diritto del paziente alla riservatezza e di evitare che i dati relativi all’esito del test ed alle condizioni di salute del paziente medesimo possano pervenire a conoscenza dei terzi”);

9. la predetta disposizione normativa rientra nelle specifiche disposizioni di settore fatte salve dall’art. 75 del Codice, che riassume le condizioni del trattamento dei dati personali in ambito sanitario. Il descritto regime di riservatezza è stato, peraltro, più volte ribadito dal Garante nell’ambito di diversi interventi, qualificando tali dati tra quelli soggetti “a maggiore tutela dell’anonimato” (parere su schema di decreto in materia di fascicolo sanitario elettronico, del 22 maggio 2014, doc. web n. 3230826; Linee guida in materia di Dossier sanitario, del 4 giugno 2015, doc. web n. 4084632).

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ si rappresenta che gli elementi forniti dall’Azienda nella notifica di violazione e nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con il citato atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Come sopra descritto, l’omessa adozione di una misura volta a verificare il contenuto degli allegati da trasmettere ha comportato la trasmissione, da parte dell’Azienda, del verbale comprensivo dei dati relativi all’infezione da HIV della reclamante, al Dipartimento dell’amministrazione penitenziaria-Direzione casa circondariale di Rimini, presso il quale il genero della reclamante, che aveva richiesto i  benefici previsti dall’art. 3, comma 3, della legge n. 104/1992 per assistere la stessa in relazione alla sua invalidità, prestava la propria attività professionale. Ciò ha comportato un trattamento di dati sulla salute in violazione del principio di minimizzazione; nel rispetto del predetto principio, infatti, l’Azienda avrebbe dovuto fornire all’Amministrazione richiedente la conferma della sussistenza o meno del requisito della gravità dell’invalidità della donna, richiesto dalla normativa per accedere ai descritti benefici, ma non anche l’intera documentazione, comprensiva della diagnosi, con anamnesi e esame obiettivo, in chiaro. Inoltre, nel rispetto del principio di integrità e riservatezza dei dati e dell’obbligo di adottare misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, in considerazione della particolare categoria dei dati trattati, soggetti a maggior tutela, l’Azienda avrebbe dovuto fornire specifiche istruzioni all’operatore chiamato a effettuare il trattamento in esame. Sul punto, con riferimento all’errore in cui sarebbe incorso l’operatore, non si ravvisa la condizione che permette di affermare che il medesimo errore sia stato inevitabile e incolpevole, tale cioè da essere evitato con l’ordinaria diligenza. Alla luce di consolidata giurisprudenza della S.C. (Cass. n. 7885/2011, Cass. n. 16320/2010, Cass. n. 19759/2015, Cass. n. 33441/2019 e Cass. n. 17822/2021), ai fini dell’applicazione dell’invocato art. 3 della legge n. 689/1981 è necessario che la buona fede o l’errore si fondino su un elemento positivo, estraneo all’agente e idoneo a determinare in lui la convinzione della liceità del suo comportamento (errore scusabile). Tale elemento positivo deve risultare non ovviabile dall’agente con l’uso dell’ordinaria diligenza. Nel caso di specie, l’operatore debitamente istruito avrebbe potuto diligentemente accertare, attraverso un più accurato controllo, di non aver disattivato la funzione stampa fronte/retro, evitando così di allegare, oltre alla stampa del verbale per l’interessato (dove i dati sanitari sono omessi), anche la parte del verbale contenente l’anamnesi e l’esame obiettivo in chiaro (cfr. anche Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023, par. 4.2.2., nel quale si evidenzia che talune circostanze, tra le quali l’errore umano, “possono essere indicative di negligenza”).

Pertanto, considerato che le argomentazioni addotte dall’Azienda non risultano idonee ad escludere la sua responsabilità in relazione a quanto contestato, si rileva l’illiceità del trattamento di dati personali effettuato dal titolare, nei termini di cui in motivazione.

In tale quadro, considerato, in ogni caso, che la condotta ha esaurito i suoi effetti e che l’Azienda ha dichiarato di essersi attivata prontamente ponendo in essere azioni migliorative per evitare il ripetersi della condotta lamentata, non ricorrono i presupposti per l’adozione di provvedimenti, di tipo prescrittivo o inibitorio, di cui all’art. 58, par. 2, del Regolamento.

4. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i) e 83 del Regolamento; art. 166, comma 7, del Codice). 

La violazione degli artt. 5, par. 1, lett. c) e f) e 32 del Regolamento, nonché dell’art. 75 del Codice, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5 del Regolamento.

Si consideri che il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, sulla base degli elementi previsti dall’art. 83, par. 2, del Regolamento.

Alla luce di quanto sopra illustrato e, in particolare, della categoria di dati personali interessata dalla violazione, che rientrano nei dati considerati a maggior tutela, del numero di soggetti interessati (1) e del carattere non intenzionale della violazione, si ritiene che il livello di gravità della violazione commessa dalla Azienda sia alto (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023, punto 60).

Ciò premesso, valutati nel loro complesso taluni elementi e, in particolare, che:

- il Garante ha preso conoscenza dell’evento a seguito della notifica di violazione effettuata dall’Azienda, ai sensi dell’art. 33 del Regolamento, e da un successivo reclamo da parte dell’interessata (art. 83, par. 2, lett.  h) del Regolamento);

- il titolare, al fine di evitare la ripetizione dell’evento occorso, si è impegnato nell’implementazione dell’attività di formazione degli operatori autorizzati al trattamento dei dati personali (art. 83, par. 2, lett. c) e f) del Regolamento);

- l’Azienda è stata già destinataria di provvedimenti sanzionatori in relazione a violazioni pertinenti (provv. 27 gennaio 2021, n. 36, doc. web n. 9544504 e 27 maggio 2021, n. 211, doc. web n. 9682619) (art. 83, par. 2, lett. e) del Regolamento);

- la violazione ha riguardato una specifica articolazione interna del titolare del trattamento e non la complessiva organizzazione dello stesso e ed è stata determinata da un errore di un operatore (art. 83, par. 2, lett. k) del Regolamento);

- il fatto si è verificato nell’ambito di un impiego nelle attività di segreteria, di personale non ordinariamente preposto a tale attività, nell’ambito di una modifica organizzativa assunta dall’Azienda nel periodo pandemico, per far pronte alle assenze degli operatori, coinvolti da provvedimenti di quarantena per positività al Sars CoV 2 (art. 83, par. 2, lett. k) del Regolamento);

si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5 del Regolamento, nella misura di euro 24.000,00 (ventiquattromila) per la violazione degli artt. 5 e 32 del medesimo Regolamento, nonché dell’art. 75 del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dalla Azienda Usl Romagna, per la violazione dei principi di base del trattamento di cui all’art. 5, par. 1, lett. c) e f) e degli obblighi di cui all’art. 32 del Regolamento, nonché dell’art. 75 del Codice, nei termini di cui in motivazione;

ORDINA

all’Azienda Usl Romagna, con sede legale in Sede Legale: Via De Gasperi n. 8 – 48121 Ravenna, C.F./P.IVA n. 02483810392, di pagare la somma di euro 24.000,00 (ventiquattromila/00) a titolo di sanzione amministrativa pecuniaria, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, per la violazione indicata nel presente provvedimento; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Azienda, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 24.000,00 (ventiquattromila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981;

DISPONE

la pubblicazione per intero del presente provvedimento sul sito web del Garante, ai sensi dell’art. 166, comma 7, del Codice, e ritiene che ricorrano i presupposti per l’annotazione nel registro interno dell’Autorità di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 6 giugno 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
10039453
Data
06/06/24

Argomenti

Aziende sanitarie Diagnosi HIV Invalidità

Tipologie

Ordinanza ingiunzione o revoca