g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Azienda Sanitaria Locale n. 2 Lanciano-Vasto-Chieti - 11 febbraio 2021 [9567143]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9567143]

Ordinanza ingiunzione nei confronti di Azienda Sanitaria Locale n. 2 Lanciano-Vasto-Chieti - 11 febbraio 2021

Registro dei provvedimenti
n. 52 dell'11 febbraio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

Relatore l’avv. Guido Scorza;

PREMESSO

1. La violazione dei dati personali.

L’Azienda Sanitaria Locale n. 2 Lanciano-Vasto-Chieti ha notificato una violazione di dati personali, ai sensi dell’art. 33 del Regolamento, in relazione all’avvenuta spedizione, in formato cartaceo, di documentazione, contenente referti relativi ad esami ematici di un bambino, a un soggetto diverso da quello legittimato a riceverla.

Nella stessa occasione l’Azienda ha evidenziato che l’evento occorso è stato determinato da errore umano nell’imbustamento della documentazione; è stata, pertanto, diramata una circolare ai dipendenti dell’Unità Operativa Complessa coinvolta, al fine di richiamare gli stessi a prestare maggiore attenzione nel trattamento dei dati personali degli assistiti, con particolare riguardo alla fase di inoltro dei dati stessi (comunicazione del 1° agosto 2019).

2. L’attività istruttoria.

In relazione a quanto comunicato dall’Azienda, l’Ufficio, con atto del 4 ottobre 2019, prot. n. 0033855, ha notificato alla stessa Azienda, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitandola a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, l. n. 689 del 24 novembre 1981)

In particolare l’Ufficio, nel predetto atto ha preliminarmente rappresentato che:

- in ambito sanitario, le informazioni sullo stato di salute possono essere comunicate solo all’interessato e possono essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso, previa delega scritta di quest’ultimo (art. 9 Regolamento e art. 84 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101; cfr. anche provv. generale del 9 novembre 2005, consultabile in www.gpdt.it, doc. web n. 1191411, ritenuto compatibile con il suddetto Regolamento e con le disposizioni del decreto n. 101/2018; cfr. art. 22, comma 4, del citato d.lgs. n. 101/2018);

- i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)” (art. 5, par. 1, lett. f) del Regolamento).

Ciò premesso, sulla base degli elementi in atti, con il predetto atto del 4 ottobre 2019, l’Ufficio ha reputato che l’Azienda abbia effettuato una comunicazione di dati, relativi alla salute di un paziente pediatrico, in assenza di un idoneo presupposto giuridico e, quindi, in violazione dei principi di base del trattamento di cui agli artt. 5 e 9 del Regolamento.

Con nota del 31 ottobre 2019, l’Azienda ha fatto pervenire le proprie memorie difensive, comprensive del “Prospetto degli elementi da fornire all’Autorità per le valutazioni di cui all’art. 83, par. 2 del Regolamento”, nelle quali, in particolare, è stato rappresentato che:

a) la vicenda occorsa è consistita palesemente “in un mero errore umano nell’imbustamento della documentazione (referto ed esami ematici)” e “non vi è stato alcuno scambio incrociato di dati che possa aver interessato due o più soggetti; infatti i dati erroneamente trasmessi hanno avuto un solo destinatario”;

b) “quando si è preso atto dell’accaduto si è immediatamente provveduto a stampare il referto e a farlo pervenire all’avente diritto” nonché a chiedere “all’erroneo destinatario di distruggere la comunicazione sbagliata”; l’interessato non ha “ricevuto alcun disagio tanto da non avanzare richieste risarcitorie, non manifestare doglianze né reclami per l’accaduto”;

c) si è trattato del “primo evento in 10 anni su un totale di circa 30000 pazienti trattati”;

d) è stata adottata una “più stringente procedura per il rilascio dei referti”.

3. Esito dell’attività istruttoria

Premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice (“Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”), all’esito dell’esame della documentazione acquisita nonché delle dichiarazioni rese all’Autorità nel corso del procedimento, che di fatto riconoscono quanto contestato, emerge che l’Azienda ha effettuato una comunicazione di dati relativi alla salute in assenza di un idoneo presupposto giuridico, in violazione dei principi di base del trattamento di cui agli artt. 5 e 9 del Regolamento.

4.  Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare nel corso dell’istruttoria gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni si rileva l’illiceità del trattamento di dati personali effettuato dall’Azienda Sanitaria Locale n. 2 Lanciano-Vasto-Chieti, nei termini di cui in motivazione, in violazione degli artt. 5 e 9 del Regolamento.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti -vista la comunicazione dell’Azienda secondo la quale il soggetto che aveva ricevuto erroneamente la documentazione aveva provveduto successivamente a distruggerla- non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, par. 1, lett. f) e 9 del Regolamento, causata dalla condotta posta in essere dall’Azienda Sanitaria Locale n. 2 Lanciano-Vasto-Chieti, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par.5, del Regolamento.

Si consideri che il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2, del Regolamento in relazione ai quali si osserva che:

- l’Autorità ha preso conoscenza dell’evento a seguito della notifica di violazione dei dati personali effettuata dallo stesso titolare, che ha informato dell’accaduto l’interessato, e non sono pervenuti reclami o segnalazioni al Garante sull’accaduto (art. 83, par. 2, lett. a) e h) del Regolamento);

- l’episodio, pur avendo riguardato dati di un minore, è stato unico e isolato e, essendo determinato da un errore umano nell’abbinamento e nell’imbustamento dei referti, è caratterizzato dall’assenza di elementi di volontarietà da parte dell’Azienda nella causazione dell’evento (art. 83, par. 2, lett. b) del Regolamento);

- l’Azienda ha fin da subito dimostrato un elevato grado di cooperazione (art. 83, par. 2, lett. c), d) e f) del Regolamento).

- il trattamento dei dati effettuato dall’Azienda riguarda dati idonei a rilevare informazioni sulla salute di un unico interessato (art. 4, par. 1, n. 15 del Regolamento e art. 83, par. 2, lett. a) e g) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, nella misura di euro 6.500 (seimilacinquecento) per la violazione degli artt. 5, par. 1, lett. f) e 9 del Regolamento quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dall’Azienda Sanitaria Locale n. 2 Lanciano-Vasto-Chieti, per la violazione degli art. 5, par. 1, lett. f) e 9 del Regolamento nei termini di cui in motivazione.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, all’Azienda Sanitaria Locale n. 2 Lanciano-Vasto-Chieti con sede legale in con sede legale in Chieti, via dei Vestini s.n.c. – P.IVA 02307130696, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 6.500 (seimilacinquecento) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento, secondo le modalità indicate in allegato, entro 30 giorni dalla notifica in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

alla predetta Azienda, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 6.500 (seimilacinquecento) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 11 febbraio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei