g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Azienda Ospedaliera Universitaria Careggi - 25 febbraio 2021 [9574764]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9574764]

Ordinanza ingiunzione nei confronti di Azienda Ospedaliera Universitaria Careggi - 25 febbraio 2021

Registro dei provvedimenti
n. 70 del 25 febbraio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il dott. il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vice presidente, il dott. Agostino Ghiglia, l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali”, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’Ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. La violazione di dati personali

L’Azienda Ospedaliera Universitaria Careggi (di seguito “Azienda”) ha notificato al Garante una violazione di dati personali ai sensi dell’art. 33 del Regolamento, con riferimento all’avvenuta consegna, in formato cartaceo, di documentazione sanitaria relativa ad una prestazione di Pronto Soccorso, di un assistito a persona diversa dallo stesso.

La medesima Azienda ha precisato che si è trattato di un episodio di duplicazione di documentazione e non di scambio della stessa, in quanto l’interessato, a cui si riferiscono i documenti, aveva comunque ricevuto la refertazione di sua competenza. Nella stessa occasione, l’Azienda ha dichiarato di aver contattato telefonicamente i soggetti coinvolti “per fare in modo che ognuno fosse in possesso della sola documentazione di propria pertinenza” e di aver avviato un percorso di analisi nell’ambito delle attività del Rischio Clinico Aziendale con la programmazione di un audit (comunicazione del 25 gennaio 2019).

2. L’attività istruttoria.

A seguito di una richiesta di informazioni dell’Autorità volta a conoscere altri elementi utili alla valutazione del caso, l’Azienda, nel descrivere le dinamiche dell’accaduto e le cause che possono averlo determinato, ha spiegato che “i referti vengono stampati (…) e inseriti nella cartella del paziente”. (…) Nella zona assistenziale “che ospitava la paziente sono installate due sole stampanti. È evidentemente accaduto che il medico che seguiva la paziente, quando ha stampato la documentazione che la riguardava, ha preso dal cassetto della stampante ed inserito in cartella, assieme ad essa, anche il documento di un diverso paziente, precedentemente mandato in stampa da un altro medico e non ancora ritirato”. In ogni caso “alla segnalante è stata messa a disposizione la propria documentazione e si è avuta assicurazione che avesse distrutto quella impropriamente ricevuta”.

L’Azienda ha, altresì, colto l’occasione per evidenziare che “quale azione di miglioramento scaturita dall’audit è stato richiesto che vengano aggiunte ulteriori periferiche di stampa” nonché “la modifica della visualizzazione sul software del P.S. degli esami” (nota del 10 aprile 2019).

In relazione a quanto appreso dall’Azienda, l’Ufficio, con atto del 23 maggio 2019, prot. n. 17383, ha notificato all’Azienda, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2 del Regolamento, invitandola a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, l. n. 689 del 24 novembre 1981).
In particolare l’Ufficio, nel predetto atto ha rappresentato che, sulla base degli elementi acquisiti, l’Azienda ha effettuato una comunicazione di dati relativi alla salute di un paziente ad altro paziente in assenza di un idoneo presupposto giuridico e, quindi, in violazione dei principi di base del trattamento di cui agli artt. 5 e 9 del Regolamento.

Con nota del 22 giugno 2019, l’Azienda ha fatto pervenire le proprie memorie difensive, nelle quali, in particolare, ha evidenziato che si è trattato di un errore materiale di un professionista “all’ultima delle 11 ore di servizio previste, in un giorno (il lunedì), di particolare impegno per la struttura (quel giorno 322 accessi)”, in un peculiare contesto operativo, quello del Pronto Soccorso, caratterizzato “da estrema complessità e fortemente tempo dipendente, nel quale la ridondanza e una tempistica più dilatata delle azioni non sempre sono possibili”.

L’Azienda ha, quindi, chiesto, di prendere atto: “della accidentalità dell’evento; del particolare contesto operativo e relazionale in cui questo è avvenuto; che la violazione è relativa ad un solo interessato ed a un solo documento” (“referto di laboratorio nel quale non si evidenzia alcuna particolare alterazione o affezione e dal quale non appare oggettivamente possibile trarre alcuna informazione sulla patologia o sull’evento che ha portato l’interessato a fruire delle prestazioni”); “che l’Azienda si è fatta parte attiva nella notifica e comunicazione dell’evento” e nella minimizzazione delle conseguenze dello stesso; “che non risultano esservi state precedenti violazioni in relazione al trattamento di dati personali”.

3. Esito dell’attività istruttoria.

Premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice (“Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”), all’esito dell’esame della documentazione acquisita nonché delle dichiarazioni rese all’Autorità nel corso del procedimento, emerge che l’Azienda, consegnando documentazione sanitaria relativa ad una prestazione di Pronto Soccorso, a un soggetto terzo, non autorizzato a ricevere tale documentazione, ha effettuato una comunicazione di dati relativi alla salute in assenza di un idoneo presupposto giuridico, in violazione dei principi di base del trattamento di cui agli artt. 5 e 9 del Regolamento.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria, volte a evidenziare che la violazione è stata determinata da un errore materiale in un peculiare contesto operativo, si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Pertanto, si confermano le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali sulla salute effettuato dall’Azienda, in violazione degli artt. 5 e 9 del Regolamento.

In tale quadro, considerato, tuttavia, che la condotta ha esaurito i suoi effetti – atteso, altresì, che l’Azienda ha fornito assicurazioni in ordine alla distruzione da parte del paziente che aveva erroneamente ricevuto copia del referto di laboratorio, della stessa documentazione sanitaria e in ordine alle azioni di miglioramento intraprese al fine di evitare la ripetizione della condotta errata - non ricorrono i presupposti per l’adozione di ulteriori provvedimenti correttivi da parte dell’Autorità, ai sensi dell’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5 e 9 del Regolamento, determinata dal trattamento di dati personali, oggetto del presente provvedimento, effettuato dall’Azienda, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, lett. a) del Regolamento.

Si consideri che il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2, del Regolamento in relazione ai quali si osserva che:

- il trattamento dei dati effettuato dall’Azienda riguarda dati idonei a rilevare informazioni sulla salute di un unico interessato, paziente dell’Azienda (art.  83, par. 2, lett. a) e g) del Regolamento);

- l’episodio è stato accidentale e determinato da un errore umano di un operatore in servizio presso l’Azienda, nel complesso contesto operativo del Pronto Soccorso (art. 83, par. 2, lett. b) del Regolamento);

- l’Autorità ha preso conoscenza della violazione a seguito della notifica effettuata dal titolare del trattamento che ha informato dell’accaduto l’interessato e non sono pervenuti reclami o segnalazioni al Garante sull’accaduto (art. 83, par. 2, lett. h) del Regolamento);

- l’Azienda ha collaborato con l’Autorità nel corso dell’istruttoria e del presente procedimento (art. 83, par. 2, lett. f) del Regolamento);

- il titolare del trattamento si è prontamente attivato per porre rimedio all’accaduto attraverso contatti telefonici con i soggetti coinvolti, nonché intervenendo sulle misure organizzative al fine di migliorare i processi (art. 83, par. 2, lett. c) e d) del Regolamento);

- l’Azienda è stata destinataria di un provvedimento di ammonimento del Garante per la violazione degli artt. 12, par. 3, e 15 del Regolamento, non avendo fornito riscontro, nei termini, a una richiesta di accesso ai dati dell’interessato (Provv. del 29 luglio 2020, n. 146) (art. 83, par. 2, lett. i) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, nella misura di euro 6.000,00 (seimila) per la violazione degli artt. 5 e 9 del Regolamento quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Considerato che il trattamento illecito ha riguardato dati relativi sulla salute ricompresi nelle categorie particolari di cui all’art. 9, par. 1, del Regolamento e che l’Azienda è stata destinataria di un precedente provvedimento correttivo, si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata la violazione degli artt. 5 e 9 del Regolamento, dichiara l’illiceità del trattamento di dati personali effettuato dalla Azienda nei termini di cui in motivazione;

ORDINA

alla Azienda Ospedaliera Universitaria Careggi, con sede legale in Firenze, Largo Brambilla, 3 – P. IVA n. 04612750481, in persona del legale rappresentante pro-tempore, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, di pagare la somma di euro 6.000,00 (seimila) a titolo di sanzione amministrativa pecuniaria per la violazione di cui al presente provvedimento, secondo le modalità indicate in allegato, entro 30 giorni dalla notifica in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta struttura sanitaria, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 6.000,00 (seimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante, ai sensi dell’art. 166, comma 7, del Codice;

l’annotazione del presente provvedimento nel registro interno dell’Autorità - previsto dall’art. 57, par. 1, lett. u), del Regolamento, nonché dall’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante - relativo alle violazioni e alle misure adottate in conformità all'art. 58, par. 2, del Regolamento medesimo.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 25 febbraio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei